Connectez-vous S'inscrire

Le magazine de l'innovation hospitalière
SIS

Les GRADeS, acteurs majeurs de la cybersécurité


Rédigé par Aurélie Pasquelin le Mercredi 9 Juin 2021 à 11:22 | Lu 1634 fois


En poste depuis un peu plus d’un an, Tania Mac-Luckie se mobilise pour la sécurité informatique et la protection des données au sein du Service de Santé Numérique, ou SESAN, le GRADeS d’Île-de-France. Aujourd’hui Responsable junior de la Sécurité des Systèmes d’Information (RSSI), elle intervient auprès d’établissements sanitaires et médico-sociaux franciliens. Hospitalia est parti à sa rencontre.



Tania Mac-Luckie, Responsable junior de la Sécurité des Systèmes d’Information pour le GIP SESAN. ©DR
Tania Mac-Luckie, Responsable junior de la Sécurité des Systèmes d’Information pour le GIP SESAN. ©DR
En quoi consistent vos missions en tant que RSSI intégrée au SESAN ?
Tania Mac-Luckie : En sa qualité de GRADeS [Groupement d’Appui au développement de la e-santé en région, NDLR], le groupement d’intérêt public GIP SESAN intervient sur toute la région Île-de-France pour apporter son expertise aux acteurs du monde de la santé. Dans le cadre plus particulier des missions de sécurité des systèmes d’information, nous intervenons principalement auprès des établissements sanitaires et médico-sociaux. Notre équipe, composée d’experts aux profils variés – je suis par exemple moi-même diplômée en droit et en management de la santé –, accompagne les adhérents du SESAN pour des problématiques techniques ou organisationnelles liées à la sécurité numérique ou portant sur la protection des données personnelles. Nous offrons ainsi plusieurs services personnalisés, sensibilisation, formation, conseil, analyse des risques et de conformité en matière de RGPD… En parallèle, nous animons une communauté régionale de RSSI et DPO [Data Protection Officier, délégué à la protection des données, NDLR], en l’accompagnant et en lui fournissant des ressources utiles. Pour aller plus loin, nous mettons en relation nos adhérents avec des prestataires spécialisés dans des domaines plus spécifiques comme les tests d’intrusion ou les audits de performance des réseaux.

Votre équipe s’est fortement mobilisée dès le début de la crise sanitaire. Pourriez-vous nous en parler ?
Les établissements de santé ayant été eux-mêmes très sollicités à partir du printemps 2020, nous nous sommes en effet aussitôt placés en appui, pour effectuer notamment une veille des menaces et des vulnérabilités. Ces semaines particulièrement intenses nous ont en outre fait réfléchir à l’amélioration de nos services, ce qui nous a poussé à rapidement contractualiser avec un Prestataire de Réponse à Incident de Sécurité (PRIS) disponible 24h/24 pour les établissements qui le souhaitent. Nous proposons également depuis peu un service de cybersurveillance entièrement pris en charge par le GIP SESAN. Notre prestataire surveille l’exposition internet de nos adhérents sur la base de critères prédéfinis, pour évaluer la quantité et la teneur des informations qui peuvent circuler et susceptibles de porter atteinte à leur système d’information.

Passées les premières semaines, quel impact a eu ce premier épisode épidémique ?
Nos missions habituelles ont progressivement repris leur cours pendant que nous intégrions des nouveaux services. Nous nous sommes néanmoins rapidement rendus compte que la crise sanitaire avait changé le regard des établissements de santé sur la cybersécurité : en quelques semaines, elle est devenue un enjeu prioritaire. Certains de nos adhérents ont même revu le positionnement de leur RSSI au sein de leur organisation pour une position plus stratégique.

Il y a eu plusieurs incidents de cybersécurité touchant les hôpitaux ces derniers mois. Quelles ont été leurs conséquences concrètes auprès des adhérents du GIP SESAN ?
D’une manière générale, ceux-ci sont désormais beaucoup plus réceptifs aux enjeux SSI, et aussi plus volontaires. L’un de nos programmes, des exercices pour la gestion d’une cybercrise, a par exemple connu un réel engouement après la médiatisation de ces attaques. Les établissements de santé, ont également multiplié les demandes d’appui pour des actions de sensibilisation de leurs collaborateurs. Nous travaillons en partenariat avec un éditeur sur l’élaboration de contenus de sensibilisation spécifiquement dédiés au secteur sanitaire et médico-social. Dans ce cadre, nous organisons par ailleurs de fausses campagnes de phishing, ou hameçonnage, pour nos adhérents. Si une personne clique sur le lien contenu dans le mail (en apparence légitime), elle est redirigée sur une page qui lui explique les “indices” qui auraient pu l’alerter sur son caractère frauduleux. Le phishing est aujourd’hui le premier vecteur de rançongiciels, responsables des principales cyberattaques dans les hôpitaux.

Justement, comment initier une culture de cybersécurité ?
Il faut avant tout sensibiliser les utilisateurs, et le faire sans relâche. Parce qu’un seul clic peut suffire à compromettre un système informatique. Et l’humain en est la plus grande vulnérabilité ! Actuellement, nous menons des actions ponctuelles, mais il va falloir, à terme, pérenniser les investissements autour de ce volet majeur qu’est la prévention en matière de cybersécurité, et de la sécurité de l’information de façon plus large. Les salariés doivent être sensibilisés dès leur entrée dans un établissement, et cette action doit être poursuivie pendant toute la période où ils y sont présents. Un travail est en outre à mener auprès des différents métiers sur la protection des données personnelles et plus particulièrement les données sensibles comme les données de santé. C’est donc un chantier de longue haleine.

Le mot de la fin ?
Même si les problématiques liées à la sécurité des systèmes d’information dans le secteur médical sont anciennes et connues, la crise sanitaire, et la médiatisation récente de plusieurs cyberattaques d’envergure, ont particulièrement souligné certains points de vigilance, comme cette nécessaire sensibilisation que j’évoquais plus haut. On a tendance à penser que l’outil se suffira, que la technologie nous protégera des cyberattaques. Mais, encore une fois, le principal point d’entrée pour des rançongiciels, par exemple, provient d’une erreur humaine. L’humain doit donc être au cœur de toutes les politiques de cybersécurité. Mais ce n’est pas le seul enjeu mis en lumière par cette crise. Dans notre secteur, le manque de personnes qualifiées est plus que jamais criant. Il est donc important de nous faire connaître. Qu’ils travaillent ou non dans le secteur de la santé, beaucoup méconnaissent en effet le rôle des RSSI et, d’une manière plus large, des métiers de la sécurité informatique. Peu de personnes s’engagent dès lors dans cette voie, engendrant la pénurie que nous connaissons aujourd’hui. Pour aller de l’avant, il nous faudra donc, aussi, démocratiser les métiers de la sécurité informatique.
 
Article publié dans le numéro de mai d'Hospitalia à consulter ici






Nouveau commentaire :
Facebook Twitter