Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Serious games et cybersécurité : s’entraîner pour apprendre à parer les risques

13 oct. 2020 - 11:47,
Actualité - DSIH
La multiplication des cyberattaques contre les établissements de santé souligne le retard de ces derniers en matière de sécurité des systèmes d’information. Les campagnes de sensibilisation portées notamment par l’État et l’Anssi sont utiles, mais se déploient trop lentement, semble-t-il. L’acculturation au cyberrisque doit aussi se confronter à des mises en situation. C’est l’ambition du serious game Medirisk, développé par Doshas Consulting et lancé en septembre 2020.

MediRiskLa prise en compte des risques cyber dans le domaine de la santé demeure insuffisante. C’est le constat dressé par Didier Ambroise, associé fondateur du cabinet de conseil Doshas Consulting, au fil de ses missions autour du RGPD, de l’HDS et des programmes Hôpital numérique, puis Hop’en. Un constat qui a atteint son paroxysme avec le récent décès d’une patiente à Düsseldorf en Allemagne qui avait dû être transférée d’un établissement à un autre, du fait d’un SIH qui s’était retrouvé hors service après une attaque informatique. « Cette attaque a constitué une véritable “perte de chance” dans sa prise en charge », déplore-t-il.
Si, d’un point de vue technique, les SI des établissements de santé sont de mieux en mieux protégés, les failles sont souvent d’origine humaine comme l’ouverture malencontreuse d’une pièce jointe dans un mail. « La messagerie électronique est sans doute un des services Internet le plus utilisé, le plus intuitif, et elle est devenue un outil banal de communication », rappelle par exemple le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (Cert-FR) avant d’ajouter : « [Son] utilisation immédiate et sans formation spécifique s’est faite au détriment des règles élémentaires de sécurité. » Pour améliorer la sensibilisation aux cyberrisques, Didier Ambroise pense qu’il faut transposer au secteur de la santé les outils méthodologiques utilisés dans le domaine militaire. D’où son idée de créer Medirisk, un serious game dédié à la cybersécurité lancé en septembre dernier.
Plus de 200 heures ont été nécessaires pour en construire les scénarios à partir de retours d’expérience et en partenariat avec des DSI, des RSSI/DPO, des avocats ou encore des assureurs. Les chefs d’établissement mésestiment le risque de leur propre mise en cause pour non-respect des bonnes pratiques de sécurité SI et « fait intentionnel du dirigeant » en cas de cyberattaque. « Un directeur ne peut plus dire aujourd’hui qu’il n’était pas au courant », souligne l’inventeur de cette approche ludique des questions de cybersécurité.

Chaque session dure deux heures et se déroule en présence d’un expert cyber et d’un maître du jeu. « Faire jouer ensemble plusieurs interlocuteurs de l’hôpital les aide à mieux se connaître », indique Didier Ambroise, convaincu que la cybersécurité est une affaire d’équipe, comme la sécurité dans un cockpit d’avion où pilote et copilote passent en revue ensemble la check-list avant un décollage ou un atterrissage. Cette approche permet de mieux formaliser les risques, en faisant par exemple prendre conscience qu’« un plan de continuité ou de reprise d’activité ne sont pas simplement des documents à poser sur une étagère, mais renvoient à des procédures opérationnelles à tester régulièrement », souligne-t-il.

Déjà utilisée par plusieurs CHU, CH et CLCC, la solution « fait prendre la mesure des risques de manière accélérée, en passant de la théorie à la pratique », indique l’associé fondateur de Doshas Consulting.

En savoir plus : https://medirisk.game

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Sylvain Delair rejoint l’Anap et dirige la nouvelle cellule Data

Sylvain Delair rejoint l’Anap et dirige la nouvelle cellule Data

14 mai 2025 - 16:59,

Communiqué

- ANAP

Sylvain Delair, directeur d’hôpital, prend la tête de la nouvelle cellule Data de l’Anap. Après avoir créé la Direction Data du CHU de Grenoble, il met son expertise au service de l’ensemble des établissements en contribuant à renforcer l’offre Data de l’Anap.

Illustration Galeon, le seul DPI certifié pour l’aide à la prescription hospitalière (LAP)

Galeon, le seul DPI certifié pour l’aide à la prescription hospitalière (LAP)

13 mai 2025 - 08:00,

Communiqué

- Galeon

Certains ne font rien comme les autres dans le milieu hospitalier. C’est le cas de Galeon qui s’inscrit comme le premier logiciel à être certifié LAP. Une première dans le monde des logiciels hospitaliers.

Illustration SantExpo 2025 : interview de Jérôme Sicchi autour des enjeux et des évolutions de cette 59ᵉ édition

SantExpo 2025 : interview de Jérôme Sicchi autour des enjeux et des évolutions de cette 59ᵉ édition

12 mai 2025 - 15:16,

Actualité

- Pauline Nicolas

Des établissements de santé aux structures médico-sociales, mais aussi des autorités de santé, aux startups et sociétés savantes, SantExpo s’est imposé depuis presque 60 ans comme un événement incontournable et fédérateur pour les acteurs de santé. Organisé pour la première fois par GL Events et pr...

Illustration [SANTEXPO 2025] 7 conférences pour découvrir eNov30, le programme d’innovations concrètes du Groupe Softway Medical

[SANTEXPO 2025] 7 conférences pour découvrir eNov30, le programme d’innovations concrètes du Groupe Softway Medical

11 mai 2025 - 22:14,

Communiqué

- Softway Medical

Dans un secteur de la santé en pleine mutation, l’innovation doit répondre ici et maintenant aux défis des professionnels de santé. C’est tout le sens du programme stratégique eNov30 dont les grands axes seront déclinés lors de 7 conférences inédites tout au long de SantExpo 2025.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.