Les usages numériques en santé explosent et avec eux, le risque cyber. Troisième secteur le plus touché par les cyberattaques, la santé peut compter sur le soutien d’acteurs régionaux comme les Groupements de Coopération Sanitaire (GCS) e-Santé pour l’aider à déployer des solutions numériques de façon sécurisée. Exemple ici avec les exercices de crise réalisés avec Advens auprès de plus de 90 établissements de santé des Pays de la Loire.
CaRE, le plan d’action pour une meilleure cybersécurité en santé
En fin d’année 2023, le gouvernement a annoncé un plan d’action conséquent, baptisé CaRE, pour accélérer la mise à niveau des systèmes d’information hospitaliers face à la menace de cyberattaques et renforcer la résilience des structures de soins. En amont, l’instruction du 30 janvier 2023 avait déjà rendu obligatoire la réalisation d’un exercice de crise cyber chaque année dans les établissements de santé.
Dans ce double contexte, l’Agence Régionale de Santé (ARS) des Pays de la Loire a confié au GCS e-santé Pays de la Loire la mise en place d’exercices de crise cyber sur son territoire.
« L’ARS nous a délégué les fonds reçus du Ministère pour cet accompagnement afin que nous puissions adopter une approche mutualisée auprès d’une centaine d’établissements de santé. »
Auriane Lemesle • Référente régionale Sécurité des Systèmes d’Information e-santé Pays de la Loire
Un partenaire unique pour tous les exercices de crise
Le choix a été fait de sélectionner un partenaire unique pour réaliser l’ensemble des exercices de crise (près de 80 fin mars 2024) et en faciliter le pilotage. Le recours au marché proposé par la centrale d’achat CAIH a permis de simplifier cette procédure. Auriane Lemesle souligne : « nous souhaitions industrialiser la démarche sans perdre en qualité et contextualisation des scénarios. En effet », précise-t-elle, « les établissements de santé concernés présentent une grande diversité. Nous avons donc particulièrement apprécié la cohérence entre les différents exercices. Elle a permis d’aboutir à une évaluation homogène et pertinente au niveau du groupement ».
Lors d’une première réunion, Advens a recueilli le maximum d’informations pour éviter les faux pas lors de l’adaptation des kits d’exercice CaRE fournis par l’Agence du numérique en santé. Plusieurs mois d’apprentissage s’en sont suivis, utiles notamment pour accorder les niveaux d’exigence. « Les kits ont été élaborés de manière standardisée afin de pouvoir être utilisés dans tous les types d’établissements de santé. Avec notre partenaire, nous avons identifié quelques axes de contextualisation pour rendre les exercices plus immersifs », explique Auriane Lemesle. « Grâce à la souplesse et au dialogue établi avec Advens, nous avons pu enrichir les critères d’évaluation et aller chercher un cran plus loin sur la valeur des exercices », poursuit-elle.
Ce partenariat rapproché a donc permis de mutualiser l’approche tout en répondant aux contraintes des établissements. Les kits s’approchent ainsi de la réalité à travers des scénarios contextualisés en psychiatrie, en services de réadaptation, en cancérologie et au travers de l’appropriation des spécificités des structures d’hospitalisation à domicile, permettant une adaptation opérationnelle majeure du scénario pour ce type d’établissements.
« Chaque exercice se déroule en présence de trois consultants Advens accompagnés d’un à deux représentants du GCS e-Santé Pays de la Loire », indique Nicolas Brossard, Manager Conseil Advens. Pour lui, le mandat donné par l’ARS au GCS a été déterminant dans la dynamique créée : « aux côtés d’un interlocuteur unique, on va plus vite ! »
Résultats et perspectives
Les kits ainsi élaborés ont été mis à disposition des autres régions via la task force nationale CaRE à laquelle contribue Auriane Lemesle en tant que représentante des Groupements régionaux d’appui au développement de la e-santé (GRADeS). Dans les Pays de la Loire, les résultats sont au rendez-vous des objectifs fixés : fin 2023, 66 % des structures de santé avaient réalisé un exercice de crise et la démarche se poursuit à bon rythme.
« Au-delà des chiffres, on observe de véritables prises de conscience relative à la cyber en santé chez les dirigeants et présidents de commission médicale d’établissement (CME). »
Auriane Lemesle • Référente régionale Sécurité des Systèmes d’Information e-santé Pays de la Loire
« C’est sans doute le résultat de la pédagogie et de la bienveillance dont nous avons tâché de faire preuve. Il était primordial de tenir compte des appréhensions que ces sujets peuvent générer chez les professionnels de santé » salue Auriane Lemesle. Nicolas Brossard complète : « Chaque structure reçoit des préconisations après les deux heures d’exercice, mais il n’est pas rare que la réflexion se prolonge chez certains participants : “si la situation venait à durer, quel serait le plan blanc numérique de l’établissement ?”. »
Et parmi les questions ouvertes, se pose celle de la pérennité de cet exercice annuel : le premier a été pris en charge par le GCS e-santé, qu’en sera-t-il du prochain ? Comment les établissements vont-ils s’approprier la démarche ? Côté GCS, on entend bien finir de capitaliser sur l’ensemble des exercices et l’on espère bientôt pouvoir étendre le périmètre du programme aux établissements médico-sociaux. Et Nicolas Brossard de conclure : « Sur l’ensemble des sujets de résilience, nous ne sommes qu’au début de l’histoire. »