Etablissements de santé : comment réagir en cas de cyberattaque ?

Les données de santé : convoitées et sensibles

Les données de santé représentent une véritable mine d’or pour les hackers et sont donc particulièrement convoitées. Adopter les bons réflexes en matière de cybersécurité est un excellent point de départ mais ne suffit malheureusement pas toujours à se protéger d’une cyberattaque.

Cyberattaques : chaque professionnel de santé peut être visé

Tous les professionnels de santé sont aujourd’hui concernés par ces actes malveillants : hôpitaux et cliniques privées mais aussi laboratoires de biologie médicale, cabinets de radiologie ou centres de soins spécialisés. On cite souvent, à titre d’exemple, l’attaque à ransomware ayant visé le Centre Hospitalier Universitaire de Rouen (CHU) qui a conduit à l’arrêt complet du système informatique.

Qu’il s’agisse de la gestion des prescriptions, des examens, des admissions ou encore des repas, chaque niveau de l’établissement était alors impacté. Il convient donc d’adopter les bons gestes, lors d’une cyberattaque, afin de minimiser les dégâts et de respecter les obligations légales incombant à chaque personne, physique ou morale, collectant et stockant des données de santé.

Que faut-il mettre en place afin de pouvoir réagir en cas de cyberattaque ?

1. Adoptez les bons réflexes en matière de cybersécurité

Mieux vaut prévenir que guérir : cet adage s’applique également en matière de cybersécurité. Il vous est tout à fait possible de sécuriser votre environnement de travail en respectant des gestes simples, et en mettant en place les bons outils. Ces bons réflexes d’hygiène numérique vont de l’installation d’un antivirus performant à la mise en place de sauvegardes régulières en passant par l’instauration de la double authentification.

2. Menez une politique de sensibilisation en interne

Pour que ces bons réflexes soient efficaces, il faut qu’ils soient partagés. Chaque professionnel de santé doit donc avoir connaissance des gestes à respecter et des outils à utiliser pour exercer son activité en toute sécurité. Ces bonnes pratiques doivent être régulièrement diffusées et mises à jour : de la formation initiale et de l’entrée au sein de l’établissement de santé jusqu’à la fin de l’activité de chaque collaborateur.

3. Réalisez des sauvegardes régulières

Une cyberattaque est presque toujours synonyme de données indisponibles. Lorsqu’il s’agit de données de santé, l’impossibilité d’accéder à ces informations sensibles peut représenter un risque majeur. C’est pour cette raison qu’il est important de réaliser des sauvegardes régulières de l’ensemble de vos fichiers afin de pouvoir les restaurer le cas échéant.

4. Mettez en place un plan de reprise d’activité (PRA)

Le plan de reprise d’activité, ou PRA, vous permet d’assurer la poursuite de vos activités, même en mode dégradé, et ce lors d’une attaque majeure. Ce plan prend la forme d’un document reprenant l’ensemble des étapes à respecter pour la relance de votre système le plus rapidement et efficacement possible.

5. Mettez en place un plan de continuité d’activité (PCA)

Distinct du plan de reprise d’activité (PRA), le plan de continuité d’activité, ou PCA, est au cœur de la pérennité de tout établissement de santé. Celui-ci vise à identifier les menaces qui pèsent sur un établissement, ainsi que les impacts potentiels de ces menaces. Le PCA vient ainsi en réponse à un contexte de crise et prévoit des réponses appropriées à chaque situation pour assurer le maintien de l’activité en haute disponibilité. Ce plan doit contenir :

• Un récapitulatif complet des activités de l’établissement : ses missions, ses obligations, les processus vitaux à maintenir en cas de crise, les services prioritaires, etc.
• Une liste complète des risques : classés selon leur niveau de sévérité ainsi qu’une estimation de la potentialité de leur occurrence afin de dégager des priorités.
• Une liste des personnes clés à contacter dès qu’un problème majeur est détecté : qu’il s’agisse du responsable informatique ou de votre prestataire en infogérance, les utilisateurs clés, les membres de la direction, etc.
• La liste des personnes composant le comité de crise : qui devront donc se mobiliser et mettre en place l’ensemble des procédures pour une reprise rapide.
• Des phases de tests régulières : afin de s’assurer du bon fonctionnement du PCA.
• Un descriptif opérationnel complet : détaillant chaque scénario. Ce descriptif devra être régulièrement mis à jour selon les évolutions de l’infrastructure informatique.

Une cyberattaque vient d’avoir lieu : comment dois-je réagir ?

1. Ne paniquez pas : ne cédez pas à la panique et avertissez, de façon immédiate, votre responsable informatique ou le partenaire extérieur ayant en charge la gestion de votre cybersécurité et de vos infrastructures informatiques.

2. Déconnectez l’ensemble des machines de votre réseau : et ce afin de limiter la propagation du virus et pour éviter de créer de nouvelles vulnérabilités pouvant exposer encore davantage votre système d’information.

3. Mettez en place les dispositions contenues dans votre PRA et/ou PCA : ces documents doivent lister l’ensemble des opérations à mettre en œuvre en cas d’attaque. Celles-ci doivent vous permettre de poursuivre votre activité, même en mode dégradé.

4. Contactez rapidement l’ARS (Agence Régionale de Santé) : comme le rappelle l’article L1111-8-2 du Code de la santé publique « les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l’agence régionale de santé les incidents graves de sécurité des systèmes d’information ».

5. Déclarez votre accident de cybersécurité sur le portail de signalement des événements sanitaires indésirables du Ministère des Solidarités et de la Santé : afin de disposer d’un appui technique si l’incident que vous rencontrez est particulièrement critique.

6. Ne payez jamais de rançon : en cas de cyberattaque, il peut être tentant de payer la somme demandée pour débloquer l’ensemble des ordinateurs infectés et récupérer le plus rapidement possible un système fonctionnel. Toutefois, gardez bien à l’esprit que rien ne vous garantit que vous obtiendrez véritablement une clé de déchiffrement. Par ailleurs, si une clé est tout de même envoyée, celle-ci ne vous permettra peut-être pas de récupérer l’intégralité de vos fichiers, certains ayant pu être corrompus de façon définitive.

7. Déposez une plainte officielle : et ce afin de vous protéger en cas, notamment, d’usurpation d’identité.

8. Avertissez la CNIL dans les 72 heures qui suivent la cyberattaque en cas de violation de données personnelles : en donnant une estimation du nombre de personnes concernées ainsi que l’identité de la personne responsable du traitement des données au sein de votre établissement. Il est également nécessaire de préciser les mesures correctives mises en œuvre afin de retrouver la pleine sécurité des fichiers stockés.

9. Réalisez un audit complet de votre infrastructure informatique : et ce afin d’identifier vos différents points de vulnérabilité. La cyberattaque exploite une faille : celle-ci doit donc être connue le plus rapidement possible.

10. Mettez en place toutes les actions correctives nécessaires : toutes les failles identifiées doivent être corrigées le plus rapidement possible. Un système vulnérable n’est pas à l’abri d’une seconde attaque de plus grande ampleur. Si vous ne disposez pas des ressources en interne n’hésitez pas à vous faire accompagner par un partenaire informatique extérieur spécialisé.

11. Utilisez vos sauvegardes pour repartir sur des bases saines : une fois la sécurité de votre infrastructure informatique rétablie.

Découvrez nos services informatiques destinés aux professionnels de santé

• Découvrez notre offre d’infogérance pour les professionnels de santé.
• Données de santé et cybersécurité : adoptez les bons réflexes
• Vous avez besoin d’être accompagné pour sécuriser votre établissement de santé ? Contactez-nous.

Sources

• Consultez le guide pratique pour établir un plan de continuité informatique mis à disposition par l’ANS (Agence du Numérique en Santé), janvier 2016. 
• Consultez l’article du journal Le Monde : « Frappé par une cyberattaque massive, le CHU de Rouen forcé de tourner sans ordinateurs », novembre 2019.
• Consultez le rapport « État de la menace rançongiciel à l’encontre des entreprises et institutions » du CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques), février 2020. 
• Consultez le guide de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) « Attaques par rançongiciels, tous concernés. Comment les anticiper et réagir en cas d’indicent ? », août 2020.