Témoignage client - COVID-19 et cybersécurité : aider les praticiens de santé

La crise sanitaire a accéléré la numérisation des consultations médicales et apporté son lot de risques informatiques. Le GCS e-santé Pays-de-la-Loire a renforcé son action et accompagné les professionnels en leur fournissant notamment des logiciels sécurisés et des formations aux bonnes pratiques. Rencontre avec Auriane Lemesle, référente régionale de la sécurité des systèmes d’information.

Le GCS e-santé Pays-de-la-Loire agit en tant que soutien au développement de la e-santé en région. Nous mettons ainsi en œuvre les politiques numériques de santé sous le pilotage de l’Agence Régionale de Santé (ARS), afin d’améliorer la prise en charge et la coordination autour des usagers. Nous travaillons au déploiement des systèmes d’information partagés pour faciliter l’échange et le partage des informations et développons la télémédecine sur les territoires.

Le GCS e-santé Pays-de-la-Loire fédère les acteurs de la santé et du médico-social de la région. A la demande de l’Agence Régionale de Santé ou des professionnels, nos chefs de projet réalisent le cadrage et la planification du déploiement des outils. En complément, information, formation et support sont les principales missions des chargés d’appui répartis sur les 5 départements.

Les acteurs de la santé ont dû faire face à la généralisation du télétravail en déployant massivement et rapidement de nouveaux outils collaboratifs et de travail à distance, parfois avec le matériel personnel de leurs agents, dont le niveau de maîtrise est insuffisant. Cela a eu pour effet de considérablement augmenter la surface d’attaque des structures. La crise sanitaire a également mis en lumière les bénéfices des prises en charge à distance lorsque cela est possible.

Nous avons modifié notre organisation et nos activités pour focaliser nos efforts sur les outils permettant un soutien dans le pilotage de la crise (répertoire opérationnel des ressources pour la disponibilité des lits COVID-19, résumés de passage aux urgences pour le suivi épidémiologique, alimentation des cartes nationales…). Nous nous sommes également concentrés sur le déploiement et l’aide à la prise en main d’outils permettant de faciliter la continuité des soins (télémédecine, télé-suivi des patients COVID-19, agenda partagé pour identifier des créneaux disponibles chez les praticiens…). Grâce à une solution de téléconsultation mise à disposition gratuitement par l’ARS, les professionnels et usagers de la région ont pu limiter les déplacements, les risques de contamination et le stress associé. Des modalités de formation et de soutien accélérés (guides, flyers, webinaires, support téléphonique…) ont également été mises en place afin de répondre à la demande massive. Des stratégies d’équipement massives tant logicielles que matérielles ont également conduit à une véritable course à « l’armement » pour dégoter les derniers ordinateurs portables, tablettes, smartphones, webcams, enceintes présents sur le marché afin d’équiper structures et professionnels.

Nous avons observé un formidable élan d’adaptation et d’agilité de l’équipe. Chacun ayant fait preuve d’une réelle motivation pour apporter sa pierre à l’édifice dans la gestion de la crise aux côtés des professionnels présents sur le front.

En effet, nous avons reçu beaucoup de questions autour des risques liés à la mise en place du télétravail par les petites structures médico-sociales ; des bonnes pratiques de mises en œuvre ont donc été diffusées. Egalement, nous avons reçu des alertes de structures recevant des tentatives de fraudes (tentatives d’escroqueries qui utilisaient l’objet de la COVID-19 notamment), ce qui a permis de faire parvenir l’information à l’ensemble des établissements de la région en complément des postures de vigilance émises par les fonctionnaires de sécurité des systèmes d’information (FSSI) des ministères sociaux. Par chance, le nombre d’incidents a été limité (moins d’une dizaine) : une tentative d’escroquerie aux faux ordres de virement (fraude au Président) qui n’a pas abouti. Des piratages de boîtes e-mails, d’outils d’accès à distance et quelques ransomwares n’ont heureusement pas impacté la prise en charge des usagers.

Sous le pilotage de l’ARS, le GCS e-santé Pays-de-la-Loire propose une démarche régionale basée sur la mutualisation et la diversification des accompagnements, chaque structure étant libre de se saisir de ces derniers en fonction de ses besoins. Ainsi, nous proposons une veille technologique et réglementaire accessible en ligne et un appui aux structures en cas d’incident en partenariat avec la cellule d’Accompagnement Cybersécurité des Structures de Santé nationale avec un relai des alertes. Nos accompagnements sont également très centrés sur l’humain, avec des formations dédiées aux personnes en charge de la sécurité mais aussi aux managers ; en début d’année nous avons fait un focus sur le secteur médico-social en organisant un séminaire dédié aux responsables de ce secteur. Des webinaires spécifiques sur des problématiques techniques sont organisés à l’attention des équipes SI ; les thématiques sont choisies en fonction des sujets d’actualité, des difficultés remontées à l’occasion des reportings ou lorsque plusieurs incidents ont une origine commune. Nous organisons également régulièrement des journées régionales ouvertes à tous. Elles sont pour nous l’occasion de fédérer les acteurs autour des actualités ou des témoignages régionaux. Enfin, nous proposons des outils de sensibilisation mutualisés et co-construits avec les acteurs régionaux : des affiches humoristiques et percutantes, des vidéos au format court, un flyer à destination des fournisseurs de solutions numériques pour les informer de la nécessité de la prise en compte de la sécurité dès le démarrage des projets. Enfin, avec le concours d’Orange Cyberdefense,  nous avons mis en œuvre le premier escape game de sensibilisation à la sécurité numérique contextualisé à la santé : Sant’escape – sécurité numérique**. Nos structures ont ainsi pu être formées et aujourd’hui autonomes dans sa mise en œuvre grâce à un kit de ressources mis à leur disposition. A ce jour, plus de 400 personnes ont pu bénéficier d’une session.

Orange Cyberdefense est fier d’annoncer que Sant’Escape, son escape game dédié à la cybersécurité, a remporté le Prix de la Sécurité des Talents de la e-santé.

Les Talents de la e-santé ont été organisé pour la 1^ère fois le 10 décembre dernier, par la Délégation ministérielle au Numérique en Santé (DNS) et l’Agence du Numérique en Santé (ANS). Ils valorisent l’engagement des acteurs de terrain sur le numérique en santé.

Le projet Sant’Escape s’est distingué parmi 197 dossiers (et 47 finalistes). Pour rappel, Sant’Escape a été conçu en collaboration avec le GCS* e-santé Pays-de-la-Loire. Les participants du jeu se mettent dans la peau de cinq journalistes peu scrupuleux d’un magazine people. Ils doivent décrocher un scoop sur l’état de santé d’une célébrité et tentent de pirater les données d’un établissement de santé en 45 minutes. Une manière ludique de sensibiliser aux bonnes pratiques de sécurisation des données.

Pour en savoir plus, n’hésitez pas à contacter nos expert.e.s.

Notes :

*GCS : Groupement de coopération sanitaire