Les exercices de simulation de cyber-attaque sont obligatoires chaque année dans les établissements de santé (instruction n° SHFDS/FSSI/2023/15). Face à un contexte national sous tension (581 incidents en 2023 selon le CERT Santé), les exercices de gestion de crise cyber s’inscrivent dans la démarche globale amorcée par le ministère des Solidarités et de la Santé et l’ANS pour lutter contre les cyberattaques qui se multiplient dans le secteur de la santé. Il s’agit plus particulièrement pour les participants de s’approprier des automatismes de gestion de crise cybersécurité adaptés aux spécificités des établissements de santé par le biais de kits exercice élaborés par l’ANS.
S’entrainer et tester régulièrement ses réflexes pour faire face à une crise cyber : La spécificité des attaques cybersécurité et leur gestion nécessitent une coordination importante entre les parties prenantes. En s’entrainant régulièrement, les équipes adoptent des bons réflexes et méthodes pour mieux travailler ensemble et se préparer collectivement à y faire face.
S’inscrire dans l’actualité cybersécurité des ES : Les attaques sont de plus en plus nombreuses dans le milieu de la santé comme en témoigne l’actualité (cyberattaques de l’hôpital de Dax, de Villefranche sur Saône, Cannes, Corbeil Essonnes...)
Objectifs pédagogique :
Tester l’assimilation des procédures PCA (plan de continuité d’activité) et la capacité de continuité des soins.
Faire appel au bon moment aux acteurs de l’écosystème cyber de la structure : CERT-santé, référents SSI, CNIL…
Eprouver la capacité de communication des cellules : messages internes, média, anticipation de scénarios de communication.
Eprouver les capacités de coordination entre les cellules pour une prise de décision basée sur l’ensemble des composantes de la situation.
Méthodologie :
Un accompagnement réalisé en 3 étapes :
Anticiper les besoins : organiser l’exercice en l’adaptantau niveau de maturité de l’établissement et l’organisation structurelle en place. Identifier les interlocuteurs à mobiliser et leur envoyer les informations préalables.
Sensibiliser les équipes en réalisant l’exercice en présentiel : Il s’agit d’effectuer une simulation d’une attaque de crise, comprenant un briefing en amont, et une restitution à chaud des axes d’améliorations et des bonnes pratiques observés pendant l’exercice. Les consultants nourrissent la simulation, adaptent le scénario en temps réel et observent la cellule de crise mise en place.
Pérenniser les bonnes pratiques : synthèse de l’exercice et restitution des conclusions. Fourniture d’un livrable final reprenant les éléments clés du déroulement de l’exercice avec identification des axes d’améliorations face aux attentes nationales de cyber vigilances.
Organisation de l'exercice :
Les observateurs n’interviennent pas dans le déroulement de l’exercice de crise. Ainsi, ils ne peuvent ni répondre aux questions relatives au scénario, ni lancer des actions. Ils apportent un regard extérieur permettant de relever les points positifs du dispositif de crise et d’identifier les axes d’amélioration.
Le rôle principal de l’animateur est d’accompagner les joueurs pour garantir l’atteinte des objectifs définis précédemment. Cela consiste principalement à animer et nourrir le scenario initial avec des stimuli réalistes et concrets.
L’animateur de l’exercice de crise réalise le retour d’expérience de l’exercice de crise qui est présenté à la direction de l’établissement lors d’une réunion de restitution. L’animateur réalise le retour d’expérience de l’exercice grâce aux retours des joueurs récupérés lors du débriefing, à la grille d’observation remplie par l’observateur ainsi qu’aux questionnaires de satisfaction.
Principaux résultats :
En accompagnant plusieurs établissements de santé, le cabinet a permis l’atteinte des résultats suivants :
Pérenniser les bonnes pratiques de gestion de crise : Développer une culture de prévention et d’action au sein des structures en valorisant les bonnes pratiques d’ores et déjà établies et en encourageant celles en cours de consolidation.
Assurer la conformité normative des établissements : Validation des obligations règlementaires des entités en matière de cyber sécurité : la restitution d’un livrable sous le format exigé par les ARS valant validation des contraintes normatives.
Facteurs clés de succès
La coordination fine entre la cellule animation et la cellule observation.
La capacité de l’observateur à donner à l’animation des informations sur le déroulé de l’exercice en temps réel
La réalisation d’un chronogramme correspondant au contexte et spécificités de l’établissement de santé.
Assurer la bonne compréhension des stimuli par les joueurs en étant le plus clair et concret possible à l’oral.