Serious games et cybersécurité : s’entraîner pour apprendre à parer les risques

La prise en compte des risques cyber dans le domaine de la santé demeure insuffisante. C’est le constat dressé par Didier Ambroise, associé fondateur du cabinet de conseil Doshas Consulting, au fil de ses missions autour du RGPD, de l’HDS et des programmes Hôpital numérique, puis Hop’en. Un constat qui a atteint son paroxysme avec le récent décès d’une patiente à Düsseldorf en Allemagne qui avait dû être transférée d’un établissement à un autre, du fait d’un SIH qui s’était retrouvé hors service après une attaque informatique. « Cette attaque a constitué une véritable “perte de chance” dans sa prise en charge », déplore-t-il.
Si, d’un point de vue technique, les SI des établissements de santé sont de mieux en mieux protégés, les failles sont souvent d’origine humaine comme l’ouverture malencontreuse d’une pièce jointe dans un mail. « La messagerie électronique est sans doute un des services Internet le plus utilisé, le plus intuitif, et elle est devenue un outil banal de communication », rappelle par exemple le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (Cert-FR) avant d’ajouter : « [Son] utilisation immédiate et sans formation spécifique s’est faite au détriment des règles élémentaires de sécurité. » Pour améliorer la sensibilisation aux cyberrisques, Didier Ambroise pense qu’il faut transposer au secteur de la santé les outils méthodologiques utilisés dans le domaine militaire. D’où son idée de créer Medirisk, un serious game dédié à la cybersécurité lancé en septembre dernier.
Plus de 200 heures ont été nécessaires pour en construire les scénarios à partir de retours d’expérience et en partenariat avec des DSI, des RSSI/DPO, des avocats ou encore des assureurs. Les chefs d’établissement mésestiment le risque de leur propre mise en cause pour non-respect des bonnes pratiques de sécurité SI et « fait intentionnel du dirigeant » en cas de cyberattaque. « Un directeur ne peut plus dire aujourd’hui qu’il n’était pas au courant », souligne l’inventeur de cette approche ludique des questions de cybersécurité.

Chaque session dure deux heures et se déroule en présence d’un expert cyber et d’un maître du jeu. « Faire jouer ensemble plusieurs interlocuteurs de l’hôpital les aide à mieux se connaître », indique Didier Ambroise, convaincu que la cybersécurité est une affaire d’équipe, comme la sécurité dans un cockpit d’avion où pilote et copilote passent en revue ensemble la check-list avant un décollage ou un atterrissage. Cette approche permet de mieux formaliser les risques, en faisant par exemple prendre conscience qu’« un plan de continuité ou de reprise d’activité ne sont pas simplement des documents à poser sur une étagère, mais renvoient à des procédures opérationnelles à tester régulièrement », souligne-t-il.

Déjà utilisée par plusieurs CHU, CH et CLCC, la solution « fait prendre la mesure des risques de manière accélérée, en passant de la théorie à la pratique », indique l’associé fondateur de Doshas Consulting.

En savoir plus : https://medirisk.game