Intervention : N.Vincent
Sécurité informatique et sécurité des données médicales via internet dans les établissements de santé. « Cyberattaques : comment s'y préparer dans les secteurs de la santé? »
Category
🤖
TechnologieTranscription
00:00 (Musique douce)
00:02 (...)
00:11 -Donc, pourquoi ce sujet aujourd'hui ?
00:14 Si on regarde l'information de l'Observatoire
00:16 des incidents de sécurité dans la santé,
00:20 69 établissements sur 432
00:25 ont déclaré 2 incidents de sécurité
00:29 durant l'année 2022,
00:30 et 15 d'entre elles en ont signalé 4.
00:34 Et donc, je vous ai fait une petite extraction
00:39 d'un outil qu'on a au sein de notre établissement.
00:44 Du 1er septembre 2023 au 31 octobre 2023,
00:49 sur environ 47 000 mails traités,
00:52 on a eu 547 attaques
00:56 qui auraient pu complètement stopper notre système d'information
01:00 si les outils mis en place n'avaient pas fait barrière.
01:04 Alors, pourquoi on en arrive là aujourd'hui ?
01:07 Nous sommes dans des environnements de plus en plus connectés.
01:12 Avant, on avait simplement des PC, des serveurs.
01:17 Maintenant, on nous demande de connecter des smartphones.
01:21 On fait de la télémédecine,
01:24 on connecte dans votre domaine les générateurs de dialyse,
01:28 des traitements d'eau.
01:31 Dernièrement, on nous a demandé de connecter des centrales acides.
01:35 Donc, tout ça fait qu'on augmente notre surface d'attaque.
01:40 Donc, je vous propose de voir comment,
01:46 dans notre établissement,
01:49 on essaie de protéger nos données de patients et de salariés.
01:54 Je dis toujours "essaie"
01:55 parce qu'on sait qu'avec nos outils,
01:57 on repousse le moment de l'attaque,
02:00 mais un jour ou l'autre, on est attaqué.
02:05 La dernière en date chez nous, c'était il y a 6 ans,
02:10 très certainement par le biais d'un prestataire
02:13 qui avait pris la main
02:16 sur notre système d'information pour faire de la maintenance.
02:22 Et quand j'ai commencé l'informatique,
02:25 il y a plus de 30 ans,
02:27 on ne parlait pas vraiment de cyberattaques.
02:32 Et pourtant, la 1re cyberattaque est survenue en France
02:36 bien avant l'invention d'Internet,
02:39 je dirais dans les années 1830, 1834.
02:43 Des pirates ont volé des informations
02:45 sur les marchés financiers
02:47 en accédant au système télégraphique français.
02:49 Donc on peut dire que les attaques, ça date de longtemps.
02:54 Bref, il suffisait,
02:58 quand j'ai commencé l'informatique,
03:02 d'un antivirus,
03:04 et puis on ne parlait pas trop de sécurité.
03:07 Maintenant, c'est bien différent.
03:11 Surtout dans un établissement comme nous,
03:13 il faut protéger une vingtaine de centres.
03:19 Alors déjà, la sécurité,
03:20 quelles sont nos obligations au niveau des services informatiques ?
03:24 Il y a 4 critères de sécurité à respecter.
03:29 C'est ce qu'on appelle le DCIP.
03:32 La disponibilité, donc rendre les données disponibles
03:37 le plus possible,
03:39 on va dire 24 heures sur 24 et 7 jours sur 7,
03:42 il faut tendre vers.
03:44 Rendre l'information intelligible
03:47 uniquement aux personnes ayant le droit d'accès aux données.
03:51 Respecter l'intégrité du système et de ses données.
03:55 Donc garantir que les données
03:57 que vous rentrez dans le système d'information
03:59 soient bien celles qu'on va pouvoir vous redonner ensuite.
04:03 Et puis le P, la PREU,
04:06 c'est-à-dire la traçabilité des connexions et des actions
04:09 pour pouvoir, en cas d'incident,
04:12 remonter aux problèmes
04:14 et faire en sorte qu'ils ne se reproduisent plus.
04:17 Alors, qui sont les sentinelles de la sécurité
04:22 au niveau du système d'information de l'oral ?
04:26 Donc, déjà, un RSSI,
04:30 un responsable de la sécurité du système d'information
04:33 qui, dans les établissements de santé,
04:36 peuvent être soit internes, soit externes,
04:39 et qui va travailler avec les services informatiques
04:42 et qui va travailler en collaboration avec la direction.
04:44 Elle est responsable de la gestion des risques de l'oral.
04:48 Donc on verra plus loin qu'ils peuvent intervenir
04:51 dans certaines actions de sécurité.
04:56 On a un groupe SIH.
04:59 C'est une instance où sont représentées
05:02 toutes les professions de l'oral
05:06 qui va pouvoir intervenir dans la rédaction
05:09 de certains documents de sécurité,
05:14 qui va choisir les évolutions
05:17 en fonction de la cartographie du système d'information,
05:21 qui va dire, oui, tel logiciel ou tel matériel
05:25 va pouvoir être intégré dans notre système d'information
05:29 et va vérifier dans un cahier des charges précis
05:32 les normes de sécurité.
05:36 Après, j'ajoute toujours aussi le groupe DPO.
05:41 En 2018, nous avons fait le choix
05:44 d'un groupe DPO au sein de l'oral
05:48 devant le travail qu'il fallait fournir.
05:53 Donc au tout départ, on avait un CIL,
05:58 mais en 2018, avec la loi européenne,
06:02 on a basculé sur des analyses d'impact,
06:07 des audits, donc on a renforcé le DPO
06:12 avec deux autres personnes.
06:15 Donc ils vont pouvoir réaliser des audits
06:17 de sécurisation des données, c'est-à-dire, par exemple,
06:20 on va pouvoir faire un audit auprès du service comptabilité
06:24 pour s'assurer que,
06:26 notamment en termes de suppression des données,
06:31 le travail est bien fait,
06:33 parce que souvent, ce côté-là est un peu plus négligé,
06:37 on stocke les documents et on ne fait pas le ménage.
06:41 Et j'ai un petit exemple à vous donner.
06:43 On a un collègue qui avait intégré la société
06:50 depuis 3 ou 4 ans,
06:52 et son ancienne employeure l'a contactée à un moment donné
06:57 parce que sa boîte avait été piratée.
07:03 Donc du coup, il lui annonçait
07:06 que ses données pièces d'identité RIB
07:10 avaient été volées par les hackers
07:13 et il a dû porter plainte.
07:15 Donc pour que ce genre de situation ne se passe pas,
07:21 il faut avoir au sein des établissements aussi
07:24 une politique de destruction des données
07:27 dont on n'a plus besoin.
07:29 Si un salarié part, on n'a pas lieu de conserver ces données,
07:34 parce qu'en cas de cyberattaque,
07:36 on doit avertir tous les patients, tous les salariés
07:39 pour lesquels les données ont été volées.
07:42 Et puis je rajoute aussi toujours ce groupe
07:49 Identito Vigilance,
07:51 qui va s'assurer, lui aussi,
07:54 d'une partie de sécurité des données qui sont rentrées.
08:00 Donc on a plus l'habitude...
08:02 C'est un groupe qui va s'assurer du bon soin aux bons patients,
08:09 mais aussi qu'on ne puisse pas usurper
08:12 l'identité d'un salarié ou d'un patient.
08:20 On a eu aussi un gros travail
08:22 avec les associations Dialyse et le groupe Saran & Fraud
08:28 sur la vérification de l'intégration.
08:34 On a voulu intégrer à un moment donné une nouvelle machine
08:38 et on a mis presque plus d'un an de travail
08:42 avec le prestataire
08:45 pour vérifier que toutes nos données,
08:50 puisque c'était des données qui allaient être exportées
08:53 dans le cloud,
08:55 soient bien sécurisées, cryptées, etc.
08:59 Donc il y a aussi un gros travail de ces instances à ce niveau-là.
09:04 Côté logiciels et documents,
09:05 on a bien sûr établi une politique de sécurité
09:08 qui va définir les plans d'action
09:10 pour maintenir un certain niveau de sécurité.
09:13 Donc ils peuvent définir par exemple la longueur,
09:17 la complexité des mots de passe,
09:20 leur durée de vie et leur historique.
09:23 On a défini une charte informatique
09:26 qui va donner aux salariés
09:30 toutes les règles de bon usage du système d'information.
09:35 Par exemple, lorsque vous sortiez
09:39 de l'association avec un portable, un smartphone,
09:44 toutes les normes de sécurité qu'il faut y rajouter.
09:48 Nous avons contractualisé en 2022
09:54 à une cyberassurance
09:57 qui va nous réaliser un petit audit de sécurité
10:01 une fois par an
10:03 et qui, en cas de cyberattaque,
10:05 va être là pour nous épauler
10:08 avec des experts.
10:10 Ça, c'est nouveau.
10:14 On l'a mis en place l'année dernière.
10:16 Bien sûr, on est dans le système de la santé du POU depuis 2015.
10:24 On a sécurisé aussi nos flux
10:26 avec les professionnels de santé
10:29 pour les échanges de documents
10:31 avec l'utilisation d'une messagerie sécurisée.
10:33 C'est Mont-Cicero, dans la région lyonnaise,
10:37 mais on a aussi connecté notre coeur de métier,
10:42 notre logiciel avec MonEspaceSanté,
10:45 ce qui permet aussi aux médecins
10:49 d'envoyer les documents dans cet espace sécurisé.
10:54 Et puis on communique également avec nos patients
10:59 dans cet espace santé aussi avec la messagerie citoyenne.
11:03 Bien sûr, après, c'est plus parlant, un antivirus
11:06 qu'on est en train de travailler
11:08 et d'y rentrer une notion d'intelligence artificielle.
11:12 Et un anti-spam,
11:14 un outil qui permet de rentrer dans nos listes blanches
11:20 la première fois que quelqu'un nous écrit
11:26 par le biais de la validation d'un captcha.
11:28 Côté matériel et configuration réseau,
11:32 on a opté pour le blocage des ports USB,
11:36 qui est un danger de propagation de virus.
11:41 Mais ceci nous oblige à travailler des modes dégradés,
11:46 des modes autres de connexion,
11:48 notamment dans le domaine biomédical.
11:53 On est obligé de réfléchir
11:55 à comment on va continuer à maintenir,
11:59 par exemple, les pouces seringues.
12:02 Donc on travaille avec le service biomédical
12:06 là-dessus.
12:07 On a mis en place une zone dématérialisée
12:11 qui va nous permettre de protéger nos serveurs,
12:15 genre le serveur de messagerie,
12:17 qui est en accès direct avec Internet.
12:20 Et puis, du coup, par ce biais, ça protège les serveurs
12:25 qui n'ont pas besoin d'être en accès direct.
12:29 Bien sûr, donc, on a installé...
12:33 On a des firewalls qui vont nous permettre
12:35 de limiter les flux entrants et sortants.
12:38 On a mis en place des VLANs pour séparer les usages,
12:41 limiter les impacts
12:43 et limiter surtout la vitesse de propagation des virus.
12:49 Donc on a, par exemple, le VLAN serveur,
12:51 le VLAN utilisateur, le VLAN...
12:55 On n'a pas utilisateur, je l'ai dit.
13:01 Voilà, du coup, ça permet vraiment...
13:03 Par exemple, on a la connexion des générateurs
13:06 pour récupérer les paramètres de dialyse
13:10 et éviter aux infirmières de devoir ressaisir.
13:15 Et dans les unités où on a ça,
13:19 ça, c'est quelque chose d'un peu à part
13:21 et qui permet, en cas d'attaque,
13:24 parce qu'il faut se rendre compte aussi
13:26 qu'à un moment donné,
13:29 c'était votre partie à vous, votre partie biomédicale,
13:32 tout ce qui était appareil biomédical.
13:35 On avait tendance à ne pas se rendre compte
13:38 qu'on pouvait aussi y voir passer des virus
13:44 qui pourraient s'introduire dans notre système d'information.
13:47 Et maintenant, il y a une vraie prise de conscience là-dessus.
13:49 On travaille avec les éditeurs,
13:52 les fournisseurs,
13:55 pour sécuriser toute cette partie.
13:59 Tout ça, toujours pour limiter notre surface d'attaque.
14:04 Côté système d'information,
14:07 au niveau des administrateurs,
14:09 on a une double authentification
14:12 et puis un accès à la fois admin,
14:16 quand on a besoin d'aller sur les serveurs,
14:18 et puis un accès utilisateur, comme tout le monde,
14:22 quand on va utiliser notre messagerie
14:24 ou les diverses services de communication.
14:27 Les soignants, une partie des médecins
14:29 sont connectés à notre coeur de métier
14:34 via la CPS.
14:36 Et là, on a un gros travail encore à faire
14:39 sur la double authentification des soignants sur 2024.
14:44 Nous avons protégé notre coeur de métier
14:48 chez un aubergeur de données de santé.
14:51 Ça nous a paru un grand défi
14:55 et ça nous a paru important, à une époque,
15:00 de partir avec ce logiciel.
15:03 Et puis, on a formé un groupe d'intérêt économique,
15:09 un GIE, avec beaucoup d'associations de dialyse,
15:14 pour mutualiser nos forces financières,
15:18 parce que protéger un dossier médical
15:23 à l'heure actuelle et y apporter toute la sécurité qu'il faut
15:28 est très onéreux.
15:31 Donc, on mutualise nos forces à la fois pour le développement,
15:37 mais aussi pour ce côté-là.
15:39 Pour le reste, nous avons pris
15:43 un espace dans un data center pour protéger notre PRA,
15:49 notre plan de reprise d'activité.
15:51 Pour l'instant, ce n'est pas encore un PCA,
15:55 un plan de continuité d'activité,
15:57 qui ferait qu'en cas de problème,
16:00 on bascule rapidement vers une reprise d'activité,
16:06 mais on va encore travailler ça prochainement.
16:10 Et puis, ça permet aussi, on travaille dans notre PRA,
16:14 un mode dégradé sur chaque métier
16:16 pour reprendre plus rapidement l'activité.
16:21 Et puis, le processus de sauvegarde des données,
16:25 qui est essentiel à la réussite d'un plan de reprise
16:29 après sinistre.
16:31 Et donc, par-dessus tout, c'est sauvegarde, sauvegarde,
16:35 sauvegarde, parce qu'on sait qu'un jour ou l'autre,
16:40 malgré tous les outils qu'on aura mis en place,
16:46 on sera très certainement encore cyberattaqués.
16:52 Donc, on respecte la règle des 3-2-1,
16:58 qui dit que notre donnée
17:02 doit se retrouver au moins à 3 endroits
17:05 sur 2 supports différents
17:09 et externaliser au moins une fois.
17:11 On va même un peu plus loin à l'oral,
17:15 puisqu'elles sont externalisées deux fois.
17:17 Et puis, encore et toujours, c'est ce que je disais tout à l'heure,
17:27 malgré tous les outils,
17:29 il faut aussi être sûr de la réaction de nos salariés
17:33 et on nous pousse de plus en plus
17:35 à faire des sessions de sensibilisation
17:39 des professionnels.
17:43 Comme on dit toujours, on ne maîtrise pas...
17:47 Il y a un endroit où on ne maîtrise pas,
17:48 c'est entre la chaise et le clavier.
17:50 Et on aura beau mettre en place tous les outils du monde,
17:55 s'il y a une personne qui clique sur le mauvais lien,
18:00 on peut compromettre le système complet.
18:05 Donc, nous réalisons des sessions
18:12 de sécurité aux nouveaux arrivants,
18:14 surtout soignants.
18:16 Maintenant, on est en train de renforcer le côté administratif.
18:19 On fait 3 heures de formation
18:23 et dont un escape game qu'on a rajouté depuis 2019.
18:28 Alors, ça va leur montrer
18:31 comment on peut mettre en place des keyloggers
18:34 pour stocker les mots de passe
18:36 et pas les retrouver dans des cahiers ou dans des tiroirs,
18:40 sur les verrouillages de session.
18:42 Et surtout, cet escape game leur montre
18:50 comment c'est facile, à un moment donné,
18:52 de retrouver des mots de passe
18:53 et de pénétrer un système d'information.
18:55 On passe beaucoup de films sur la cybersécurité
18:59 qui sont mis à disposition par l'Agence régionale de santé.
19:03 On a instauré aussi depuis quelques années
19:06 des campagnes de phishing
19:08 parce que c'est vrai que dans les petites entreprises,
19:12 on a...
19:14 Le phishing ou le hamsonnage
19:17 est quelque chose qui est...
19:20 qui est très souvent constaté au niveau des attaques.
19:25 Donc, on sensibilise les personnes
19:30 par ce biais-là.
19:31 L'objectif étant, bien sûr, de ne pas faire...
19:34 de ne pas cliquer sur le lien,
19:37 de ne pas télécharger
19:39 et surtout, de ne pas donner
19:41 parce que dans nos tests,
19:44 on va jusqu'à demander les identifiants
19:46 et les mots de passe.
19:47 Notre objectif étant le zéro-clic
19:49 parce que pour nous, un seul clic peut tout compromettre.
19:54 Et donc, les personnes qui sont...
19:58 "repérées", entre guillemets,
20:01 sont reprises et revues en formation
20:04 pour leur montrer
20:06 comment on regarde l'adresse d'un mail,
20:11 qui aurait pu leur permettre
20:15 de repérer que c'était, en fait,
20:20 un mauvais mail
20:23 et un virus.
20:25 Donc, en fait, on teste leur réaction.
20:29 Et c'est très enrichissant.
20:33 Et c'est pas le personnel soignant
20:35 qui se fait le...
20:39 qui clique le plus sur le mauvais mail.
20:43 J'ai été assez déçue sur mes premiers tests
20:49 par les personnes qui étaient censées, quand même,
20:52 notamment dans les services administratifs,
20:57 très en contact avec l'extérieur
21:00 et qui pouvaient, justement, avoir des comportements à risque.
21:05 On leur fait beaucoup de mails informatifs, évidemment,
21:08 notamment avant les congés,
21:10 pour rappeler au personnel d'être très prudent.
21:14 On fait aussi des démonstrations par l'exemple.
21:17 Donc, à l'époque, lorsque j'avais organisé
21:20 les premières campagnes de phishing,
21:23 on avait...
21:25 On avertit personne,
21:27 même pas la totalité du service informatique,
21:30 parce qu'on veut aussi tester leur réaction,
21:34 et pas non plus la direction.
21:36 Et du coup, mon ancienne directrice m'avait dit
21:40 "C'est très bien ce que vous organisez,
21:42 "mais je veux que vous me rajoutiez un autre test."
21:46 C'est ce que j'appelle les tests de démonstration par l'exemple.
21:49 Elle m'avait demandé un jour de codir,
21:55 d'attendre que tous mes petits camarades
21:59 soient rentrés en codir,
22:00 et de faire un petit test, un petit tour dans les bureaux
22:04 pour voir qui avait laissé son portable en place,
22:09 ses sessions ouvertes.
22:11 Et du coup, elle m'avait demandé d'envoyer un petit mail
22:15 en disant "Bonjour, madame.
22:17 "Nous avions convenu que j'ai eu une petite augmentation
22:21 "le mois dernier, alors j'ai constaté
22:23 "qu'il n'en était rien.
22:25 "Pouvez-vous me donner des explications sur ça ?"
22:29 Et vous m'envoyez ce mail et copiez à tout le codir.
22:33 Donc, lorsque le mail a été reçu,
22:38 je me suis pas chargée, j'étais un peu gênée
22:40 de faire ça à mes collègues, je me suis pas chargée de le faire.
22:44 Donc, c'est un collègue qui l'a fait.
22:47 Donc, j'étais en codir lorsque c'est arrivé.
22:51 Donc, les collègues qui ont été "pris"
22:57 me faisaient des rancines.
22:59 J'ai dit "Notre directrice va vous expliquer à la fin
23:02 "du codir ce qu'il en était."
23:07 Elle venait...
23:08 Elle était un petit peu outrée, en fait.
23:11 Elle avait constaté que beaucoup de personnes
23:14 laissaient leurs sessions ouvertes
23:15 même si elles sont verrouillées au bout de 10 minutes.
23:18 Elle voulait montrer qu'en 10 minutes,
23:20 on peut réellement, par exemple,
23:24 rentrer peut-être dans le dossier médical d'un patient
23:28 et modifier des données
23:31 et porter atteinte à notre système d'information, en tout cas,
23:35 et leur rappeler l'usage du Windows L
23:39 pour verrouiller leurs sessions
23:43 et que c'était important.
23:45 Donc, maintenant, effectivement, c'est un petit jeu entre nous.
23:49 Dès qu'on voit quelqu'un qui a une session ouverte.
23:55 On réalise aussi des quart d'heure qualité
23:59 au niveau de la sensibilisation,
24:02 qui va expliquer comment agir en cas de cyberattaque.
24:06 Ça dure un petit quart d'heure
24:08 et c'est très efficace au sein de l'oral.
24:11 On utilise beaucoup ce biais-là.
24:15 Donc, en sécurité aussi.
24:16 On réalise des audits, des audits internes.
24:20 À une époque, la chasse aux mots de passe
24:24 affichée dans les tiroirs, sous les claviers, etc.,
24:28 qui, il y a une vingtaine d'années...
24:31 Il faut savoir que dans certains établissements,
24:35 on avait tendance à créer une session générique
24:37 pour les infirmières.
24:39 Suite à ces petits audits, on est bien revenus en arrière.
24:43 Et puis, les différents programmes
24:47 qu'on peut avoir et prérequis de sécurité
24:49 qui nous sont demandés ont bien sûr supprimé tout ça.
24:53 Une enquête sur les mots de passe donnés aussi.
24:57 On s'est rendu compte...
24:58 J'avais fait cette petite enquête à une époque
25:00 avec un stagiaire qui était au sein de l'oral.
25:05 Et donc, je lui avais demandé de faire un petit tour d'horizon
25:11 d'appeler les personnes qui participaient
25:14 à une formation droit des patients
25:16 où il y avait une notion de sécurité,
25:17 où on intervenait, nous aussi, pour la sécurité.
25:21 Et il demandait le mot de passe.
25:23 Une seule personne n'avait pas donné son mot de passe
25:26 dans cette enquête.
25:28 C'est quelqu'un qui venait de l'industrie.
25:30 Elle nous avait expliqué que dans l'industrie,
25:33 si vous donnez votre mot de passe,
25:34 vous n'êtes pas cibles d'un avertissement.
25:38 Et donc, on avait à nouveau redit
25:41 que même si le service informatique
25:44 demande un mot de passe,
25:47 soit vous le changez après,
25:50 soit il ne faut pas le donner.
25:52 On a réalisé, en décembre 2022, en interne,
25:57 donc ça, c'est une des actions
25:59 qu'on a fait en collaboration avec la direction,
26:03 RSSI, Responsable gestion des risques.
26:06 On a convoqué tout le comité de direction
26:10 par le biais d'un système qu'on a
26:11 pour convoquer, en cas de crise,
26:17 qui peut être cyberattaque ou autre,
26:20 tout le codire.
26:21 Donc, on voulait voir aussi le temps
26:24 qu'on mettait pour rassembler tout le monde.
26:26 On leur a décrit le scénario.
26:29 Donc, pas d'informatique
26:33 pendant potentiellement plusieurs semaines.
26:36 Et comment on les a fait partir une demi-heure
26:40 en réflexion, en sous-groupe.
26:42 Un groupe pharmacie logistique,
26:46 un groupe médical, soignants et secrétaires médicaux,
26:51 et puis un groupe compta et RH
26:55 pour réfléchir comment on allait continuer
26:59 à soigner nos patients,
27:01 comment on allait continuer à payer les salariés
27:05 et payer les fournisseurs, etc.
27:08 Et c'était une réflexion très riche.
27:12 Et puis, on a retravaillé nos modes dégradés.
27:16 Ca m'a rassurée quelque part aussi
27:18 parce que je me suis rendue compte
27:20 qu'on est capables, dans notre activité à nous,
27:25 de continuer à soigner nos patients,
27:29 ce qui est l'essentiel.
27:31 Et ça nous a permis de trouver des moyens
27:36 et à nous dire de remettre à jour certaines procédures
27:41 pour qu'en cas de cyberattaque,
27:43 on soit impacté le moins possible.
27:46 On réalise des audits externes.
27:48 Donc, l'objectif étant, évidemment,
27:50 de repérer les failles de notre système d'information
27:54 et de retravailler nos modes dégradés.
27:56 On fait des audits réseaux tous les 5 ans
27:58 ou au moins après chaque grosse modification
28:03 de notre système d'info, de notre architecture.
28:07 En sécurité, la première, on l'a réalisée en 2020
28:12 avec une société externe
28:14 qui, pendant une semaine, n'était pas à l'oral
28:18 et a essayé de nous attaquer...
28:21 Il nous a fait un compte-rendu derrière.
28:26 Et ensuite, ils sont venus chez nous.
28:30 Je leur ai donné un poste lambda.
28:33 Et là, ils ont encore essayé d'attaquer,
28:36 de pénétrer notre système d'information.
28:38 Alors, il faut savoir qu'ils mettent à peu près 3 heures
28:43 pour pénétrer le système d'information en temps normal.
28:48 Chez nous, ils ont mis un jour, un jour et demi.
28:52 Donc...
28:53 C'est pas forcément rassurant,
28:56 mais...
28:58 Mais...
29:00 Par contre, c'est très riche en termes de retour
29:04 et de mise en place derrière.
29:09 Ça va être tel et tel logiciel comporte des risques.
29:14 Donc derrière, on va pouvoir rappeler les éditeurs de logiciel,
29:19 leur dire "Est-ce que vous avez pas une mise à jour plus récente
29:23 "où vous êtes monté en sécurité ?"
29:28 Ou alors, ça peut basculer sur le fait
29:31 qu'on va devoir reconsulter et changer de logiciel.
29:37 On en a refait une en 2023 aussi.
29:40 Et puis, notre objectif, c'est d'en réaliser une par an.
29:47 Mon plus gros regret, c'est de ne pas avoir commencé avance.
29:51 Une simulation de crise également
29:54 qu'on a faite avec un consultant
29:57 mandaté par l'ANS en juin 2023.
30:00 Et...
30:02 M. Kiet vous en dira plus tout à l'heure,
30:05 puisque c'est sur cette partie qu'il va développer.
30:08 Et donc, on met en place, derrière toutes ces audits,
30:13 on met en place des plans d'action
30:16 pour faire en sorte que notre système d'information
30:18 monte en sécurité.
30:20 Donc...
30:24 Nous sommes dans le domaine de la santé.
30:27 L'hygiène, ça vous parle.
30:29 Eh bien, de notre côté à nous, côté technique,
30:32 c'est le cyberhygiène, ce qu'on appelle.
30:37 Donc, avoir au sein de nos établissements
30:41 une culture cybersécurité à tous les niveaux
30:44 afin de protéger notre système d'information.
30:48 C'est des coûts importants,
30:51 une veille technologique énorme.
30:54 C'est pour ça que, maintenant,
30:56 on a de plus en plus de RSSI,
30:58 et c'est des personnes spécialisées,
31:02 vraiment, là-dedans.
31:05 On a beaucoup de paramétrages à faire.
31:08 Presque une personne a ton plein là-dessus,
31:13 parce qu'il faut bien se rendre compte
31:16 qu'une mauvaise hygiène,
31:19 une mauvaise cyberhygiène peut vraiment entraîner
31:22 des incidents de sécurité,
31:25 compromettre nos données,
31:27 nous faire perdre des données également.
31:31 Et ça peut avoir des conséquences financières.
31:34 Ça peut aller jusqu'à des amendes gouvernementales.
31:41 Et puis, surtout, un arrêt vraiment opérationnel
31:45 pour les professionnels.
31:46 Ce que je trouve important aussi,
31:48 c'est tout le partage d'expériences qu'on peut avoir
31:51 avec soit des hôpitaux
31:54 qui ont été cyberattaqués proche de nous.
31:57 On a eu aussi un membre du GIE
31:59 qui a été attaqué en mars 2020.
32:02 Et pour le coup, ces échanges avec ces personnes
32:06 sont très enrichissantes
32:08 pour nous faire monter, nous aussi, en sécurité.
32:13 On a des organismes comme le CERT, la NAP,
32:17 l'ANS et l'ANSI
32:18 qui vont avoir des missions aussi auprès de nous
32:23 qui surveillent nos surfaces d'attaque à l'extérieur
32:27 et qui nous aident et qui nous avertissent.
32:32 Et puis, on a d'autres aides au niveau des financements
32:35 comme les programmes avec des prérequis
32:39 qui montent de plus en plus en sécurité,
32:42 comme l'hôpital numérique, Open,
32:44 les différents volets de Ségur,
32:46 et puis un des prochains aussi, CAR, en 2024,
32:51 qui vont être axés uniquement sur la sécurité.
32:56 Donc, restons tous vigilants
32:58 pour protéger nos systèmes d'information.
33:01 Ensemble, faisons en sorte
33:02 que le présage du romancier Frank Thillier
33:06 ne se réalise jamais.
33:08 J'ai toujours eu la conviction
33:09 que les virus informatiques ou biologiques
33:12 finiraient par détruire la totalité de l'espèce humaine.
33:16 Voilà, restons positifs, quand même,
33:21 et comptons sur la vigilance
33:25 de tous nos professionnels.
33:28 Merci de votre écoute.
33:31 (Applaudissements)