Fin novembre 2019, le ministère de la Santé annonçait une campagne nationale [1] « Tous Cybervigilants ! » Il faut dire que l’année avait été particulièrement riche en incidents (un par jour en moyenne, de toutes natures [2]), dont l’attaque paralysant le CHU de Rouen, mi-novembre, en point d’orgue. Or, l’une des principales faiblesses face aux cyberattaques reste le manque de vigilance des utilisateurs confrontés aux risques d’hameçonnage par exemple. Message clé de la campagne : « A l'hôpital, le numérique est partout. Ensemble rendons le plus sûr ». Elle n’a pas eu le temps d’être déployée, au 1er trimestre 2020, le virus biologique SARS-CoV-2 volant la vedette à ses congénères électroniques. « La campagne aurait été inaudible pendant la crise », constate Philippe Loudenot, Fonctionnaire de sécurité des systèmes d'information (FSSI) du ministère des Solidarités et de la Santé. De même, l’enrichissement de l’observatoire de cyber surveillance grâce à l’audit des vulnérabilités des hôpitaux a été repoussé, car « il serait passé sous les radars ».
Escape game et jeux de rôle
La sensibilisation à la cybersécurité devait battre son plein en 2020, mobilisant établissements et structures régionales. Ce sera partie remise. « Heureusement, nous avions organisé un séminaire début mars avec les structures médico-sociales, se félicite Auriane Lemesle, Référente régionale de la Sécurité des SI au GCS e-santé Pays de la Loire. Mais nous n’avons pas eu le temps de lancer la démarche prévue de préparation à une cybercrise. Elle va prendre tout son sens maintenant ! »
En Ile-de-France, Rémi Tilly, RSSI du groupement SESAN, a testé avec satisfaction la simulation d’une cybercrise sous la forme de jeux de rôle [3] et il compte bien poursuivre cette action. Le groupement régional des Pays de la Loire est lui plutôt connu pour le succès de son escape game [4], efficace pour renforcer la connaissance des bonnes pratiques. Jeu sérieux ou séminaire classique, les RSSI sont en tout cas impatients de reprendre l’initiative, dans toutes les régions.
[1] https://www.lequotidiendumedecin.fr/hopital/conditions-de-travail/tous-…
[2] Depuis le 1er octobre 2017, les structures de santé sont tenues de relayer aux Agences régionales de santé les incidents de sécurité informatique jugés « graves » et « significatifs »
[3] https://www.youtube.com/watchtime_continue=2&v=7QNjfHTKtgc&feature=emb_…
[4] « Sant’Escape, sécurité numérique », https://www.esante-paysdelaloire.fr/fr/santescape/
Article suivant
« Les RSSI vont devoir reprendre le contrôle »
Sensibiliser à la cybervigilance … par le jeu
« Les RSSI vont devoir reprendre le contrôle »
Dérives sectaires : une hausse préoccupante dans le secteur de la santé
Protection de l’enfance : Catherine Vautrin affiche ses ambitions pour une « nouvelle impulsion »
Dr Joëlle Belaïsch-Allart : « S’il faut respecter le non-désir d’enfant, le renoncement à la parentalité doit interpeller »
Visite médicale d’aptitude à la conduite : le permis à vie de nouveau sur la sellette