1. Cybersécurité et archives
Restitution des réponses au questionnaire
cyberattaque en établissements de santé
Jeudi 30 mars 2023 – Archives nationales, site de Pierrefitte-sur-Seine
Emilie FROMONT, responsable des Archives médicales du Centre
hospitalier des pays de Morlaix
Vice-présidente de la section Archivistes en établissements de santé (AES)
2. Introduction et contexte (1/2)
AES : quesaco?
o Archivistes en établissements de santé publiques ou privés
o Pas nécessairement archiviste de formation
o Responsable des archives médicales (typologies variées)
et/ou archives administratives
o Peut être responsable des communications de dossiers
o Quelque fois référent identitovigilance
o Parfois également DPD
En 2021, 1 entreprise sur 2 cible d’une cyberattaque
En 2022, moins d’1 entreprise sur 2 a subi une
cyberattaque
Différents secteurs touchés :
o Publique : syndicat de communes, l’OEHC à Bastia,
hôpital Sud Francilien de Corbeil-Essonnes
o Privé : Thales, Intersport
3. Introduction (2/2)
Pourquoi réaliser une enquête au sein
des établissements de santé?
o En peu de temps, X° des attaques au
sein des hôpitaux (liste non
exhaustive)
o Sujet d’actualité avec conséquences
immédiates sur la prise en charge du
patient
o Travail sur procédures spécifiques
volonté de partage
Pourquoi une cyberattaque peut paralyser la prise
en charge des patients?
o Dossier patient informatisé : applications inaccessibles
o Coupure d’internet : aucun accès à certaines
applications
o Dossier patient papier : pas d’inventaire papier,
localisation accessible via logiciel de gestion des
archives
1
2
Sources
1.
Article « La carte des
collectivités locales et
hôpitaux touchés par
des cyberattaques »
publié en 01/2023 sur
le site internet le
courrier des maires
2.
Article « Cyberattaque
: la liste des hôpitaux
touchés en 2022 »
publié en 12/2022 sur
le site Numerama
4. Présentation du questionnaire
Diffusion via liste AES
Volonté d’avoir un questionnaire
succinct
Objectifs
o Avoir une vision des établissements déjà
impactés par une cyberattaque
o Identifier les hôpitaux disposant de
procédures dégradées
o Mutualisation des connaissances et des
savoir-faire
Sondage non exhaustif
Remerciements aux participants
Synthèse en avant-première
5. Résultats du questionnaire (1/2)
Diffusion le 06/01/2023
1 relance le 17/02
13 répondants : 32% de participation
12 archivistes
1 DSI
100% d’établissements publics
Grand
établissement
30%
Petit
établissement
3%
Taille
moyenne
67%
Grand
établissement
84%
Taille
moyenne
16%
Taille de l’établissement
0 1 2 3 4 5 6
Panne informatique suite mise à jour logiciel…
Pannes fréquentes logiciel gestion archives
Sans précision
Cyberattaque
Panne de matériel provocant inaccessibilité…
Panne informatique hébergeur
Test plan de sécurité
Sans précision
Non
Oui
INCIDENT INFORMATIQUE ET CAUSE
ÉVENTUELLE
Total
6. 1 établissement sans procédure dégradée
Seulement 33% des établissements ont fait appel à l’archiviste
L’un sollicité seulement pour procédure accès DPP
Pilotage d’1 GT sur les 10 constitués
Actualisation de la procédure existante
67% procédures réalisées sans intégration
8 personnes prêtes à partager leurs expériences
1 DSI
Peu d’information à apporter
Possibilité communiquer procédure existante DPP mais datée
Transmission d’1 procédure
Sous réserve d’anonymat
2 refus (Ø procédure, pas suffisamment de matière)
3 qui n’ont pas répondu
Résultats du questionnaire (2/2)
61% des établissements travaillent
actuellement sur leurs procédures dégradées
37,5% des établissements ont sollicité leur
archiviste
12.50%
12.50%
25.00%
50.00%
Précisions des travaux en cours
En cours d'arbitrage, demande de matériel spécifique
Mise à jour procédures existantes, développement
nouvelle stratégie
Poursuite de la mise en place de procédures toujours
plus robustes
Actualisation de la procédure
7. Conclusions et premières analyses
Répondants avec spécialités en médecines variées
Etablissements de moyenne et grande taille
Ø pas de petit établissement
Taux de réponse assez faible
Archiviste globalement peu sollicité
Quand procédure existante : volonté d’être plus résistant
1 procédure dégradée partagée
Intérêt de la majorité pour échanger les connaissances : volonté
d’aider
Intérêt avéré pour la réalisation d’une visio = 1ère action
Sujet encore et toujours d’actualité : 2 nouvelles attaques depuis le
début du mois
Prix de revente des données piratées assez faible
Volonté de mettre à l’arrêt certaines activités et coûts engendrés par ces
attaques
Gain raporté lorsque la rançon est payée par les établissements
0
2
4
6
8
10
12
Non Oui
Archiviste intéressé pour
participer à un webinaire
8. Merci de votre attention !
Des questions?
efromont@ch-morlaix.fr
Notes de l'éditeur
L’identitovigilance est l’ensemble des mesures mises en œuvre pour fiabiliser l’identification de l’usager afin de sécuriser ses données de santé, à toutes les étapes de sa prise en charge.
CESIN = Club des experts de la sécurité de l’information et du numérique. Réunit des responsables de la cybersécurité venant d’UP de tous secteurs d’activités et d’administrat°. Obj = contribuer à la montée en maturité des organisations en cybersécurité.
Sondage réalisé par Opinionway, concerne 328 répondants.
Exemples : Vals de Saintonge : site piraté et inaccessible. Cyberattaque en 2022, toujours d’actualité en 2023
bureaux de l'Office d'équipement hydraulique de la Corse, à Bastia, en novembre 2022 cible d'une attaque cybernétique, provoquant une panne générale
Thales en début 2022 et en novembre 2022 : même groupe que pour le ch sud francilien
Remerciement à Frédéric BONIS, CH Perpignan.
Liste non exhaustive : choix de certains de s’exprimer dans la presse, d’autres l’inverse. Ne pas accentuer leur vulnérabilité.
Rappel 2 juin 2021 : panne des numéros d’urgence. Panne a empêché plus de 10 000 appels d’aboutir. Aurait causé directement le décès de 6 personnes.
Intérêt hacker données de santé : sensibles pas volumétrie, panique parilysie + rapports de santé politique intéresse du monde
Sujet d’actualité : thème des deux demi-journées hors AG.
Exemple : aucun accès internet pour SAMU, localisation des patients.
Pas exhaustif : tout les membres de l’AES n’ont pas répondu.
Volonté d’être simple : 1ère étape + rapidité de remplissage
41 membres actifs
Catégorisation de la taille de l’établissement sur site : qualiscope (HAS) : niveau de certification. A relativiser, comparaison CHPM/CHU Brest
Public pas étonnant, la plupart des adhérents sont en ES publics
40% déjà eu incident (6), 60% pas eu incident. Sur ces 7 ES, 1 pannes fréquentes, 1 panne informatique
Pas de spécificité selon spécialités (psy, MCO, etc.)
Aucun petit établissement : périmètre de l’AES ne touche pas petit E, - impacté par cyber? Peu répondant : Mauvais timing, Sentiment de ne pas être concerné
Webinaire : peut-être plus d’intérêt pour visio
CCL : CHU Brest 9/03 dernier, depuis lundi : AN accès internet bloqué « déni de service », attaque symbolique = représaille
CCL personnelle : Petite section, section où les adhérents ont des difficultés à faire reconnaître leur déplacement dans le cadre de l’AAF : mais noyau dur de personnes souhaitant aider les autres.