Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Serious games et cybersécurité : s’entraîner pour apprendre à parer les risques

13 oct. 2020 - 11:47,
Actualité - DSIH
La multiplication des cyberattaques contre les établissements de santé souligne le retard de ces derniers en matière de sécurité des systèmes d’information. Les campagnes de sensibilisation portées notamment par l’État et l’Anssi sont utiles, mais se déploient trop lentement, semble-t-il. L’acculturation au cyberrisque doit aussi se confronter à des mises en situation. C’est l’ambition du serious game Medirisk, développé par Doshas Consulting et lancé en septembre 2020.

MediRiskLa prise en compte des risques cyber dans le domaine de la santé demeure insuffisante. C’est le constat dressé par Didier Ambroise, associé fondateur du cabinet de conseil Doshas Consulting, au fil de ses missions autour du RGPD, de l’HDS et des programmes Hôpital numérique, puis Hop’en. Un constat qui a atteint son paroxysme avec le récent décès d’une patiente à Düsseldorf en Allemagne qui avait dû être transférée d’un établissement à un autre, du fait d’un SIH qui s’était retrouvé hors service après une attaque informatique. « Cette attaque a constitué une véritable “perte de chance” dans sa prise en charge », déplore-t-il.
Si, d’un point de vue technique, les SI des établissements de santé sont de mieux en mieux protégés, les failles sont souvent d’origine humaine comme l’ouverture malencontreuse d’une pièce jointe dans un mail. « La messagerie électronique est sans doute un des services Internet le plus utilisé, le plus intuitif, et elle est devenue un outil banal de communication », rappelle par exemple le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (Cert-FR) avant d’ajouter : « [Son] utilisation immédiate et sans formation spécifique s’est faite au détriment des règles élémentaires de sécurité. » Pour améliorer la sensibilisation aux cyberrisques, Didier Ambroise pense qu’il faut transposer au secteur de la santé les outils méthodologiques utilisés dans le domaine militaire. D’où son idée de créer Medirisk, un serious game dédié à la cybersécurité lancé en septembre dernier.
Plus de 200 heures ont été nécessaires pour en construire les scénarios à partir de retours d’expérience et en partenariat avec des DSI, des RSSI/DPO, des avocats ou encore des assureurs. Les chefs d’établissement mésestiment le risque de leur propre mise en cause pour non-respect des bonnes pratiques de sécurité SI et « fait intentionnel du dirigeant » en cas de cyberattaque. « Un directeur ne peut plus dire aujourd’hui qu’il n’était pas au courant », souligne l’inventeur de cette approche ludique des questions de cybersécurité.

Chaque session dure deux heures et se déroule en présence d’un expert cyber et d’un maître du jeu. « Faire jouer ensemble plusieurs interlocuteurs de l’hôpital les aide à mieux se connaître », indique Didier Ambroise, convaincu que la cybersécurité est une affaire d’équipe, comme la sécurité dans un cockpit d’avion où pilote et copilote passent en revue ensemble la check-list avant un décollage ou un atterrissage. Cette approche permet de mieux formaliser les risques, en faisant par exemple prendre conscience qu’« un plan de continuité ou de reprise d’activité ne sont pas simplement des documents à poser sur une étagère, mais renvoient à des procédures opérationnelles à tester régulièrement », souligne-t-il.

Déjà utilisée par plusieurs CHU, CH et CLCC, la solution « fait prendre la mesure des risques de manière accélérée, en passant de la théorie à la pratique », indique l’associé fondateur de Doshas Consulting.

En savoir plus : https://medirisk.game

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.