Afin de préserver la confiance des professionnels et des usagers dans l’usage des outils numériques, et d’assurer la continuité des activités, il est indispensable de mettre en place des moyens de prévention des risques, de détection des menaces et de réaction aux incidents.
Vous trouverez toutes les réponses aux questions posées lors du dernier webinaire répertoriées ci-dessous.
Zoom sur :
Axe 1 du programme CaRE
Gouvernance et Résilience
Comment contacter les acteurs suivants en cas de cyberattaque : CNIL, CERT, ARS et ANSSI ?
Nous vous invitons à consulter le portail du CERT Santé sur lequel vous trouverez plusieurs fiches réflexes pour vous aider à réagir face à un acte de cybermalveillance : https://cyberveille.esante.gouv.fr/reagir-un-acte-de-cybermalveillance-fiches-reflexes.
Vous trouverez notamment cette fiche réflexe: https://cyberveille.esante.gouv.fr/sites/default/files/media/document/2023-06/Fiche_reflexes_R%C3%A9agir_Malveillance_PR.pdf qui précise les adresses et numéros à contacter.
Avez-vous utilisé des procédures de gestion des incidents Cyber "types" : ransomware, attaque virale, etc. qui peuvent servir de gabarits préexistants et employables?
[Exercice de crise] Avez-vous utilisé des procédures de gestion des incidents Cyber "types" : ransomware, attaque virale, attaque de sites web, vol de données personnelles, etc.. qui peuvent servir de gabarits pré-existants et employables rapidement ?
Effectivement, notre structure en a utilisé. Ces gabarits sont des "textes à trous" où l'on indiquera l'incident, les types de données impactés,...etc. Il y a un modèle que nous avons écrit mais à adapter en fonction de la situation.
Est-il préférable de ne faire jouer qu'une cellule de crise unique, ou faut-il prévoir une organisation à deux niveaux comprenant une cellule de crise exécutive (ou stratégique) et une cellule de crise opérationnelle?
[Exercice de crise] Est-il préférable de ne faire jouer qu'une cellule de crise unique, ou faut-il prévoir une organisation à deux niveaux comprenant une cellule de crise exécutive (ou stratégique) et une cellule de crise opérationnelle?
La structure est libre d'adapter le nombre de cellules de crise en fonction de sa taille, de son organisation et du nombre de personnes qui participent à l'exercice de crise.
Nous observons généralement des exercices de crise qui ne font intervenir qu'une seule cellule de crise.
Faut-il définir des PCA (plans de continuité d'activité) ou un plan de gestion de crise en amont de l'exercice de crise, ce qui permettrait de tester leur déclenchement et leur efficacité lors de l'exercice?
[Exercice de crise] Faut-il définir des PCA (plans de continuité d'activité) ou un plan de gestion de crise en amont de l'exercice de crise, ce qui permettrait de tester leur déclenchement et leur efficacité lors de l'exercice?
Cela n'est pas obligatoire mais l'exercice de crise peut effectivement être l'occasion de tester les éventuelles procédures qui existeraient déjà au sein de la structure.
Est-il possible de prévoir un annuaire papier au cas où nous perdons les accès à notre SI ? Si oui, comment respecter le RGPD?
Il est important d'avoir une sauvegarde de vos contacts, en particulier, les prestataires et fournisseurs pour maintenir les approvisionnements, la continuité d'activité au sens général, ainsi qu'une procédure de signalement de ce type d'incident (votre CRRC peut vous fournir en général ce type de procédure).
C'est possible au titre du RGPD il vous suffit de créer une registre de traitement dédié.
Doit-on réaliser une analyse des risques de notre SI en amont de l'exercice de crise pour identifier les scénarios les plus problables?
Il est possible de réaliser une analyse des risques de votre SI en amont mais cela n'est pas absolument pas obligatoire. Certains ESMS font d'ailleurs le choix de débuter par l'exercice de crise, qui fait office de "crash test" afin d'identifier leurs faiblesses et les actions à mettre en place de manière prioritaire.
Y-a-t-il une périodicité préconisée pour la réalisation d'exercice de crise?
Il est possible de réaliser une analyse des risques de votre SI en amont mais cela n'est pas absolument pas obligatoire. Certains ESMS font d'ailleurs le choix de débuter par l'exercice de crise, qui fait office de "crash test" afin d'identifier leurs faiblesses et les actions à mettre en place de manière prioritaire.
Nous recommandons de s'exercer de manière régulière, idéalement une fois par an.
Quid des exercices de crise qui simulent 3 jours d'interruption, 3 semaines?
Vous pouvez adapter le scénario de l'exercice de crise présent dans le kit à vos besoins.
Est-il possible de faire de la sensibilisation au sein de notre structure médico-sociale sans passer par un prestataire externe?
Nous vous invitons à contacter votre CRRC pour prendre connaissance de leur offre en matière de sensibilisation des structures : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-2
Est-ce un financement OPEX ou CAPEX ? Devons-nous imputer ces financements sur des dépenses d'exploitation ou d'investissement?
Il n'y a pas de règle spécifique. C'est la même règle que pour les autres dépenses SI : soit de l'investissement, soit de l'exploitation.
Axe 2 du programme CaRE
Ressources et mutualisation
Comment bénéficier des services proposés par les régions à l'échelle nationale (afin d'homogénéiser les actions sur toutes les structures)?
Pour les groupes nationaux qui ont des établissements dans plusieurs régions, la prise de contact doit-elle s'effectuer avec le CRRC (centre régional de ressources cybersécurité) de l'Etablissement Juridique ou au niveau local avec les CRRC des régions des Etablissements géographiques ?
Nous vous invitons à contacter le CRRC de la région où est situé l'établissement juridique. La liste des contacts des CRRC est publiée ici : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-2
Les adhérents de certaines fédérations du secteur médico-social ne font pas partie du programme CaRE. Peuvent-ils bénéficier des exercices de crise cyber?
Le programme CaRE s'adresse également aux ESSMS. Si les appels à financement de l'axe 4 s'adressent uniquement aux établissements de santé, d'autres actions du programme sont à destination des structures médico-sociales, notamment l'accompagnement à la réalisation d'exercices de crise.
Pour ce faire, la structure doit contacter le centre régional de ressources cybersécurité (CRRC) de sa région (un CRRC par région). Les contacts des CRRC sont listés sur la page suivante : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-2
Pour en savoir plus sur les premières actions cyber à mener par une structure médico-sociale, nous vous invitons à consulter la page suivante sur le site de l'ANS : https://esante.gouv.fr/essms/cybersecurite.
J'aimerais être accompagné sur le volet cybersécurité.
Quels types d'ESMS peuvent bénéficier d'un accompagnement par les CRRC (centres régionaux de ressources cybersécurité) ? Peut-on avoir accès à un catalogue de prestations avec les tarifs ? Est-ce gratuit dans toutes les régions ?
Il y a des CRRC (centres régionaux de ressources cybersécurité) dans chaque région. Les contacts des CRRC sont publiés ici : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-2
Nous vous invitons à contacter le CRRC de votre région afin de prendre connaissance de l'offre et des différents services proposés par ce dernier.
Les ESMS peuvent-ils prétendre à l'appel à financement sur les annuaires techniques et l'exposition internet qui a été publié dans le cadre du programme CaRE?
Non, cela n'est pas possible. L'appel à financement sur les annuaires techniques et l'exposition internet s'adresse aux établissements de santé.
Toutefois, dans le cadre du programme CaRE, nous finançons les CRRC (centres régionaux de ressources cyber) qui déploient des actions cyber notamment à destination des ESMS. Pour en savoir plus : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-2
Par ailleurs, une réponse spécifique, adaptée aux besoins du médico-social, a été construite via un appel à projets. Pour en savoir plus : https://esante.gouv.fr/actualites/cybersecurite-un-appel-projets-pour-accompagner-les-structures-sociales-et-medico-sociales.
Faut-il attendre le choix et la mise en place d'un DUI pour démarrer une démarche de cybersécurité?
Ce sont deux démarches différentes. il est important de démarrer au plus tôt votre diagnostic de sécurité numérique pour assurer une mise en place de votre DUI dans les meilleurs conditions. Cela pourra par ailleurs être l'occasion d'ancrer des bonnes pratiques en matière de cybersécurité dès le début.
Nous sommes accompagnés en externe par un DPO, est-ce complémentaire de l'offre de service cyber que ma région propose?
Oui, les deux sont complémentaires.
Nous sommes un petit établissement n'ayant aucun poste dédié au SI : comment faire ?
Nous pouvons vous encourager à la mutualisation de ressources SSI et à vous rapprocher de votre CRRC (centre régional de ressources cybersécurité). De plus en plus de régions proposent des services de DSI et/ou DPO mutualisés entre plusieurs structures.
Par ailleurs, cet aspect a été pris en compte dans l'appel à projet cybersécurité pour le médico-social dont la première itération, sous forme de phase pilote, a été lancée fin mars (https://esante.gouv.fr/actualites/cybersecurite-un-appel-projets-pour-accompagner-les-structures-sociales-et-medico-sociales).
Axe 4 du programme CaRE
Sécurité opérationnnelle
Est-il prévu un AAP sur le même modèle qu'ESMS numérique (sous forme de grappe)?
Un appel à projet cyber dédié au médico-social a été publié fin mars : https://esante.gouv.fr/actualites/cybersecurite-un-appel-projets-pour-accompagner-les-structures-sociales-et-medico-sociales
Il s'agit pour l'instant d'un POC (preuve de concept) qui ne concernera qu'une vingtaine de lauréats. Les retours d’expérience permettront d’ajuster le dispositif et d’envisager une généralisation progressive à l’ensemble des structures.
Peut on faire des sauvegarde sur une clé ou un disque externe?
Il est possible de faire des sauvegardes sur clé ou disque externe, mais ce n'est pas une bonne pratique. Cela ne doit pas être une solution de sauvegarde principale. Les supports externes présentent beaucoup de risques importants (perte/vol), surtout s'ils ne sont pas chiffrés. Il peuvent facilement servir de vecteur d'infection ou de propagation d'infection. Ils exigent également de prévoir un processus très carré (ne pas les laisser connectés au système sinon ils seront chiffrés en même temps que le poste par exemple). Par expérience la sauvegarde sur support USB "fonctionne" un temps car elles sont souvent faites manuellement, et donc avec le temps le process est sujet à l'oubli.
Il est donc préférable de partir dès le début sur un outil de sauvegarde automatisé avec des matériels spécifique à la sauvegarde, et de garder la possibilité de faire des sauvegardes ponctuelles uniquement d'un environnement de travail utilisateur sur clé ou disque externe (mais en appliquant tout de même quelques principes de base : chiffrement du support, déconnexion après usage, conservation dans un tiroir qui ferme à clé ou dans un coffre, ...).
Diagnostic sécurité
La réalisation d'un diagnostic cybersécurité avec le CRRC (centre régional de ressources cyber) nécessite-t-il des compétences informatiques du côté établissement?
Non, cela n'est pas nécessaire. Par exemple, dans certains cas, seuls la direction de l'ESSMS et le prestataire informatique habituel sont sollicités pour réaliser le diagnostic.
Nous vous invitons à vous rapprocher de votre CRRC pour voir avec eux l'accompagnement qu'ils pourront vous proposer en fonction de votre contexte.
Les outils sont-ils imposés, ou la DSI a-t-elle le choix de ses solutions SSI (sécurité des systèmes d'information)?
Aucun outil imposé, seulement des proposition d'actions. La mise en œuvre reste à la main de chaque structure.
HospiConnect
L'obligation de double facteur d'authentification pour l'accès aux données de santé (à minima pour les DUI) est-elle toujours applicable au 01/01/2026?
Non, cette date n'est plus applicable. Avec la mise à jour du référentiel d'identification électronique fin 2025, l'échéance a été décalée à fin 2028.
Nous vous invitons à consulter le replay du webinaire qui a traité de la sécurisation de la chaine d'identification électronique des professionnels avec un RETEX des lauréats d'HospiConnect : https://esante.gouv.fr/webinaires/securiser-la-chaine-didentification-electronique-des-professionnels-en-structure-premieres-etapes-mener-et-retours-dexperience-de-laureats-hospiconnect.
OPSSIMS
L'Observatoire Permanent de la Sécurité des Systèmes d’Information dans le médico-social (OPSSIMS) est un outil clé en main pour réaliser un état des lieux complet et évaluer la maturité cyber des ESSMS.
Certaines cases sont grisées / barrées dans l'OPSSIMS. Pourquoi ? Quel est leur rôle?
Certaines questions et cellules de réponse sont grisées car :
- leur affichage est conditionné aux réponses apportées aux questions précédentes. Par exemple, si la structure répond "Je suis ou je fais partie d'un organisme gestionnaire qui gère plusieurs structures disposant de leur propre numéro FINESS géographique" à la Q1, les lignes correspondant aux Q2 et Q3 se dégrisent;
• les cellules dans les colonnes "Réponse Etablissement" se dégrisent pour les questions à choix multiples.
N'hésitez pas à prendre connaissance de l'onglet "Page de garde" présent dans le fichier, car tout y est détaillé. Par ailleurs, un guide d'aide au renseignement de l'OPSSIMS est à votre disposition sur la page suivante : https://esante.gouv.fr/essms/cybersecurite.
J'ai des remarques sur l'OPSSIMS. Comment puis-je les faire remonter?
Vous pouvez nous les transmettre via notre support : https://esante.gouv.fr/contact?contact_theme=programme_care
Ressources à disposition
Où pouvons-nous retrouver sur le site de l'ANS les différentes ressources cyber pour le médico-social ?
Vous pouvez retrouver toutes les ressources (documents, replay des webinaires, vidéos témoignages,…) à disposition du secteur médico-social sur la page : https://esante.gouv.fr/essms/cybersecurite.
Au même titre que les dispositifs de prévention que vous présentez dans ce webinaire, est-ce qu'il existe un dispositif, des outils, des conseils, ... qui sont proposés au niveau national ou régional après une crise réelle de cyber attaque?
Lors du signalement de votre incident sur le portail https://signalement.social-sante.gouv.fr/ vous aurez l'opportunité de demander un accompagnement. Le CERT Santé prendra alors contact avec vous pour vous appuyer.
Quelles sont les étapes à mener une fois le diagnostic fait?
Une fois le diagnostic réalisé, vous disposez d'un plan d'action qui sera spécifique à votre structure.
Pour prendre connaissance des actions de base à prévoir, nous vous invitons à télécharger le guide en 13 questions pour la cybersécurité dans le médico-social : https://esante.gouv.fr/essms/cybersecurite
Où peut on retrouver le kit exercice de crise cyber de l'ANS?
Vous pouvez télécharger directement le kit ici : https://esante.gouv.fr/sites/default/files/media_entity/documents/kit-exercice-de-crise-cyber-v2.zip ou le retrouver sur cette page : https://esante.gouv.fr/essms/cybersecurite
Autres questions
Pourriez-vous nous rappeler les mesures réglementaires obligatoires pour le médico-social concernant la cybersécurité?
Nous vous invitons à consulter le support du webinaire "Les premières actions cyber à mettre en place dans une structure médico-sociale" qui présente ces éléments : https://esante.gouv.fr/essms/cybersecurite.
Avons nous des nouvelles concernant l'application obligatoire du NIS2 ?
La transcription n'est pas votée, l'ANSSI communiquera sur les prochaines actions. Pour en savoir plus : https://messervices.cyber.gouv.fr/nis2
La cybersécurité doit-elle être traitée au sein du plan bleu?
Le Plan Bleu, intégré dans le projet d’établissement constitue le plan global de gestion des risques des établissements médico-sociaux pour faire face à tout type de crises et de situations sanitaires exceptionnelles susceptibles de les impacter (épidémies, rupture de flux, incendie, infections nosocomiales, actes de malveillance et de terrorisme, catastrophes naturelles et technologiques, etc.). Il doit notamment prévoir les modalités de continuité de l’activité de l’établissement et, à ce titre, contenir effectivement un volet cyber.
En complément du plan bleu, les ESMS sont invités à rédiger un PCRA (ou plan de continuité et de reprise d'activité). Le PCRA est un outil de gestion de crise complémentaire qui vise à renforcer la protection de la continuité d’activité du secteur médico-social, et notamment pour les structures qui ne possèdent ni Plan Bleu, ni plan de reprise informatique (PRI).
Les structures médico-sociales qui ont déjà formalisé des procédures de continuité d’activité dans le cadre d’un Plan Bleu ou d’un PRI, pourront compléter ces procédures existantes par le traitement de scénarios d’indisponibilité de ressources différents (SI, personnel, bâtiment, fournisseur).
Le PRI est-il un document à part ou doit-il être inclus dans le PCRA ou le plan bleu?
Le Plan de Reprise Informatique (PRI) est complémentaire au Plan Bleu et au Plan de continuité et de reprise d'activité (PCRA).
Nous vous invitons à prendre connaissance de la note de présentation du PCRA qui précise l'articulation entre les trois dans le kit PCRA pour le médico-social : https://esante.gouv.fr/essms/cybersecurite