L’entrainement à la gestion de crise cyber : simuler pour développer les bons réflexes

Se préparer à une crise cyber, une nécessité face à la menace persistante

Dans un contexte où la menace ne faiblit pas, la préparation et l'anticipation d'une crise d'origine cyber est aujourd'hui incontournable pour les établissements de santé. L’instruction du 17 janvier 2025 rappelle l'obligation pour les structures de santé de réaliser des exercices de gestion de crise cyber annuels. Ces exercices visent à entraîner les professionnels à faire face aux cyberattaques et à évaluer leur capacité à poursuivre leurs activités, en se concentrant sur la prise en charge des patients, malgré des modes numériques dégradés.

Les attaques peuvent prendre diverses formes, allant du ransomware aux attaques par déni de service, en passant par le vol de données sensibles. En 2023, 581 incidents de sécurité ont été déclarés à l’Agence du Numérique en Santé (ANS), et 50% d’entre eux étaient d’origine malveillante. Face à cette menace, les établissements de santé doivent être capables de réagir rapidement et efficacement tout en garantissant la sécurité des patients. Ainsi, la réalisation d’un exercice de gestion de crise cyber permet de simuler ces situations et de tester les réponses des équipes en conditions réelles.

Pourquoi s'entraîner chaque année ?

Les établissements de santé sont des environnements en constante évolution, s'adaptant continuellement aux besoins des usagers et aux enjeux de qualité et de sécurité des soins. Cette dynamique implique l'apparition régulière de nouveaux outils et équipements informatiques, ainsi qu’une évolution quasi permanente des processus et des pratiques. Par ailleurs, ils sont parfois sujet à une rotation importante du personnel, nécessitant un besoin continu de sensibilisation et d’entrainement à la gestion de crise. La récurrence de ces exercices permet donc de répondre à ces contraintes : formation aux enjeux cyber du plus grand nombre, prise en compte des évolutions du SI et développement de réflexes essentiels pour une meilleure préparation en cas d’attaque réelle.

Ces exercices sont également l'opportunité de tester mais aussi d’évaluer la pertinence des processus décrits dans les politiques et procédures, tels que le Plan blanc, le PCRA et les modes dégradés, permettant ainsi d'inscrire la résilience et la continuité d'activité dans une démarche d'amélioration continue.

Le nouveau kit de l'ANS : un outil adaptable favorisant la montée en compétence

Pour accompagner les établissements dans cette démarche, l'ANS propose un nouveau kit d'exercice de crise, dont l'objectif est de favoriser la montée en compétences et de maximiser l'adaptation du scénario à la maturité et au contexte de chaque structure. Alors que la première version du kit était axée sur la sensibilisation, la version 2 présente plusieurs évolutions permettant la réalisation d’exercices plus réalistes et personnalisés, en tenant compte des spécificités de certains établissements tels que :

• les ES spécialisés en médecine chirurgie obstétrique (MCO)
• les ES hors MCO (soins de suite et de réadaptation, psychiatrie...)
• les ESMS

En complément, cette nouvelle méthodologie offre désormais la possibilité de mobiliser une troisième cellule dite "stratégique" en incluant par exemple la cellule d’un établissement support de GHT ou du siège d'un groupe d'ES... Cette approche reflète la complexité de ce type d’organisation et permet d'évaluer l'ensemble de la chaine décisionnelle.

Enfin, le kit inclut des scénarios variés et des outils opérationnels facilitant la mise en œuvre des exercices. Il peut être utilisé en autonomie ou via l’accompagnement d’un tiers, permettant d’avoir un regard extérieur sur les pratiques de l’établissement.

La prise de conscience croissante de la menace cyber dans le secteur de la santé est indéniable. Malgré tout, la réalisation d'exercices en situation réelle reste cruciale pour tester et améliorer la résilience des structures sanitaires face à cette menace. La répétition de ces exercices, en plus de répondre à une exigence réglementaire, est essentielle pour garantir l'appropriation du processus de gestion de crise cyber par les professionnels et permet de s'inscrire dans une démarche d'amélioration continue.