Les innovations portées par l’IA et le développement des nouvelles technologies sont majeures et extraordinaires de potentialités, mais nul ne peut ignorer la nouvelle menace qui accompagne ces progrès.
La cybersécurité est devenue LE sujet du moment. Les établissements de santé sont confrontés à des cyberattaques, et demandes de rançon, mais ils ne sont pas les seuls. Le secteur médico-social aussi est touché.
Personne ne doute plus du levier de transformation que représente le numérique. Il permet de décloisonner et mieux coordonner le travail des divers professionnels tout en favorisant les innovations thérapeutiques et organisationnelles. Et s’il replace incontestablement l’individu au cœur des organisations, il entraîne des flux et échanges d’informations, qui sont autant de prises de risque pour la sécurisation des données et donc in fine pour la prise en charge des individus. C’est ainsi que dès juin 2019, un plan de renforcement a permis d’accompagner les établissements dans la conduite du changement.
Mais les attaques de cyber malveillance de plus en plus sophistiquées ont obligé les différents acteurs à plus de responsabilités et de pédagogie. Audits, formations et réponses aux incidents pour soutenir les établissements sont devenus prioritaires pour l’agence du numérique en santé dont les actions ont été renforcées avec la mise en place du Cert santé, une entité composée d’experts qui accompagne et assiste les acteurs dans la lutte contre la cyber malveillance.
Le volet numérique du Ségur de la santé a prévu une enveloppe de 2 milliards d’euros d’investissements, dont 600 000 pour le seul médico-social, afin d’accélérer la numérisation des établissements, renforcer l’interopérabilité des divers systèmes et leur sécurité.
Pour aller plus loin, l’Agence du numérique en santé et ses partenaires ont réalisé en 2022, un Guide Cybersécurité spécialement appliqué au secteur social et médico-social (voir synthèse ci-jointe), propose aux acteurs des recommandations concrètes, claires et simples, pour anticiper et se protéger des menaces numériques. Comme l’indique Annie Prévot, directrice générale de l’Agence du Numérique en santé, il « livre de manière pédagogique les clés fondamentales de l’hygiène informatique et des gestes à connaitre en cas d’incident. Il permet de participer pleinement à la démarche de protection de l’ESSMS pour l’ensemble des professionnels du secteur, en répondant à leurs questions sur les techniques d’hameçonnage et les moyens pour les éviter, mais aussi sur les premiers gestes à adopter dans le cas d’un incident. La force réelle de toute démarche de cybersécurité est constituée par un collectif humain informé et responsable ! ».
Un soutien pour les Ehpad
Les incidents peuvent se révéler très impactants pour les établissements, créant une situation de crise qui les oblige à déployer des dispositifs de communication interne et externe. L’intervention des experts du Cert Santé est alors déterminante. 5 analystes et un chef d’équipe y travaillent en binôme pour délivrer conseils et solutions lors de situations à risque. « Il est essentiel de déclarer les incidents de sécurité, et de surtout pas les masquer », expliquent Olivier et Quentin, membres de l’équipe, sur le stand de l’ANS à SantExpo. « Notre action vise à anticiper et prévenir de nouvelles attaques. Il n’y a pas de jugement de valeur. Tous les établissements peuvent être touchés. Nous sommes là pour faire profiter les entreprises de notre expérience, jamais pour supplanter les prestataires en place. Notre mission est opérationnelle, en réponse à un incident. Mais elle nous permet d’aider les établissements à combler certaines lacunes, vérifier qu’il n’y a pas de « trous dans la raquette » et que la structure peut continuer à fonctionner sans risque. Parfois aussi nous intervenons pour lever un éventuel doute, en expert technique ou pour réaliser des exercices de simulation de crise. C’est très bénéfique et instructif pour les établissements ».
A savoir : les ESMS obligés de déclarer leurs incidents graves de sécurité
Un décret du 27 avril 2022 complète l’ordonnance du 18 novembre 2020 relative aux missions des agences régionales de santé (ARS). Il élargit l’obligation de signalements d’incidents significatifs ou graves de sécurité des systèmes d’information aux établissements médico-sociaux.
Tous les signalements remontent désormais directement via le Portail des signalements des évènements sanitaires indésirables (PSIG) à l’Agence du numérique en santé ANS (CERT Santé) qui a la responsabilité d’informer sans délai l’ARS concernée et le Service du haut fonctionnaire de défense et de sécurité (HFDS), que l’incident soit de nature malveillante ou non, avec ou sans impact sanitaire.
Pour aller plus loin, retrouvez le Hors Serie Nouvelles Technologies sur geroscopie.fr
A propos de l’auteur
Créé en 2002, Géroscopie est le mensuel de référence des décideurs en maisons de retraite. Son objectif est d’accompagner les dirigeants dans leur prise de décisions, en leur apportant une information spécialisée, proche du terrain et de leurs préoccupations.
Silver Economy Expo se déroule les 28 et 29 novembre à Paris Porte de Versailles. Vous n’êtes pas encore inscrit(e) ? Faites-le dès maintenant en cliquant ici.
