Cybersécurité : comment protéger les données de santé des Réunionnais ?

Actualité

Les établissements de santé sont dépendants du bon fonctionnement de leurs systèmes informatiques. Toute défaillance peut perturber les services de soins et impacter la prise en charge des patients. Il est donc important de continuer à accompagner les établissements. Lancé fin 2022, le label NOUVEY conçu par l’ARS et GCS Tesis vise à sensibiliser les acteurs aux enjeux de la cybersécurité.

Dans le cadre de la politique nationale de cybersécurité réaffirmée par le président de la République, l’ARS La Réunion soutient, depuis plusieurs années, les projets et actions déployés par les établissements de santé dans la sécurisation de leurs systèmes d’information, en s’appuyant sur le Groupement de Coopération Sanitaire Tesis.

La signature de Contrats Pluriannuel d’Objectifs et de Moyen

Depuis 2019, des objectifs ont été fixés sur la cybersécurité, dans les Contrats pluriannuels d’Objectifs et de Moyen (CPOM) signés entre l’ARS et les établissements de santé.

La réalisation d’un audit de sécurité en 2020

Fin 2019, une enveloppe financière a été attribué aux établissements publics afin de financer la réalisation d’audits permettant d’évaluer la sécurité du système d’information hospitalier (analyse des failles de sécurité, scénarios de menaces, audit ISO 27002 …) et d’améliorer le management de la sécurité de l’information. Les conclusions ont été rendues en 2020 avec un plan d’actions détaillé et chiffré intégrant notamment :

  • la prise en compte des référentiels d’exigences.
  • les mesures organisationnelles et techniques à mettre en œuvre.
  • les scénarios de menaces propres à l’organisation du système de santé de La Réunion.
  • des éléments d’accompagnement à la conduite du changement et de communication.

Parallèlement à cet audit, un Responsable de la Sécurité des Systèmes d’Information du Groupement Hospitalier de Territoire (GHT) regroupant les établissements publics de La Réunion, a été nommé en 2020 à la demande de l’ARS.
 

Une offre régionale de réponse à incident de cybersécurité mise à disposition des établissements

En septembre 2021, une offre régionale de Réponse à Incident de Cybersécurité a été mise en œuvre. Elle comprend la qualification et la résolution des incidents, la gestion de crise, les investigations numériques...

Le prestataire en charge de cette offre, certifié par l’Agence Nationale de Sécurité des Systèmes d’information et accessible 24h/24 et 7j/7 aux établissements sanitaires et médico-sociaux membres du GCS TESIS, a été financé par l’ARS La Réunion sur une durée de 1 an afin de permettre une réévaluation du dispositif à l’issue de cette période.

Une nouvelle offre devrait prochainement voir le jour et permettre d’apporter un premier niveau de réponse aux établissements, et d’être d’avantage pro-actif en permettant d’intervenir en amont.
 

Un accompagnement renforcé pour les établissements publics de santé jusqu’en 2025

Une convention a été signée en janvier 2022 entre l’ARS et le GHT pour mettre en œuvre un plan d’action portant sur la sécurité de leurs systèmes d’information, avec une aide financière à hauteur de 3 789 000 € pour la réalisation des projets concourant à la sécurité des systèmes d’information sur la période 2021 à 2025.
 

La réalisation d’exercices de gestion de crise

Les établissements de santé et médico-sociaux sont actuellement sollicités afin de réaliser un exercice de simulation de gestion d’une crise cyber. Les kits utilisés pour ces exercices ont été produits par l’Agence du Numérique en Santé avec le concours de plusieurs régions dont La Réunion.

Fin 2023, tous les établissements privés et publics de La Réunion devraient avoir réalisé au moins un exercice de simulation.
 

La constitution d’équipes expertes en cybersécurité

L’ARS soutient la mise à disposition d’une équipe d’experts en cybersécurité au sein du GCS Tesis qui accompagne les établissements de santé dans leur diagnostic, la déclinaison d’un plan d’action ainsi que son suivi. Les structures peuvent également être partie prenante dans les projets ou proposer de mutualiser ces derniers à l’échelon régional.

Pour en savoir plus, lire le publi-reportage paru dans le magazine
Stratégie santé du JIR (Janv. 2023)

 

« En informatique comme en médecine, il y a des règles d’hygiène à respecter ! »
C’est le message principal que souhaite passer le label régional NOUVEY (“on veille” en créole).

Créé par l’ARS La Réunion et les acteurs de santé et mis en œuvre par TESIS, NOUVEY a pour mission de sensibiliser les acteurs de santé aux enjeux de sécurité informatique.

Clics sur des mails frauduleux, usage personnel des outils professionnels, mots de passe partagés et faciles à déchiffrer… ces mauvaises habitudes sont autant de portes d’entrée pour les pirates informatiques qui peuvent alors prendre en otage le système d’information d’une structure de santé. Les conséquences peuvent être très graves pour les patients.

Les objectifs de NOUVEY

Les objectifs de NOUVEY sont  :

  • d'améliorer la maturité des acteurs de santé sur la cybersécurité.
  • d'inciter l’ensemble des professionnels à adopter les bonnes pratiques qui rendront le système d’information plus sûr et résistant.
  • de montrer la dynamique mise en place sur la cybersécurité dans le domaine médical et médico-social.

NOUVEY est symbolisé par un emblème local dont la vision à 342°
est capable de (presque) tout voir sans être vu :
l’endormi.

 

Une campagne de communication pour informer et sensibiliser aux enjeux de la cybersécurité

Fin 2022 - début 2023, une campagne de communication pédagogique a été lancée auprès des acteurs de santé pour communiquer sur ce label :

  • des affiches
  • des campagnes sur les réseaux sociaux
  • des supports dématérialisés (vidéos, quiz, infographie...)
  • un site internet dédié
  • des sessions de formations et de sensibilisation (webinaires)
  • un événement annuel dédié

Des outils à disposition de tous les acteurs

Les outils pratiques mis à disposition de tous les acteurs de la santé de La Réunion comprennent :

  • un kit pédagogique pour sensibiliser les professionnels (affiches, post réseaux sociaux, vidéos, infographie...)
  • un site internet dédié,
  • une offre de service dédiée à la cybersécurité portée par TESIS avec le soutien de l’ARS La Réunion (accompagnement, formation, jeux sérieux).
Téléchargez ou consultez tous les outils pratiques ici 

Des questions pour communiquer sur NOUVEY ?
Contactez GCS TESIS
0262 77 01 00
contact@tesis.re


L’ARS, aux côtés du CHU dans la gestion de l’incident de cybersécurité du 6 février

Le 6 février 2023, un incident de cybersécurité est survenu au CHU de La Réunion. L’ARS La Réunion était pleinement associée aux actions mises en œuvre par le CHU et à leur suivi.

Dès l’annonce, les services à compétence nationale ont été saisi : le Ministère de la Santé et de la Prévention et le CERT-Santé, organisme rattaché à l’Agence du Numérique en Santé et compétent pour venir en appui dans la gestion des cyber menaces et dans l’accompagnement des établissements de santé confrontés à un incident.

Des actions ont été menées avec l’établissement pour circonscrire l’incident ; aucune mise en cause de la continuité et la sécurité des soins pour les patients n’a été constatée.

Des actions de remédiation adaptées et des mesures restrictives concernant les accès et usages vers internet des utilisateurs ont ensuite été déployées par l’établissement. Des mesures de contrôle seront effectuées afin de garantir un niveau de sécurité optimal lors des échanges entre l’établissement et l’extérieur.