Un guide sur le volet numérique du plan blanc

Face à la multiplication des incidents numériques et des cyberattaques, le ministère a publié un guide d’aide à la préparation du risque numérique. Ce cadre méthodologique devrait aider à la prévention du risque numérique et à l’adoption d’une conduite collective qui repose sur la réglementation et les outils techniques existants. Sa rédaction s’est faite dans le cadre du volet numérique du plan de gestion des tensions hospitalières et des situations sanitaires exceptionnelles.

Article connexe → En direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

Prévention, anticipation et réaction

Ce guide est composé de trois parties. La première précise les mesures préventives de sécurité numérique pour diminuer l’exposition au risque et le maîtriser. Elle préconise la désignation Il s’agit notamment d’un responsable de la sécurité des systèmes d’information, d’assurer « la sensibilisation du personnel au risque numérique, d’effectuer une cartographie précise et de réaliser une analyse des risques de l’ensemble du système d’information ». Le texte insiste également sur le nécessaire plan de mise en sécurité de la messagerie professionnelle.

La deuxième partie décrit comment anticiper l’incident numérique et les moyens opérationnels à articuler selon les scénarios de crise avec les autres plans existants et le dispositif régional Orsan. Le texte rappelle le rôle des différents acteurs, notamment les services de l’Agence régionale de santé et du Groupement régional d’appui au développement de l’e-santé. Il insiste également sur les travaux préparatoires à la communication.

La troisième partie, plus technique, précise l’organisation à adopter pour assurer la continuité et la qualité des soins, notamment le fonctionnement des services de soins en mode dégradé. Cette partie se base sur des exemples (SAS, Samu-Centre 15, urgences, pharmacie à usage intérieur, laboratoire, imagerie, bloc opératoire, stérilisation, soins critiques). L’objectif est de faciliter l’évaluation de la capacité à accueillir de nouveaux patients ou de la nécessité de transférer des patients en cas d’incident numérique.

Les bonnes pratiques à adopter

Le guide insiste également sur l’importance du retour d’expérience après un incident numérique afin de réduire le risque de futures attaques. Il détaille aussi une série de bonnes pratiques sur le contenu des informations à diffuser au grand public ou sur l’identification des moyens de défense et de sécurisation des composants critiques d’un établissement de santé. Il rappelle enfin qu’il ne faut ni payer de rançon ni négocier avec les assaillants. Seuls les experts en la matière (forces de l’ordre, négociateurs spécialisés…) peuvent le faire.

Par ailleurs, une version du guide destinée aux établissements et services médico-sociaux (ESMS) est en réflexion. D’ici là, l’Agence du numérique en santé tient à leur disposition « 13 questions pour être “incollable” en matière de cybersécurité », issues du premier guide publié à leur intention.