Le CyberCamp Santé #3  sur les bons rails

La raison d’être du CyberCamp Santé est l’échange, les témoignages et la réflexion entre acteurs de l’écosystème pour améliorer la défense des établissements de santé face aux attaques informatiques, diligentées par des hackers internationaux.

La troisième édition était très attendue avec des sujets inédits comme

  • les premiers retours d’expériences sur les exercices de crise cyber (dont l’obligation pour les établissements d’en réaliser un annuellement devrait très prochainement être officialisée) ;
  • la publication récente du Code de la cybersécurité ;
  • les enjeux du concept d’« assurabilité » du risque cyber.

Tous les voyants étaient au vert. Aucune mesure sanitaire pour contraindre la tenue d’ateliers en petits groupes, des inscriptions ayant atteint un chiffre record et l’envie des intervenants de poursuivre l’action, en constatant la portée des efforts menés collectivement sur la prévention et la sécurisation des données.

C’était sans compter sur le mouvement de grève du mardi 18 octobre et la cascade d’annulations de titres de transport qui nous ont contraints à reporter l’événement prévu ce jour là…

Reporté et pas annulé, puisque bonne nouvelle le CyberCamp Santé aura bien lieu jeudi 2 février 2023, à PariSanté Campus !

Didier Ambroise
Associé fondateur Doshas Consulting
Fondateur du CyberCamp Santé


Dans l’attente de ces retrouvailles qui n’en seront que meilleures, nous vous tiendrons informés par une newsletter mensuelle de l’actualité de la cybersécurité en santé.

Restons d’ici là tous cybervigilants et à très bientôt !

Speakers

DAVID BIGOT

Délégué général de ROAM

À la tête d’une association regroupant 70 assureurs et mutuelles, David Bigot livrera son analyse sur l’impact assurantiel de la cybercriminalité dans le secteur de la santé, et les meilleures solutions.

BRUNESSEN BERTRAND

Professeur de droit à l’Université de Rennes 1

Spécialisée en Intelligence Artificielle, Cyber, Droit européen et Droit digital, ainsi qu’en Gouvernance de la donnée.

Découvrez son témoignage

BBertrand

MATTHIEU AUDIBERT

Chef d’Escadron, Commandant de la Gendarmerie dans le cyberespace

Juriste de formation, Matthieu Audibert est officier de gendarmerie spécialisé dans la cybercriminalité. Il dirige le département des coopérations et des partenariats cyber au sein de la division de la stratégie et de la gestion de crise cyber.

Découvrez son témoignage

ELODIE CHAUDRON

Responsable du Développement Territorial à l’Agence du numérique en santé

Elodie Chaudron a une vision à 360° des crises cyber, et des exercices à pratiquer pour pouvoir y faire face.

Découvrez son témoignage

STEVEN GARNIER

Référent technique eSanté à l’Agence Régionale de Santé Bourgogne-Franche-Comté.

À la pointe des problématiques territoriales de cybercrise, et des réponses à y apporter.

Découvrez son témoignage

Vers une culture commune de la cybersécurité en Europe ?

Confrontés à des questions de souveraineté et de particularismes nationaux, comment les différents textes et règlements européens parviendront-ils à augmenter le niveau de cybersécurité et de cyber résilience des états membres ? Eléments de réponse avec Brunessen Bertrand, enseignante, chercheure et spécialiste en politique européenne du numérique.

Quel est, selon vous, l’enjeu de l’approche européenne en matière de cybersécurité ?

« Il est à la fois de plus en plus important et à double tranchant. Pour des raisons de souveraineté, certains états membres de l’Union européenne sont un peu réticents à l’idée de partager des informations sur cette question. Dans le même temps, ils perçoivent aussi leur vulnérabilité et la nécessité de se protéger dans un cadre plus large que le cadre national. L’adoption de différents textes, comme celui du Cybersecurity Act en juin 2019, reflète une avancée significative dans la volonté européenne d’harmoniser les méthodes d’évaluation et les niveaux de certification, afin de renforcer la sécurité du marché unique du numérique et la libre circulation des produits et des services. »

BBertrand

Brunessen Bertrand

Professeure agrégée de droit et chercheure à l’Université de Rennes 1

 

La révision de la directive Network and Information System Security (NIS) s’inscrit-elle dans cette logique ?

« La directive NIS adoptée en 2016 visait à renforcer et élever le niveau de cybersécurité des opérateurs de services essentiels (OSE) afin de les protéger d’attaques informatiques qui auraient des conséquences majeures sur le fonctionnement de l’économie et de la société. Comme ce sujet touche à des questions sensibles de souveraineté, la directive n’a pas voulu brusquer les étapes, d’autant plus que les marges de manœuvre nationales sont assez importantes. A titre d’exemple, il faut savoir que suivant les états membres, les hôpitaux ne sont pas tous des OSE, cette qualification dépendant parfois de la taille de l’établissement de santé. Face à de telles disparités, il parait difficile d’obtenir une protection totalement suffisante.

La révision NIS vise aussi à renforcer les obligations faite aux OSE de notifier les incidents cyber. Pour y parvenir, il est nécessaire que tous les pays de l’Union européenne parlent le même langage et s’entendent sur la définition, les origines (malveillance, défaillance du système, panne technique, phénomène naturel) et le niveau d’impact d’un incident cyber.

Quantifier, nommer et faire remonter, la commission européenne a constaté quelques dysfonctionnements et un manque de partage de la part de certains OSE qui perçoivent ces signalements comme contre intuitifs, préférant, le plus souvent, agir de manière discrète, afin de ne pas perdre la confiance de leurs usagers et de leurs fournisseurs. Si une culture commune de la cybersécurité a encore pour l’instant du mal à s’établir, c’est pourtant par elle que l’Europe parviendra à augmenter son niveau de cyber résilience face aux menaces d’attaques informatiques. »

 

Comment la réglementation européenne tient-elle compte de l’évolution de l’Internet des objets et de l’utilisation croissante de l’IA à l’hôpital, pour renforcer le niveau général de sécurité ?

« Aujourd’hui, avec l’Internet des objets et le passage du cloud computing vers le l’edge computing, la surface d’attaque des données stockées en périphérie est multipliée, augmentant leur vulnérabilité face aux cyberattaques. Tout dispositif médical, tout objet et jouet connectés deviennent un point d’entrée pour les hackers, ce qui impose de repenser complètement leur protection et d’avoir une approche de la cybersécurité qui intègre leurs spécificités. C’est l’un des objectifs du Cyber resilience act, un texte très important annoncé il y a quelques jours, qui vise à établir une nouvelle norme pour l’ensemble des produits contenant des éléments numériques. L’idée est d’appréhender leur sécurité tout au long de leur cycle de vie, avec des exigences de sécurité régulières au niveau des mises à jour et pas seulement au moment de leur mise sur le marché. Pour être efficace, cette exigence s’accompagne d’une extension dans le temps de la responsabilité des fabricants.

Quant à l’utilisation croissante de l’IA et de la robotique dans le domaine de la santé, elle interroge forcément les professionnels et les praticiens. En termes de cybersécurité, les enjeux du suivi de pathologies à distance se posent presque à un niveau individuel, avec des conséquences directes sur la santé des patients. Un projet de règlement européen pour réguler l’IA à haut risque est d’ailleurs sur le point d’être adopté, avec des exigences de robustesse, de solidité des données et de contrôle humain pour limiter la vulnérabilité liée à l’utilisation de ce type d’aide à la décision ou au diagnostique. »

 

L’application de la législation s’accompagne-t-elle d’une acculturation des établissements de santé ?

« Les points de vulnérabilité à l’hôpital se multipliant, les établissements se doivent d’acquérir une culture d’anticipation et d’adaptation au risque cyber, car toutes les professions médicales peuvent être impactées. Les petites structures ont parfois tendance, à tord, à ne pas se sentir directement concernées par la menace. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) fait à cet égard un travail considérable d’aide, de pédagogie et d’accompagnement. »

 

Pourquoi avez-vous accepté de participer à la troisième édition du CyberCamp Santé et qu’en attendez-vous ?

« Dans le cadre de mes recherches sur la valeur juridique, l’utilisation et la protection des données de santé, j’ai travaillé avec des spécialistes d’informatique médicale et des équipes du CHU de Rennes. Je me suis alors rendue compte que croiser les approches permettait de mieux appréhender ces questions dont l’intérêt est aujourd’hui crucial. C’est exactement ce que propose le CyberCamp Santé et je trouve que c’est formidable de réunir des représentants du monde juridique, des professionnels de santé, des spécialistes des systèmes d’information autour d’un événement qui laisse à chacun l’opportunité de s’exprimer et de se comprendre ! Ce projet, très bien pensé, représente le lancement d’une dynamique collective qui me parait pertinente et essentielle. Je suis donc très honorée et heureuse d’y participer. »

BIO EXPRESS

Professeure agrégée des facultés de droit, en poste à l’Université de Rennes 1, Brunessen Bertrand dirige le Centre de recherches européennes de Rennes (CEDRE) et le laboratoire de droit européen. Spécialisée depuis plusieurs années en politique européenne du numérique, elle mène des recherches sur la gouvernance des données, le marché unique numérique, l’intelligence artificielle et la santé ainsi que la cybersécurité au sein de l’IODE (Institut de l’Ouest Droit et Europe).

Elle est également en charge de la chaire Jean-Monnet sur la gouvernance des données (DataGouv) et secrétaire générale de la « Revue trimestrielle de droit européen » éditée par Dalloz.

« La cybercriminalité est devenue un risque systémique »

Spécialiste en droit pénal et procédure pénale appliqués à la cybercriminalité, Matthieu Audibert est officier supérieur de la gendarmerie nationale. A la tête du département des coopérations et des partenariats cyber, il revient sur l’importance d’informer les établissements de santé de la présence à leurs côtés, partout en France, d’experts et d’enquêteurs spécialisés, susceptibles d’intervenir en amont et lors de la gestion d’une cyberattaque.

Quelle évolution marquante constatez-vous en matière de cybercriminalité ?

« Il n’y a pas si longtemps, la cybercriminalité et plus généralement la menace cyber étaient un risque conjoncturel. C’est-à-dire qu’il était lié à des périodes, des temporalités plus ou moins courtes, pour lesquelles il était possible d’identifier une recrudescence, par exemple des tentatives d’escroqueries. Aujourd’hui, avec la massification de l’usage d’Internet et l’augmentation de la connectivité de la population par la téléphonie mobile, la cybercriminalité est devenue un risque systémique.

Matthieu Audibert,
Officier de gendarmerie, chef du département des coopérations et des partenariats cyber du commandement de la gendarmerie dans le cyberespace (ComCyberGend)

Toute entité publique ou privée sera un jour ou l’autre, si ce n’est pas déjà fait, exposée à un risque de piratage informatique. C’est la raison pour laquelle il est important d’avoir non seulement des capacités de police judiciaire permettant d’identifier les auteurs de ces infractions, mais surtout une approche proactive de prévention, contribuant à limiter la survenue d’une cyberattaque. Elle passe notamment par la formation, la mise en place de politiques de sécurité des SI et l’élaboration de fiches réflexes. »

 

En complément de cette approche proactive, de quel accompagnement les établissements de santé peuvent-ils bénéficier une fois la cyberattaque détectée ?

« Par delà cette prévention que l’on peut qualifier de situationnelle, nous travaillons, avec d’autres acteurs de l’État comme cybermalveillance.gouv.fr, à la diffusion d’une culture de la cybersécurité de réaction auprès des victimes et potentielles victimes de cyberattaques. Nous essayons de leur donner les moyens d’identifier la situation rencontrée, de connaître les actes réflexes à mobiliser et surtout de savoir qui prévenir afin de provoquer l’intervention des forces de l’ordre. Notre rôle d’enquêteurs consiste, d’une part, à mettre en œuvre des mesures de police judiciaire et d’autre part, en lien avec des services partenaires comme l’Agence nationale de la sécurité des systèmes d’information (ANSSI), à faciliter la mise en œuvre de de mesures de remédiation afin de limiter l’exposition de la structure à des attaques et des fuites de données de santé, de manière à circonscrire au maximum le préjudice subi tout en préservant les éléments de preuve permettant d’enquêter. »

 

D’où l’importance de la présence de gendarmes spécialisés en technologies numériques sur l’ensemble du territoire français ?

« Face à la menace cyber, les structures publiques et privées de la santé ne sont pas seules. Autour d’elles, existe tout un écosystème d’agences et de services de l’État, capable de les appuyer au niveau national mais aussi local, que les responsables, qu’ils soient directeurs d’établissements ou DSI, ont parfois du mal à identifier. Il faut donc savoir que dans chaque département français, la gendarmerie possède des enquêteurs spécialisés en technologie numérique (NTECH) ainsi que des  spécialistes des problématiques de sûreté, en mesure de réaliser un diagnostique, en partenariat avec la structure, ou d’intervenir pour prendre les premières mesures conservatoires.  Si une cyberattaque survient, la question essentielle est celle de l’alerte puis de prendre les premières mesures afin de limiter l’impact de cette cyberattaque . Effectivement, il est primordial de prévenir au plus tôt les services de police ou de gendarmerie, pour qu’en fonction de la compétence territoriale, les experts en technologies numériques interviennent afin de « geler », le plus rapidement, la scène d’infraction numérique. »

Avez-vous l’impression que la parole se libère ?

« On constate un double phénomène. D’une part, le risque cyber est de plus en plus pris en compte dans les politiques des différentes organisations, par rapport à une époque pas si lointaine, où la question de la SSI (sécurité des systèmes d’informations) apparaissait comme un peu secondaire, voire une dépense financière superflue. D’autre part, la connectivité de la population et des organisations qui explose et continuera d’exploser, fait que la problématique de la protection et de la fuite des données personnelles devient une légitime préoccupation à tous les niveaux. »

 

Vous avez participé à l’élaboration du Code de la cybersécurité, publié récemment. Quelle est sa raison d’être ?

« Ce Code de la cybersécurité a pour ambition de réunir, dans un seul et même ouvrage, tous les volets législatifs et réglementaires ayant trait à la cybersécurité. Il s’articule autour de trois grandes parties. Un livre premier orienté cybersécurité, contenant toutes les règles de base que doivent avoir en tête les responsables de la sécurité des SI et les personnes chargées de la protection des données personnelles ; un deuxième consacré à la lutte contre la cybercriminalité, à destination des professionnels du monde de la police judiciaire et de la justice ; un troisième qui porte sur toutes les règles juridiques relatives à la cyberdéfense, notamment par rapport à la protection d’opérateurs d’importance vitale que peuvent constituer les hôpitaux.

Sorti et présenté en juin dernier* lors du dernier Forum International de la Cybersécurité (FIC), il constitue un panorama complet des cadres juridiques et réglementaires, relatifs au milieu cyber en France et rassemble également de nombreux commentaires des différents auteurs, illustrant avec des exemples opérationnels comment ces règles trouvent à s’appliquer. »

 

Qu’attendez-vous de la troisième édition du CyberCamp Santé ?

« Cet événement va nous permettre d’être identifiés auprès des populations et des professionnels qui pourraient avoir besoin de nos services. C’est une belle opportunité pour renforcer les liens entre les professionnels de la sécurité informatique dans le milieu de la santé et les représentants des structures susceptibles d’intervenir à leur profit, ainsi que d’intensifier la diffusion d’une culture de la cybersécurité. Ce sera également l’occasion de mettre des visages sur des noms… »

 

*Publié chez Dalloz, il est accessible en format papier et numérique.

BIO EXPRESS

Officier de gendarmerie, le chef d’escadron, Matthieu Audibert est juriste de formation, spécialisé en droit pénal et en procédure pénale appliqués à la cybercriminalité.

Diplômé de l’université Paris Nanterre, de Sciences Po Aix en Provence, de l’université de Montpellier et de l’École des officiers de la gendarmerie nationale, il est affecté au commandement de la gendarmerie dans le cyberespace. Il dirige le département des coopérations et des partenariats cyber au sein de la division de la stratégie et de la gestion de crise cyber.

Il prépare une thèse de doctorat en droit privé et sciences criminelles portant sur le recueil de la preuve numérique en procédure pénale.

Des kits d’exercices de crise cyber pour les établissements de santé

La réalisation d’exercices de crise cybersécurité dans les établissements de santé étant l’une des actions prioritaires du Plan de renforcement cybersécurité du ministère de la Santé et de la Prévention, un groupe de travail réunissant l’ANS, le FSSI, les ARS et les GRADeS a élaboré des kits prêts à l’emploi et autoporteurs pour faciliter leur organisation.

Le point sur la méthodologie et le contenu avec Elodie Chaudron et Steven Garnier.

Comment est née l’idée d’élaborer des kits d’exercices de crise cyber et comment s’est-elle concrétisée ?

Elodie Chaudron : « En miroir du lancement de la stratégie nationale sur le numérique en santé, les représentants des Agences Régionales de Santé (ARS) et des Groupements Régionaux d’Appui au Développement de la e-Santé (GRADeS) qui siègent désormais au conseil d’administration de l’Agence du Numérique en Santé (ANS) ont remonté le besoin, au printemps 2021, de créer un espace de travail, sans sujet prédéfini au départ. Peu de temps après, la feuille de route du Fonctionnaire Sécurité des Systèmes d’Information (FSSI) sur le renforcement de la cyber-sécurité des ARS listait un certain nombre d’actions.

Elodie Chaudron,
Responsable du Développement Territorial à l’Agence du numérique en santé

Steven Garnier,
Référent technique eSanté à l’Agence Régionale de Santé Bourgogne-Franche-Comté.

Parmi elles, l’amélioration de la continuité d’activité a fait l’objet de premières réunions collégiales qui ont tout de suite fléché le besoin de mettre, à la disposition des établissements sanitaires, sociaux et médico-sociaux, des kits d’exercices de crise cyber.

Comme il existe plusieurs degrés de maturité dans les établissements, nous avons lancé des ateliers pour produire trois niveaux de kits : débutant, intermédiaire et confirmé. Nous avons ensuite mis en place des pilotes pour les tester et revoir les contenus, en fonction des premiers retours. »

Steven Garnier : « Disposer d’une vision régionale était une demande forte de notre part. En tant qu’agence, nous voulions aussi sortir un peu de notre rôle habituel d’organismes de contrôle auprès des établissements de santé. La conception de ces kits d’exercices était l’occasion de les accompagner dans la mise en place de prestations qualitatives. »

 

Quel est le contenu de ces kits ?

S.G. : « Les membres les plus actifs du groupe de travail territorial ont été sollicités pour apporter leur vue du terrain et leur expertise du fonctionnement des structures, afin de rendre les exercices les plus réalistes possibles. Comme le disait Elodie, il est apparu le besoin de décliner plusieurs niveaux de difficulté, parce les établissements de santé, qui ont la possibilité de s’auto-évaluer via une grille d’éligibilité, n’évoluent pas tous dans le même contexte en matière de cybersécurité et de continuité d’activité. Pour faciliter l’organisation d’exercices au sein des structures, ces kits d’exercices de crise cyber sont prêts à l’emploi et autoporteurs. Ils contiennent un document central qui est le déroulé simulé de l’attaque, composé de stimuli qu’on a essayé de rendre les plus réalistes possibles. Naturellement, on ne demande pas aux établissements de débrancher leur SI !  Il s’agit d’un exercice sur table, dont l’ambition première est de faire prendre conscience des enjeux aux directions des établissements. Il s’accompagne d’un certain nombre de documents à vocation plus pédagogique, pour amener les membres des cellules de crise à comprendre ce qu’est réellement une cyberattaque, les sensibiliser aux bonnes pratiques et faire passer quelques messages sur les aspects, un peu plus techniques, de sécurisation des SI. »

E.C. : « Même s’ils ont été conçus pour être les plus autoporteurs possibles, il a été jugé indispensable que, pour la première réalisation de chaque exercice, les établissements soient accompagnés par des professionnels. L’ambition du FSSI étant qu’ils réalisent un exercice par an. »

 

Cette ambition passe-t-elle par une obligation légale ?

E.C. : « Le sujet est aujourd’hui pris au sérieux par les directions d’établissements qui sont souvent confrontés à des problématiques de ressources dédiées. J’espère que l’obligation de réaliser ces exercices de crise aidera à faire bouger les consciences et peut-être à mobiliser un peu plus de budget sur la cybersécurité dans les établissements.

Les premiers retours d’expérience montrent que les exercices sont très appréciés, notamment par leur dimension métier et la mise en place rapide de solutions et procédures en faveur de l’hygiène informatique, mobilisant l’ensemble des Comités de Direction (CoDir). Ils apparaissent comme un bon outil de sensibilisation pour parvenir à une acculturation assez naturelle. »

S.G. : « C’était une demande en parallèle de notre part. Au niveau régional, on voulait bien se faire les porte-parole pour inciter les directions, mais il fallait que l’on s’appuie sur quelque chose qui les oblige légalement à le faire, comme la publication d’une instruction, composée d’un ensemble de mesures dites prioritaires, dont celle de la réalisation annuelle d’un exercice de crise cyber. D’autant plus qu’un établissement de santé n’est jamais à l’abri de se faire cyberattaquer plusieurs fois ! »

 

Est-ce que vous constatez un changement au sein des établissements de santé vis-à-vis de la cybersécurité ?

S.G. : «  Ce qui change, c’est une avancée dans la prise de conscience qui doit être collective et malheureusement chaque cyberattaque concourt à cette prise de conscience. Plus elles sont médiatisées, plus cela nous aide en termes de mobilisation et de sensibilisation des utilisateurs sur les risques encourus. C’est fondamental. »

E.C. : « La médiatisation est à double tranchant. Elle est à la fois positive et contraignante pour les projets de e-santé par la peur qu’elle peut susciter dans l’opinion publique. D’où la nécessité de rassurer les patients sur le cadre régalien et très sécuritaire du partage de leurs données de santé. Il existe encore beaucoup de craintes qui démobilisent l’ensemble des citoyens et ont un impact sur leur propre santé, surtout en matière de prévention. »

 

Quels messages souhaitez-vous faire passer le 2 février pour ce troisième CyberCamp Santé ?

S.G. : « L’écosystème de la santé a besoin de travailler avec les industriels du secteur, qui sont bien mobilisés lors de cet événement, pour continuer à faire bouger les lignes et à lutter contre la menace cyber. Il me parait aussi nécessaire d’échanger sur le sujet avec d’autres secteurs pour partager nos pratiques. »

E.C. : « Faites vos exercices de crise et, si possible, pas tous en même temps… »

BIO EXPRESS

Elodie Chaudron

Responsable du développement territorial pour l’Agence du Numérique en Santé (ANS), elle anime le groupe de travail territorial cybersécurité qui rassemble toutes les Agences Régionales de Santé (ARS) et tous les correspondants cyber des Groupements Régionaux d’Appui au Déploiement de la e-Santé.

Steven Garnier

Titulaire d’un Master en sécurité de l’information et cryptologie, Steven Garnier a d’abord été consultant puis responsable de la sécurité des SI à la direction générale de l’armement (DGA), chef de projet sécurité des SI pour le GCS e-santé Bourgogne puis responsable technique des SI au CH La Chartreuse à Dijon. Référent technique du département e-santé à l’Agence Régionale de Santé (ARS) Bourgogne Franche Comté, il s’occupe notamment de la problématique de la cybersécurité, en agissant comme sponsor du groupe de travail territorial sur la cybersécurité animé par l’ANS et représentant des ARS au COPIL cyber du ministère.