Cybersécurité : comment protéger les données de santé des Réunionnais ?

Dans le cadre de la politique nationale de cybersécurité réaffirmée par le président de la République, l’ARS La Réunion soutient, depuis plusieurs années, les projets et actions déployés par les établissements de santé dans la sécurisation de leurs systèmes d’information, en s’appuyant sur le Groupement de Coopération Sanitaire Tesis.

La signature de Contrats Pluriannuel d’Objectifs et de Moyen

Depuis 2019, des objectifs ont été fixés sur la cybersécurité, dans les Contrats pluriannuels d’Objectifs et de Moyen (CPOM) signés entre l’ARS et les établissements de santé.

La réalisation d’un audit de sécurité en 2020

Fin 2019, une enveloppe financière a été attribué aux établissements publics afin de financer la réalisation d’audits permettant d’évaluer la sécurité du système d’information hospitalier (analyse des failles de sécurité, scénarios de menaces, audit ISO 27002 …) et d’améliorer le management de la sécurité de l’information. Les conclusions ont été rendues en 2020 avec un plan d’actions détaillé et chiffré intégrant notamment :

• la prise en compte des référentiels d’exigences.
• les mesures organisationnelles et techniques à mettre en œuvre.
• les scénarios de menaces propres à l’organisation du système de santé de La Réunion.
• des éléments d’accompagnement à la conduite du changement et de communication.

Parallèlement à cet audit, un Responsable de la Sécurité des Systèmes d’Information du Groupement Hospitalier de Territoire (GHT) regroupant les établissements publics de La Réunion, a été nommé en 2020 à la demande de l’ARS.
 

Une offre régionale de réponse à incident de cybersécurité mise à disposition des établissements

En septembre 2021, une offre régionale de Réponse à Incident de Cybersécurité a été mise en œuvre. Elle comprend la qualification et la résolution des incidents, la gestion de crise, les investigations numériques...

Le prestataire en charge de cette offre, certifié par l’Agence Nationale de Sécurité des Systèmes d’information et accessible 24h/24 et 7j/7 aux établissements sanitaires et médico-sociaux membres du GCS TESIS, a été financé par l’ARS La Réunion sur une durée de 1 an afin de permettre une réévaluation du dispositif à l’issue de cette période.

Une nouvelle offre devrait prochainement voir le jour et permettre d’apporter un premier niveau de réponse aux établissements, et d’être d’avantage pro-actif en permettant d’intervenir en amont.
 

Un accompagnement renforcé pour les établissements publics de santé jusqu’en 2025

Une convention a été signée en janvier 2022 entre l’ARS et le GHT pour mettre en œuvre un plan d’action portant sur la sécurité de leurs systèmes d’information, avec une aide financière à hauteur de 3 789 000 € pour la réalisation des projets concourant à la sécurité des systèmes d’information sur la période 2021 à 2025.
 

La réalisation d’exercices de gestion de crise

Les établissements de santé et médico-sociaux sont actuellement sollicités afin de réaliser un exercice de simulation de gestion d’une crise cyber. Les kits utilisés pour ces exercices ont été produits par l’Agence du Numérique en Santé avec le concours de plusieurs régions dont La Réunion.

Fin 2023, tous les établissements privés et publics de La Réunion devraient avoir réalisé au moins un exercice de simulation.
 

La constitution d’équipes expertes en cybersécurité

L’ARS soutient la mise à disposition d’une équipe d’experts en cybersécurité au sein du GCS Tesis qui accompagne les établissements de santé dans leur diagnostic, la déclinaison d’un plan d’action ainsi que son suivi. Les structures peuvent également être partie prenante dans les projets ou proposer de mutualiser ces derniers à l’échelon régional.

« En informatique comme en médecine, il y a des règles d’hygiène à respecter ! »
C’est le message principal que souhaite passer le label régional NOUVEY (“on veille” en créole).

Créé par l’ARS La Réunion et les acteurs de santé et mis en œuvre par TESIS, NOUVEY a pour mission de sensibiliser les acteurs de santé aux enjeux de sécurité informatique.

Clics sur des mails frauduleux, usage personnel des outils professionnels, mots de passe partagés et faciles à déchiffrer… ces mauvaises habitudes sont autant de portes d’entrée pour les pirates informatiques qui peuvent alors prendre en otage le système d’information d’une structure de santé. Les conséquences peuvent être très graves pour les patients.

Les objectifs de NOUVEY

Les objectifs de NOUVEY sont  :

• d'améliorer la maturité des acteurs de santé sur la cybersécurité.
• d'inciter l’ensemble des professionnels à adopter les bonnes pratiques qui rendront le système d’information plus sûr et résistant.
• de montrer la dynamique mise en place sur la cybersécurité dans le domaine médical et médico-social.

NOUVEY est symbolisé par un emblème local dont la vision à 342°
est capable de (presque) tout voir sans être vu :
l’endormi.

Une campagne de communication pour informer et sensibiliser aux enjeux de la cybersécurité

Fin 2022 - début 2023, une campagne de communication pédagogique a été lancée auprès des acteurs de santé pour communiquer sur ce label :

• des affiches
• des campagnes sur les réseaux sociaux
• des supports dématérialisés (vidéos, quiz, infographie...)
• un site internet dédié
• des sessions de formations et de sensibilisation (webinaires)
• un événement annuel dédié

Des outils à disposition de tous les acteurs

Les outils pratiques mis à disposition de tous les acteurs de la santé de La Réunion comprennent :

• un kit pédagogique pour sensibiliser les professionnels (affiches, post réseaux sociaux, vidéos, infographie...)
• un site internet dédié,
• une offre de service dédiée à la cybersécurité portée par TESIS avec le soutien de l’ARS La Réunion (accompagnement, formation, jeux sérieux).

Des questions pour communiquer sur NOUVEY ?
Contactez GCS TESIS
0262 77 01 00
contact@tesis.re