Serious Game et sécurité informatique, une sensibilisation gagnante !

Pourquoi avoir décidé d’organiser une session du serious game Médirisk© au sein du CHU de Saint-Etienne ?

« En novembre 2014, le CHU de Saint-Etienne a connu un incident informatique assez important, conséquence d’une négligence de la sécurité qui a eu pour impact la perte d’une baie informatique complète. Cette mésaventure a été le début d’une prise de conscience de la nécessité d’élever le niveau dematurité du centre hospitalier dans ce domaine. La particularité de l’établissement stéphanois, qui est excellent en termes de résultats d’exploitation, est d’avoir peu investi durant des années, lié à une situation financière tendue.

Aujourd’hui, nous tentons de rattraper ce retard, à un rythme assez soutenu, par un travail de fond passant par des mises à jour régulières des systèmes d’exploitation, le renouvellement progressif des postes de travail et l’intensification de l’informatisation au niveau du biomédical. Nous avons également décidé d’agir pour sensibiliser les utilisateurs, les principales actions menées jusqu’à présent étant l’envoi régulier de mails mettant en garde contre le phishing. Nous avons débuté en 2021, une mission de RSSI externalisé, preuve de la montée progressive en charge de ce sujet dans les établissements du GHT de la Loire.

L’organisation d’une session du serious game s’inscrit donc dans cette volonté de donner plus de lisibilité à la sécurité informatique auprès du personnel. Jouer est en effet une manière efficace de contextualiser l’importance de l’investissement nécessaire. Nous avons d’abord testé Médirisk© entre informaticiens, puis avec des collègues des SI du GHT et plusieurs directeurs d’hôpitaux, dont les retours ont été très enrichissants. 

Le serious game est, à mon sens, un bon outil pour démontrer l’urgence de prioriser la sécurisation desdonnées et une aide précieuse pour les directions, en matièred’arbitrages financiers. Sachant que la direction qualité vient renforcer nos méthodes. Elle travaille ainsi de pair avec le RSSI sur la validation du formalisme dans le cadre du programme Hôpital numérique ouvert sur son environnement (HOP’EN), du Plan de reprise d’activité (PRA) et des procédures dégradées ».

Avez-vous des échanges de pratiques réguliers avec voscollègues d’autres établissements de santé ?

« Nous avons des retours d’expérience assez complets de la commission nationale des systèmes d’information de CHU sur des événements d’ampleur nationale. Le plus récent concerne l’attaque virale subie par le CHU de Rouen l’année dernière, un établissement pourtant bien préparé aux risques cyber, ce qui contribue à tirer un constat un peu effrayant sur la vulnérabilité des établissements de santé.

Au CHU de Saint-Etienne, une centaine de postes ont été cryptolockés en 2012, et nous avions créé un programme maison pour contrer ce type de ransomware. Depuis 2019, nous suivons les préconisations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les CERT-FR* (acronyme CERT signifie Computer Emergency Response Team), que nous recevons a minima une fois tous les quinze jours.

Parallèlement, pour pallier toutes les failles de sécurité, nous avons durci notre AD (active directory) et nous utilisons plusieurs outils d’audit performants. Nous avons en outre des réunions de coordination tous les quinze jours pour faire que la prise en compte sécuritaire entre dans les habitudes de travail. Ces derniers mois, nous avons donc beaucoup avancé. Le problème dans nos métiers, c’est que nous sommes vite rattrapés par le quotidien. Pour autant il est indispensable d’intensifier nos efforts en matière de sécurité informatique, qui doit devenir une des priorités de l’institution ».

 *Le CERT-FR est une des composantes curatives complémentaires des actions préventives assurées par l’ANSSI. En tant que CERT national, il est le point de contact international privilégié pour tout incident de nature cyber touchant la France. Il assure une permanence de ses activités 24h/24, 7j/7.

D’autant plus que la sensibilisation à la sécurité informatique est souvent perçue comme une contrainte supplémentaire par les métiers…

« L’objectif étant de sensibiliser tout le monde à la sécurité informatique, il est effectivement important d’expliquer aux métiers que le passage en production d’un outil nécessite toujours un temps de vérification sécuritaire, en amont, qui en retarde son utilisation. Une des difficultés que nous rencontrons consiste à mettre en conformité ceux qui, en routine depuis plusieurs années, se servent par exemple de comptes utilisateurs aux mots de passe comportant seulement 3 caractères.

Sans compter le nombre de fois où nous sommes sollicités le mercredi pour un logiciel qui doit être opérationnel le lundi suivant, bien qu’on ne le connaisse pas et que nous ne possédions aucune documentation sur son installation ! Ce genre de situation nous arrive plusieurs fois par an. Nous menons un travail de fourmi de planification et de pédagogie auprès des utilisateurs car, en fonction des cas, une quinzaine de personnes peut être mobilisée avant le lancement d’un nouvel outil. Ce besoin de formalisation n’est pas dans les habitudes du monde hospitalier et la direction générale du CHU de Saint-Etienne l’a bien compris. Comme ce n’est pas uniquement au service informatique de prioriser les projets, elle souhaite la création d’une commission informatique pluridisciplinaire, prévue pour 2022, qui étudiera les nouveaux projets.

De manière générale, des budgets sont en train de se débloquer et tout s’accélère. La crise sanitaire a permis, sur la partie télémédecine, de rendre matures des outils qui ne l’étaient pas. C’est l’évolution majeure et positive de ces derniers mois ».