Cybersécurité

Les actions engagées pour limiter le risque cyber dans le secteur médico-social

Alors qu’en 2021, les premiers travaux menés avaient permis de produire un recueil centralisé de la documentation réglementaire, des recommandations et des bonnes pratiques en matière de cyber pour différentes cibles dont le médico-social, l’année 2022 a été marquée par la production d’un guide dédié au secteur médico-social et social « la cybersécurité pour le social et le médico-social en 13 questions ».

La cybersécurité en chiffres

S'il fallait résumer les actions en quelques chiffres…

11 ESMS accompagnés par le CERT Santé

Interview de Patrice Bigeard

Fonctionnaire de sécurité des systèmes d’information adjoint

Des travaux ont été menés en 2022 sur la cybersécurité dans le secteur social et médico-social. Pouvez-vous nous dresser le panorama des grandes actions réalisées ?

Un travail à mettre en avant en 2022 est la réalisation du guide Cybersécurité en 13 questions pour les ESMS. C’est un document d’un excellent niveau qui est parfaitement adapté au secteur. Il a une particularité qui lui confère une grande richesse : la possibilité de s’autoévaluer à chaque question. Plus qu’un outil de sensibilisation, c’est également un outil de travail pour le secteur. Il est le fruit d’un travail collectif avec l’ensemble des parties prenantes que ce soit au niveau national mais également régional et local sur lequel nous avons pu apporter notre contribution.

Dans les autres faits marquants de l’année 2022, nous pouvons citer la publication du décret de signalement des incidents significatifs et graves qui impose aux ESMS l’obligation de signalement d’un incident cyber dès lors qu’il impacte le parcours d’un patient ou s’il porte un risque de latéralisation auprès d’autres partenaires.

Enfin l’appel à projet lancé par l’ANSSI pour financer des acquisitions de licences de produits de sécurité informatique à l’échelle d’un GHT a permis à quelques ESMS de bénéficier d’outils performants et financés. Cette première étape, certes modeste au regard de la taille du secteur médico-social, mais très utile pour enclencher une convergence et une mutualisation des ressources et des moyens.

Pour terminer le panorama de 2022, nous avons observé avec intérêt l’entraide entre le secteur sanitaire et le médico-social. Des équipes de centres hospitaliers viennent en aide aux équipes d’ESMS. C’est une démarche vertueuse qu’il faut promouvoir et faciliter dans les années à venir !

Perspectives des travaux qui seront menés en 2023 ?

En 2023, il faudra poursuivre la dynamique enclenchée en 2022 avec le Guide cybersécurité afin de s’assurer de sa diffusion et son utilisation dans le secteur médico-social. Nous devrons également transposer dans une instruction le décret publié en 2022 pour pouvoir plus largement communiquer sur ce sujet. Avec l’intégration du médico-social, le CERT-Santé aura également à s’organiser pour répondre à l’arrivée d’un nouveau type de bénéficiaire.

L’ambition pour 2023 serait de collaborer un peu plus avec les principaux acteurs de l’infogérance qui composent le marché des ESMS à des fins de sensibilisation et de travail en commun sur des exigences accrues en sécurité numérique. C’est une cible importante dans la protection des systèmes d’informations. Plus globalement, l’objectif est de poursuivre l’effort collectif avec l’ensemble des acteurs de l’écosystème pour améliorer le niveau de maturité et de résilience du secteur médico-social au risque cyber.