00:00:00
Voix off: 100 jours pour réussir, c'est le podcast de G_NIUS, le Guichet national de l'innovation et des usages en e-santé. Autour de Lionel Reichardt , retrouvez les innovateurs de la e-santé et les experts incontournables pour vous aider à réussir dans vos projets.

00:00:20
Lionel Reichardt: Bonjour à tous ! Vous écoutez 100 jours pour réussir le podcast à destination des innovateurs et entrepreneurs dans le numérique en santé, mais aussi de toute personne curieuse de ce domaine. Ce podcast est produit par G_NIUS, le Guichet national de l'innovation et des usages en e-santé. Dans cet épisode, nous parlerons de la prise en compte de la cybersécurité dans les projets en santé numérique.

00:00:38
Lionel Reichardt: Pour ce faire, nous recevrons Auriane Lemesle, référente régionale sécurité des systèmes d'information au sein du GCS e-santé Pays de la Loire. Nous recevrons également Cédric Bertrand, expert sécurité à l'ANS, l'Agence du numérique en santé. Auriane Lemesle bonjour et merci d'avoir accepté de partager avec nous votre expérience. Pouvez-vous tout d'abord nous présenter votre formation et votre parcours ?

00:01:07
Auriane Lemesle: Bonjour, je suis diplômée d'un double master en gestion des risques sanitaires et produits de santé et en management de la sécurité des systèmes d'information de L'ISSBA à Angers, qui est devenu Polytech Angers depuis. Ensuite, j'ai démarré ma carrière au GCS Télésanté Centre en tant que référente régionale pour la sécurité des SI pour les établissements de la région Centre-Val de Loire pendant à peu près quatre ans et je suis toujours enseignant vacataire à Polytech Angers et je suis secrétaire générale de l'Association pour la sécurité des sites santé, et depuis 2016, je suis référente régionale pour le GCS Santé des Pays de la Loire.

00:01:42
Lionel Reichardt: En quoi consiste vos missions au sein du GCS e-santé Pays de la Loire ?

00:01:46
Auriane Lemesle: Alors, j'ai en charge l'animation autour des sujets de sécurité numérique pour les acteurs de santé des Pays de la Loire, en partenariat avec l'Agence régionale de santé. Ainsi, nous proposons des accompagnements diversifiés pour aider les structures à améliorer leur niveau de maturité en cybersécurité.

00:02:02
Lionel Reichardt: La question de la cybersécurité est récurrente dans le domaine de la santé. Pourquoi cela ?

00:02:06
Auriane Lemesle: D'une part, parce qu'on a une dépendance croissante au numérique. La transformation du système de santé s'appuie énormément sur le numérique pour être au service des métiers et de la performance. Et puis, parce qu'il y a une nécessité de garantir la confiance des professionnels et des usagers dans l'utilisation du numérique. Également parce que la crise sanitaire a obligé la mise en œuvre de nouveaux modes de travail et d'organisation un peu à marche forcée avec la mise en place du télétravail, de la télémédecine, des outils collaboratifs nécessitant des accès distants aux systèmes d'information.

00:02:35
Auriane Lemesle: Ce sont de nouveaux usages qui s'accompagnent de nouveaux risques. On a aussi le cas de plusieurs incidents récents qui ont été fortement médiatisées. L’ANSSI qualifie l'état de la menace sur les systèmes d'information de santé élevée et enfin, parce que les incidents sur les systèmes de santé peuvent directement impacter la prise en charge des usagers.

00:02:55
Lionel Reichardt: On voit bien qu'il y a beaucoup d'impacts et que cette question de cybersécurité est essentielle quand on est un porteur de projet en santé numérique. Comment doit-on s'y prendre et à quel moment doit-on prendre en compte cette problématique ?

00:03:06
Auriane Lemesle: Alors, à mon sens, il faut le faire au plus tôt. Et puis, dès le cadrage des projets, se poser les bonnes questions dès le départ. D'une part, pour identifier les besoins en sécurité en termes de disponibilité, d'intégrité, de traçabilité et pas uniquement en termes de confidentialité comme on aurait tendance à le penser. D'autre part, pour pouvoir prendre en compte les nombreux aspects réglementaires qui s'appliquent aux systèmes d'information de santé qui traitent des données sensibles.

00:03:29
Auriane Lemesle: La politique de sécurité ministérielle, la politique générale de sécurité des SI de santé, la doctrine technique du numérique en santé, le RGPD, etc. Le faire tout au long des projets pour pouvoir garantir le maintien en condition de sécurité en pensant bien aux aspects sensibilisation, formation, mise à jour, réévaluation des risques, etc.

00:03:49
Lionel Reichardt: Vous l'avez dit, au sein du GCS e-santé Pays de la Loire, vous êtes en charge de l'acculturation, de l'écosystème, de l'innovation en santé. Comment évaluez-vous la maturité de ces différents acteurs ? Comment la développer ?

00:04:00
Auriane Lemesle: D'une manière globale, la maturité des SI de santé reste en retrait par rapport aux autres secteurs type bancaire. Cependant, on peut noter une amélioration dans la prise en compte du sujet par les acteurs. Il y a quelques années, ce n'était pas du tout un sujet. Aujourd'hui, compte tenu de la médiatisation qu'on évoquait et des impacts conséquents qui sont liés à la numérisation croissante, cela devient une réelle préoccupation, même pour les plus petites structures type EPAD, qui ne pensait pas être une cible il y a quelques temps.

00:04:28
Auriane Lemesle: On note également une accélération dans la prise en compte par les pouvoirs publics jusqu'au plus haut niveau de l'Etat. Confère les différentes annonces présidentielles, et notamment la mise en œuvre d'un plan de lutte contre la cybercriminalité, mais également sur le secteur de la santé, la sécurité étant la deuxième orientation de la feuille de route du numérique en santé et elle fait partie des fondations de tous les SI de santé.

00:04:51
Auriane Lemesle: Pour la développer, on a l'élan collectif que je viens de mentionner qui se matérialise également au travers de la campagne nationale de sensibilisation « Tous Cyber vigilants », mais également, on peut la combiner à des accompagnements de terrain tels qu'on s'emploie à le proposer avec l'Agence régionale de santé en proposant des formations, des webinaires, des modèles de documents au travers d'une base documentaire en appui à la gestion des incidents et différents outils de sensibilisation tels que des affiches, des vidéos, des Escape Game.

00:05:23
Lionel Reichardt: Justement, en parlant d'escape Game, vous en avez mis en place un « Sant’escape - Sécurité numérique ». D'ailleurs, lauréat des Talents de la e-santé 2020, pourquoi avez-vous conçu cet escape Game ? En quoi consiste-t-il ?

00:05:35
Auriane Lemesle: Initialement, c'est un pari, en quelque sorte, qui a été lancé par une de nos structures qui souhaitait disposer d'un outil innovant et attractif pour pouvoir sensibiliser à la cybersécurité, qui est un sujet plutôt vu comme technique et peu attrayant. Nous l'avons coconstruit avec plusieurs structures régionales, des établissements de santé publique, privée, lucrative et non lucrative ainsi que notre structure régionale d'appui à la qualité et la gestion des risques, en tenant compte des contraintes des professionnels pour pouvoir délivrer ce jeu d'escape Game en une heure avec 45 minutes de jeu et 15 minutes de briefing/débriefing.

00:06:10
Auriane Lemesle: L'idée pour les participants, c'est de se mettre dans la peau de méchants journalistes peu scrupuleux, qui vont chercher à récupérer de l'information de santé d'un VIP qui s'appelle Johnny Jackson pour pouvoir sauver leur magazine people de la faillite. Le défi est à relever en 45 minutes. Notre idée était de créer une émulation positive avec une méthode ludique et pragmatique qui permet une implication et un meilleur maintien de l'attention des participants, tout en valorisant le travail en équipe et en opérant la sensibilisation à la cybersécurité.

00:06:41
Lionel Reichardt: Quels enseignements en avez-vous tirés ? Comment réagissent les participants à cet escape game ?

00:06:46
Auriane Lemesle: Etant donné qu'ils doivent exploiter eux-mêmes les mauvaises pratiques qu'ils mettent en œuvre au quotidien, ça les amène à avoir une réflexion sur ces pratiques, mais également une réflexion sur leur vie privée et la manière dont ils gèrent la sécurité, entre guillemets à la maison. Du coup, ça a des impacts aussi positifs au travail dans le cadre professionnel, en améliorant les pratiques autour de la gestion des mots de passe, de leur poste de travail, de la confidentialité des informations et j'en passe.

00:07:14
Lionel Reichardt: En parlant de pratique, vous accompagnez aussi l'écosystème santé numérique pour les pratiques de gestion des prestataires sur le système d'information. Quel accompagnement et quels types de conseils prodiguez-vous ?

00:07:25
Auriane Lemesle: On les guide dans le sens où on leur propose des modèles de clauses à introduire dans leurs contrats avec les prestataires. Et puis, on les incite fortement à discuter des aspects sécurité dès le démarrage des projets, voir en amont. On a publié un petit flyer qui leur permet de dialoguer avec leurs prestataires en ayant un outil un peu institutionnel et porté également par l'Agence régionale de santé, ce qui permet d'officialiser la démarche auprès de leurs prestataires et de les aider.

00:07:55
Lionel Reichardt: Auriane Lemesle pour conclure, quels conseils donneriez-vous à un porteur de projet en santé numérique qui se questionne sur les enjeux de cybersécurité ?

00:08:04
Auriane Lemesle: Comme on disait à l'instant c'est penser cette sécurité au plus tôt et tout au long des projets dès le cadrage, au moment de la conception, pendant le déploiement et tout au long de l'exploitation, il convient, je pense, d'être assez agile pour pouvoir s'adapter à la fois à la règlementation qui évolue assez régulièrement sur le secteur de la santé et sur la sécurité numérique d'une manière générale, mais également de s'adapter aussi aux différentes inspirations des attaquants qui ne manquent pas d'imagination pour exploiter une nouvelle faille.

00:08:35
Auriane Lemesle: Il faut également se poser les bonnes questions en termes d'impact potentiel, tant sur la prise en charge des usagers que leur vie privée. En termes d'organisation de la structure de santé cliente, mais également sur le plan juridique pour la structure, mais également pour les prestataires par rebond, leur responsabilité peut également être engagée. Enfin, sur l'image de marque à la fois de la structure, mais aussi du prestataire qui pourrait être incriminé s'il y avait un incident dont il a été responsable.

00:09:04
Auriane Lemesle: En gros, il faut adopter une bonne démarche en intégrant la SSI dans les projets un peu en mode processus, dans la planification, dans la mise en œuvre. Vérifiez régulièrement et réajustez les mesures de sécurité à mettre en œuvre dans une démarche d'amélioration continue. Ça permet de fluidifier la prise en compte de ces contraintes de sécurité, de diminuer les coûts, les délais et également la non-qualité des projets. Il ne faut pas qu'on oublie que la sécurité, c'est quand même à 80% de la méthode et de l'organisation et à 20% de la technique et des outils.

00:09:33
Auriane Lemesle: On peut aussi leur recommander d'être transparents sur les mesures de sécurité qui sont mises en œuvre, valoriser la sécurité en tant que vecteur de performance et rassurer les clients et les usagers en leur apportant de la confiance sur les outils et les services qui sont proposés par les prestataires.

00:09:49
Lionel Reichardt: Auriane Lemesle merci pour ces informations. Vous êtes porteurs de projets en santé numérique et vous vous poser des questions sur comment prendre en compte la cybersécurité. Eléments de réponse avec Cédric Bertrand, expert sécurité à l'ANS, l'Agence du numérique en santé. Cédric Bertrand, bonjour. Pouvez-vous tout d'abord nous présenter votre formation et votre parcours ?

00:10:12
Cédric Bertrand: Je m'appelle Cédric Bertrand, je suis expert sécurité et au niveau de mon parcours, j'ai tout d'abord été administrateur réseau où je gérais des réseaux d'entreprises, le réseau d'un lycée et j'ai repris mes études pour compléter ma formation par la sécurité informatique.

00:10:30
Lionel Reichardt: Vous êtes donc expert sécurité à l'ANS. En quoi consistent vos missions ?

00:10:35
Cédric Bertrand: Principalement, je fais de l'accompagnement de projets en interne ou dès le début des projets au sein de l'agence, il y a un expert sécurité, on regarde un peu l'architecture, les logiciels qui vont être utilisés et comment on peut prendre la sécurité au plus tôt, donc ça c'est une partie de mes missions. Une autre grosse de mes missions, c'est de faire maintenant des audits de cybersécurité pour les hôpitaux. Vous avez pu constater ces dernières années dans les actualités qu'il y a eu énormément d'attaques contre les hôpitaux avec ce qu'on appelle des rançons logicielles.

00:11:02
Cédric Bertrand: En gros, qu'est-ce que c'est ? Les attaquants prennent le contrôle de tout le réseau, ils bloquent les ordinateurs et demandent une rançon pour débloquer les ordinateurs. J'ai développé une plateforme qui s'appelle « Plateforme de cybersurveillance », qui permet de réaliser des audits de sécurité de manière automatisée, ce qui permet de couvrir le plus grand nombre d'hôpitaux.

00:11:21
Lionel Reichardt: Quels sont les problèmes de cybersécurité et de vulnérabilité des systèmes d'information les plus courants ?

00:11:27
Cédric Bertrand: Ce que j'ai constaté lorsque j'ai réalisé une centaine d'audits sur les hôpitaux. La plupart du temps, il y a six grands vecteurs d'attaque. Le premier qu'on retrouve le plus souvent, c'est le patch management, c'est-à-dire la gestion des correctifs de sécurité. Chaque fois qu'un logiciel sort, à un moment des nouvelles vulnérabilités sont découvertes et donc on doit appliquer des patchs de sécurité. C'est un processus qui peut être assez long et pénible. Et souvent, on constate que les logiciels ne sont pas à jour et qu'il y a une vulnérabilité qui est facilement exploitable.

00:11:53
Cédric Bertrand: Le deuxième vecteur que je rencontre régulièrement c'est des erreurs de configuration. Souvent il y a uniquement la configuration par défaut qui est appliqué. Il faut passer par ce qu'on appelle un durcissement, c'est-à-dire de rendre la configuration un peu plus complexe et plus personnalisée. La troisième chose, troisième vecteur d'attaque que je rencontre régulièrement c'est les mots de passe qui sont faibles, c'est à dire soit les mots de passe, n'ont pas été changés, c'est ce qu'on appelle les mots de passe par défaut.

00:12:20
Cédric Bertrand: Soit les utilisateurs utilisent des mots de passe qui ne sont pas très robustes donc un attaquant va pouvoir découvrir en testant plein de mots de passe. Ça, c'est quand même quelque chose que je retrouve assez régulièrement. Le quatrième, c'est le développement qui n'est pas sécurisé, c'est-à-dire des erreurs de développement ou quand les développeurs, des fois ils développent sans prendre en compte la sécurité dans le code, ce qui fait que là, il y a des vulnérabilités liées au développement, par exemple des injections SQL.

00:12:48
Cédric Bertrand: En fait faut se dire que toutes les données que les utilisateurs vont rentrer peuvent être malveillantes. Et ça, ce n'est pas forcément pris en compte. Le cinquième vecteur, c'est aussi les sauvegardes qui ne sont pas assez sécurisées. Puisque quand on sauvegarde par exemple un site Web, dans la sauvegarde du site Web il peut y avoir les mots de passe, les fichiers de configuration, etc. Et si les sauvegardes ne sont pas assez sécurisées, un attaquant va pouvoir les récupérer et obtenir plein d'informations.

00:13:09
Cédric Bertrand: Enfin, les derniers types de vecteurs d'attaque qu'on rencontre régulièrement, c'est ce qu'on appelle les attaques par social engineering, qui consiste un peu à exploiter le facteur humain. Par exemple, c'est vous dire « attention, vous n'avez pas payé le renouvèlement de votre domaine ». Vous recevez un petit courriel et on vous propose de rentrer vos identifiants bancaires ou on vous dit ce qu'on appelle beaucoup le phishing. On vous envoie un courriel, on vous invitera à rentrer vos identifiants. Donc ça, c'est le dernier type d'attaque qu'on retrouve partout, aussi bien chez les particuliers que chez les entreprises.

00:13:44
Lionel Reichardt: Comment doit-on prendre en compte cette question de sécurité pour un projet numérique ? Quelle démarche adopter ?

00:13:49
Cédric Bertrand: La sécurité, c'est un processus. Et la question n'est pas de se dire est ce que je vais subir une intrusion ? Mais plutôt quand est ce que je vais subir une intrusion ? Et à partir de là, en fait penser la sécurité le plus tôt possible au démarrage du projet et se dire si jamais je subis une intrusion, comment je vais y réagir ? Prévoir déjà toutes les actions à faire. Et justement, se dire que ça va arriver. La question n'est pas est ce que je vais être victime ? C'est quand est-ce que je vais être victime ?

00:14:17
Lionel Reichardt: Pour conclure, quels conseils donneriez-vous à un porteur de projet en santé numérique qui se questionne sur les enjeux de cybersécurité ?

00:14:23
Cédric Bertrand: Il existe déjà de nombreuses ressources, mais si je devais donner quelques conseils rapidement, la première chose, c'est de ne pas démarrer de zéro. Quand on développe une application appuyée sur des framework. Des outils qui vont aider au développement. Il en existe plusieurs, par exemple pour PHP il y a « Symfony », pour Python il y a « Django », il y a « .NET » pour les applications Microsoft. En fait, ces framework ils prennent déjà en compte la dimension sécurité. Et ça évite justement à un développeur de développer du code qui n'est pas sécurisé, ça c'est la première chose.

00:14:51
Cédric Bertrand: La deuxième chose, comme je vous ai dit en fait tôt ou tard, une intrusion va survenir. Et de se poser la question : si jamais mon site web, par exemple il est piraté, qu'elles sont les actions que je vais devoir mettre en place ? Donc là, on va parler de PRA ou de PCA. Un PRA par exemple c'est ce qu'on appelle un plan de reprise d'activité. Si demain, mon site web est piraté, où sont stockées mes sauvegardes ? Comment je peux remettre en place mon site web rapidement ? Comment je vais pouvoir détecter une intrusion ?

00:15:19
Cédric Bertrand: Et un PCA, c'est un plan de continuité d'activité. Admettons, par exemple, que j'ai trop de demandes sur mon site web. Comment je peux faire en sorte que mon site web continue de fonctionner. Et enfin une fois qu'on a développé son application et qu'elle est prête à être mise à disposition sur Internet, il faut faire un premier audit. Ce premier audit va permettre de voir s'il n'y a pas eu des erreurs de configuration, si tous les logiciels sont bien à jour, de voir un peu tous les vecteurs d'attaque dont on a parlé précédemment et de faire un premier audit avant d'exposer des ressources sur Internet.

00:15:53
Lionel Reichardt: Cédric Bertrand, merci pour votre témoignage. Notre épisode touche à sa fin. Merci de nous avoir écoutés. Nous remercions nos deux invités pour leur disponibilité. N'hésitez pas à vous abonner au podcast, qui sont eux même accessible sur les plateformes d'écoute. Nous vous donnons rendez-vous très bientôt pour un nouvel épisode de 100 jours pour réussir.

00:16:20
Voix off: Celles et ceux qui font la E santé d'aujourd'hui et de demain sont sur le podcast de G_NIUS et toutes les solutions pour réussir sont sur gnius.esante.gouv.fr