CYBER & Healthcare
AP-HP Cyber Exercise
Exercice « Cryptex v3 » réalisé à la DSN :
https://www.linkedin.com/feed/update/urn:li:activity:7082706503169626112/
---
Exercice « Cryptex v2 » réalisé à la DSN :
Le président remercie le Dr Valérie CAUDWELL pour son témoignage et invite le Pr Mathieu RAUX,
médecin anesthésiste réanimateur à la Pitié-Salpêtrière, à expliquer comment l’AP-HP se prépare à
une cyberattaque.
Le Pr Mathieu RAUX indique être missionné par le directeur général pour proposer un plan de
continuité des soins en cas de cyberattaque de l’AP-HP. L’institution ne sera jamais complètement
prête et les dispositions prises serviront essentiellement à minimiser les conséquences d’une
attaque et à faciliter la récupération. Un comité de pilotage a été constitué de la directrice de la
direction des patients, de la qualité et affaires médicales (DPQAM), Mme Christine GUÉRI, du directeur
des services numériques (DSN), le Dr Laurent TRÉLUYER, de la directrice adjointe de l’hôpital Beaujon,
Mme Valérie ACHART-DELICOURT, d’un chercheur en sociologie des organisations d’EDF, M. Nicolas LOT,
et de lui-même. L’objectif de ce comité de pilotage n’est pas de donner des avis techniques, mais
de voir comment aller au-delà du plan de continuité d’activité numérique, anticiper les
conséquences sur le fonctionnement de l’hôpital d’une défaillance majeure, instantanée et
prolongée qui serait issue d’une cyberattaque. Il s’agit de l’une des crises les plus violentes que
puisse subir un hôpital. Le comité de pilotage essaiera de proposer d’ici la fin du mois d’avril un
guide générique de rédaction du plan de continuité du soin, que chaque hôpital pourra s’approprier.
Les plans seront élaborés en tenant compte des spécificités de chaque établissement, tout en
respectant de grands principes communs.
Le comité de pilotage a en premier lieu réalisé une revue de littérature, qui est assez pauvre :
l’information la plus prégnante est qu’une cyberattaque entraîne une hausse de la mortalité de
20 %. Des entretiens approfondis ont été menés par M. Nicolas LOT auprès des établissements
attaqués (le centre hospitalier de Dax et le CHSF). Le comité de pilotage a essayé de tirer des
enseignements de l’exercice « Cryptex v2 » réalisé à la DSN et à la Pitié-Salpêtrière en
novembre 2022, qui a été riche d’enseignements. Le comité de pilotage a réalisé une analyse
chronologique des parcours de soins et des process de direction (de l’entrée d’un malade à l’hôpital
ou au scanner à sa sortie, processus de recrutement d’un personnel par l’équipe de direction,
analyse d’un tube de biologie), soit une trentaine de process de soins et une dizaine de process de
direction analysés. Il remercie les personnes sollicitées de leur participation : les informations ont
été récupérées et sont en cours d’analyse et de synthèse par la DPQAM.
Fort de l’expérience du CHSF et de l’attaque du CH de Versailles début décembre 2022, le comité
de pilotage a proposé la mise en œuvre de mesures d’urgence à prendre en amont, afin de
minimiser les conséquences d’une cyberattaque sur les soins. Ces propositions n’ont pas vocation
à être remises en cause par le guide final, et seront rapidement diffusées. Ces mesures d’urgence
sont rédigées et seront adressées dans les prochains jours aux collégiales d’imagerie, de biologie et
de pharmacie pour validation. Elles seront ensuite envoyées à la commission numérique de la CME
pour validation avant leur diffusion. Le comité de pilotage espère ensuite, sur la base de l’analyse
en cours, faire des propositions de solutions de repli numérique et non numérique et rédigera le
guide méthodologique. Une proposition pédagogique de formation complétera ce guide.
Le Dr Laurent TRÉLUYER évoque les sauvegardes et précise que les dossiers patients et les
applications critiques de l’AP-HP sont dupliqués sur deux salles informatiques. Une sauvegarde
quotidienne est réalisée sur d’autres médias.
Le Pr Catherine PAUGAM-BURTZ précise que le plan de résilience dans le soin est construit
parallèlement au plan de résilience de la DSN. Elle propose au Dr Laurent TRÉLUYER de préciser
l’organisation de la DSN, aussi bien dans son rôle de gestion a priori de la crise, que lorsqu’un
évènement survient.
Le directeur général note que les sauvegardes sont quotidiennes. Il souhaite des précisions sur
l’état de l’art et les marges d’amélioration à apporter à court terme, car l’institution est par
définition vulnérable et doit connaître ses marges de progrès.
Le Dr Laurent TRÉLUYER cite quatre points permettant d’assurer une résilience des systèmes
d'information :
• Avoir des systèmes d'information en bonne santé : mises à jour fréquente des postes de
travail, des serveurs et des applications, limiter le taux de vétusté pour éviter des failles de
sécurité connues ;
• Avoir des éléments de protection et de détection : antivirus sur l’ensemble du parc,
utilisation d’un outil de détection et réponse aux terminaux (EDR) permettant d’identifier
des comportements anormaux de certains postes ou serveurs ;
• Former les utilisateurs à la cybersécurité : être attentifs au phishing, ne pas cliquer sur des
liens demandant les identifiants et mots de passe, réaliser des campagnes de
faux-hameçonnage avec des bilans et une information des utilisateurs ;
• Préparer la résilience des soins, organiser des exercices réguliers de cybercrise (un grand
exercice par an au sein d’un GHU et des directions centrales, ainsi que de petits exercices
plus concentrés…)
L’AP-HP est régulièrement auditée par l’ANSSI, l’ARS ou le ministère de la Santé. Il existe toujours
des marges de progrès, même si l’AP-HP obtient plutôt de bons résultats. Le niveau moyen des
établissements de santé est plutôt mauvais, car ils sont très ouverts avec de nombreux systèmes
(l’AP-HP a plus de 1 000 applications), de biomédical, de gestion technique des bâtiments qui sont
compliqués à protéger. La surface d’attaque de l’AP-HP est très importante et ses vulnérabilités
potentielles sont nombreuses.
CME du 10 janvier 2023 13
https://cme.aphp.fr/sites/default/files/CMEDoc/cr_cme10janvier2023.pdf
EDR : https://fr.wikipedia.org/wiki/Endpoint_detection_and_response
https://en.wikipedia.org/wiki/Endpoint_detection_and_response
---
List of main Cyber Attacks on Hospitals in France :
+ 30/06/2023
Plusieurs hôpitaux français visés par une cyberattaque
Les sites internet de plusieurs hôpitaux français, dont celui de l’AP-HP, sont inaccessibles.
Hôpital Pitié-Salpêtrière
Hôpital Saint-Antoine
Hôpital Américain de Paris
Hôpitaux Universitaires de Marseille (AP-HM)
CHU de Lyon
+ 21/06/2023
Cyberattaque au CHU de Rennes. Des données exfiltrées, l'hôpital porte plainte
Simulation de cyberattaque dans un hôpital en Bretagne
2023 :
Les 4 axes suivants permettent de développer la cyberhygiène et la sécurité des systèmes d’information en établissement de santé ou médico-social
1. La formation
2. La promotion d’une culture partagée et contextualisée de la sécurité
3. Les mesures de sécurisation
4. La protection des actifs numériques par l’exclusion par défaut de tous les accès et l’instruction rationnalisée des besoins d’accès internes et externes
https://sante.gouv.fr/IMG/pdf/cybersecurite_referentiel_des_mesures_prioritaires.pdf
+ Bilan 2022
En 2021, 582 établissements hospitaliers français ont été victimes d'une cyberattaque, soit un établissement sur six. Un nombre deux fois plus important qu'en 2020.
+ 04/12/2022
+ 21/08/2022
https://tehtris.com/fr/blog/le-top-5-des-cyberattaques-2022
+ 19/04/2022
+ 15/09/2021
+ 08/03/2021
+ 19/02/2021
+ 15/02/2021
+ 05/02/2021
https://www.mnh.fr/sites/default/files/2022-02/cp-mnh-cyber-090221.pdf
+ 22/03/2020
+ 14/02/2020
---
+ 04/04/2023 : AP-HP & OVHcloud
https://corporate.ovhcloud.com/fr/newsroom/news/ap-hp-partnership/
+ Cold Storage : 0,0013 EUR / GB
https://www.ovhcloud.com/en/public-cloud/cold-archive/
+ 22/09/2016
BUG ! https://twitter.com/olesovhcom/status/779297257199964160
BUG ! https://twitter.com/olesovhcom/status/778830571677978624
+ 06/09/2019
https://www.phonandroid.com/une-attaque-ddos-rapporte-25-millions-de-dollars-a-wikipedia.html
2018
---
https://fr.wikipedia.org/wiki/Cyberattaque
Quelles sont les menaces ?
https://tehtris.com/fr/blog/le-monde-de-la-sante-face-aux-cyberattaques
Le phishing
https://en.wikipedia.org/wiki/Phishing
https://fr.wikipedia.org/wiki/Hame%C3%A7onnage
Les ransomwares
https://en.wikipedia.org/wiki/Ransomware
https://fr.wikipedia.org/wiki/Ran%C3%A7ongiciel
Vol de données
Les attaques DDOS
Distributed Denial-of-Service (DDoS) attack
https://www.ssi.gouv.fr/guide/comprendre-et-anticiper-les-attaques-ddos/
https://fr.m.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service
https://en.m.wikipedia.org/wiki/Denial-of-service_attack
https://fr.m.wikipedia.org/wiki/Mitigation_de_DDoS
https://en.m.wikipedia.org/wiki/DDoS_mitigation
https://www.ovhcloud.com/fr/security/anti-ddos/ddos-definition/
https://cybelangel.com/heathcare-data-targeted/
https://cybelangel.com/medical-data-leaks/
https://cybelangel.com/stop-medical-device-leaks/
https://discover.cybelangel.com/full-body-exposure
https://discover.cybelangel.com/healthcare-data-targeted-dark-web
https://cybelangel.com/sanofi-uses-cybelangel-to-outwit-cybercriminals/
https://cybelangel.com/case-studies/sanofi-secures-attack-surface-with-the-help-of-cybelangel/
https://cybelangel.com/covid-19-pandemic-a-hackers-gold-mine/
https://cybelangel.com/ciso-case-files-pirates-aboard-the-hms-cyber/
https://discover.cybelangel.com/pharma-ciso-roundtable-cambridge-5-2022
https://www.resah.fr/Ressources/FCK/files/guidecybersecuriteVF.pdf
Cyber War
Comments
Post a Comment