Session JIB 2023
Cyberattaques et cybersécurité : que doivent savoir les biologistes médicaux ?
Avec :
– Nasser AMANI, Directeur des Services Numériques du Territoire, Hôpitaux Nord-Ouest, Villefranche sur Saône
– Camille GOBEAUX-CHENEVIER, Pilote GT Cybersécurité Biologie APHP, Hôpital Cochin, Paris
– Laurence MOULY, Pharmacienne Biologiste, Hôpitaux Nord-Ouest, Villefranche sur Saône
– Maxime VANDERSCHOOTEN, Directeur Hôpital Beaujon, Clichy
Jérôme VÉTILLARD, Microsoft – France
Une table ronde animée par
Katell PEOC’H, Présidente de la SFBC, Université de Paris Cité, APHP
JIB 2023 – ©SDBIO2023
[Musique] alors pardon je l’ai pas dit Laurence mou et n viennent de Villefranche sur sa du centre hospitalier de Villefanche sur sa Jér chez Microsoft n nous parlera de de qui sont en quoi consistent ces attaques et qui qui nous attaque et comment essayer de prévenir par un certain nombre d’outils
Ces attaques et puis ensuite on parlera dans le cadre d’une table ronde et je reviendrai un petit peu vers vous au moment du début de C tableau voilà donc je je laisse la parole àance et introd mais laence biologiste à l’hôpital de villefche sur sa je suis directeur des services
Numériqu du territoireord beoletom je suis ai directeur de réér du P biologie pharmaciisation mé on va essayer avec à de VO de faire une présentationévénement qui séit déroulé en 2021 dans notre établissement groupement hospitalier de territoire et euh événement de sécurité qui est qu’on appelle cyberattaque mais c’est beaucoup
Plus complexe que ça mais voilà et ce slide a pour vocation de vous rappeler en tous les cas fixer des éléments de contexte concernant l’impact que peut avoir une cyberattaque sur un groupement Hospital et territoire on a la particularité au sein de notre groupement depuis 2017 d’avoir beaucoup travaillé sur la convergence des
Systèmes d’information et on a un seul système d’information commun à la ch du territoire donc l’ensemble des établissements les six établissements qui font partie de nos groupement euh nos epad ça représente 313 h lit 200000 consultes chaque année plus de 100000 passages urgenence euh 4247 personnels qui sont les agents de notre groupement
Hospital territoire et qui partagent un même système d’information une direction des services numérique unique donc plus de 60 applications 450 serveurs donc l’impact de cette cyberattaque en 2021 donc c en février 2021 un impact sur l’ensemble des 300 du bassin de du territoire donc les 360000 habitants du territoire vont avoir être
Impactés il y a une thématique qu’on don on beaucoup parler aujourd’hui c’est notre responsabilité populationnelle l’obligation de sécuriser la donnée de sécuriser l’information et la prise en charge des patients àch du territoire donc cette cyber impact a un impact direct sur le territoire et sur la
Patientel puisque en fait on va on va vous l’expliquer avec Laurence pendant quelques jours quelques semaines avoir une rupture totale d’accès mon système d’information donc donc et on va vous expliquer comment on l’a vécu au travers de des 24 prières heures et ensuite comment on a pu remédier à cette
Cyberattaque et puis en tirer des enseignements et et des actions concrètes qu’on a mis en place depuis juste quelques mots encore sur l’établissement support de villefrance sursunne donc c’est l’établissement support du ght il représente 450 Liv de MCO 12000 intervention chirurgical plus de 2000 accouchements des urgences adultes et pédiatriques service de
Réanimation alors rapidement pour le laboratoire donc comme l’ dit Naser ben on a un seul laboratoire sur les ght on est polyvalent dépôt de sang fait à peu près 30 millions de B par an notre équipe c’est pas une très grosse équipe he il y a 6,4p de biologiste en
Assistant en interne 36 ETB de technicien et une petite activité de prélèvement donc ben voilà qu’est-ce qui nous est arrivé le 15 février 2021 ben c’est ce qu’on va vous raconter maintenant voilà utêre blackout to donc le contexte quand même 15 février alors pour notre zone en tout
Cas c’était les vacances scolaires donc qui dit vacances scolaires forcément moins de monde dans les services l’administration partout c’était aussi remember début de la trè vague covid bon du coup on était déjà un peu plus préparé on connaissait un peu mais c’était encore compliqué et puis alors là c’est petite particularité de notre
Part on avait changé de depuis à peine 2 mois donc pour vous dire que quand on change de cy c’était encore un petit peu la galère le côté informatique et puis par contre on avait entendu parler quand même la semaine d’avant de la cyberattaque de l’hôpital de Dax qu’est-ce qui s’est concrètement
Passé donc ce 15 février à 14h30 du matin 4h30 du matin pardon ben comme beaucoup d’établissement on a un astrinte informatique qui qui travaille 7 jours sur 7 et 2424 et qui est appelé par le service des urgences et qui nous indique que il y a rupture d’accès plus
D’accès au système d’information et euh et donc un appel classique en astrin notre technicien astrin va se connecter à notre infrastructure à distance et se rend compte très rapidement qu’on fait face à un une phase de chiffrement on app ça dan son logiciel donc c’est la phase de chiffrement qui est la phase
Quasiment finale d’une cyberattaque puisque les vacan sont précédemment et en tout préblablement sur notre système depuis quelques jours voire quelques semaines on sa pas trou encore à ce stade et lance une phase de chiffrement qui va chiffrer l’ensemble des serveurs l’ensemble des données et entraînant B une rupture d’accès à ce au système
D’information donc on a une première analyse de de l’impact de cette cévè attaque et puis et puis on a cet appel au directeur de garde c’était moi qui était directeur de garde ce jour-là et on met en place tout de suite les premières actions de de de confinement
Qui constituent nos euh prérequis en tous les cas nos ce qu’on a mis en place en terme de de de prérequis en cas de cyberataque qui est on arrête tout on coupe tout y compris la téléphonie puisque nous avions basculé quelques mois avant sur la téléphonie IP donc
Connecté au système d’information et au réseau donc en quelques minutes ce qu’on a vu tout à l’heure dans le noir complet l’ensemble des six établissements sont dans noir complet sans accès au système d’information ni à la téléphonie donc la téléphonie c’estut dire qu’on on peut pas s’appeler entre services euh on peut
Pas communiquer entre nous on peut même pas communiquer sur le fait qu’on a une cyberataque et qu’on a on est en difficulté donc voilà et on commence à faire les premières analyses d’impact et on déclare le passage un mote dégradé euh pour l’ensemble de les établissements à côté labo forcément de
La même façon hein le technicien qui voulait avoir accès à son site ne l’a pas donc appel informatique et là la première consigne parce que c’était avant qu’il a tout coupé hein c’est vous fermez tous les PC donc euh et puis vous appelez le biologiste d’astrand qui qui est désespéré
Forcément la présentation qu’on fait est vraiment le vécu de ce qu’on a vécu en en février 2021 depuis il y a eu des évolutions sur les procédures les en tous les cas des réflexes à avoir en de cyberattaque qui ont un peu évolué mais bon voilà on va décrire élément comment
On l’a vécu donc donc je m’empresse au bout de quelques 1 heure dem à peu près de une fois que j’ai toutes les information on va faire les déclarations d’incidence et d’incidents de sécurité donc d’abord à ma directrice générale puis à la la régulation du SAMU parce
Que pour le coup on dérégule et on demande à ce que les Samus les pompiers ne soient plus accueillis dans nos services d’urgence je fais une déclaration au CTFR qui est l’organisme qui gère les les accidents de sécurité pour nous établissement support DHT c’est l’Agence nationale de sécurité des systèmes
D’information LAN qui on verra tout à l’heure a diliganté une dizaine de personnes pour nous accompagner et nous accompagner dans la phase de qu’on appelle forensic d’étude de compréhension de ce qui s’est passé l’analyse et ensuite de comment on va faire pour reconstruire ou remédier notre système
D’information et puis bon ben comme on l’a dit plus de système de téléphonie ou autre donc ça y est ben chacun prend son téléphone perso et 7h38 pas mal pour démarrer la journée SMS de notre directrice générale bonjour nous faisons l’objet d’une très sérieuse attaque viral sur l’ensemble des sites
Hano Naser ici présent et ces akipes sont sur le terrain pour tout couper afin d’arrêter la propagation service d’accueil des urgences laboratoires et imagerie fonctionne en mode dégradé il n’y a plus d’accès à notre dossier patient informatisés ni à la messagerie ni à la téléphonie il ne faut pas
Redémarrer les PC à plus tard voilà on a plusieurs types de cyberattaques tout à l’heure j’ai un peu dit la nôtre elle était euh très impactante puisque les cyberattaquants sont arrivés à atteindre ce qu’on appelle l’active directorie qui est le cœur de notre système d’information avec les plus hauts
Privilèges possibles donc vous imaginez que ce qu’on appelle aussi La matéalisation fait qu’en fait ils ont ils avaient accès à l’ensemble du système d’information et c’est pour ça qu’ils ont chiffré l’ensemble de nos données donc on est vraiment sur un impact brutal et total de not sur notre système
D’information donc ben qu’est-ce qu’on a pas ce qu’on a dit il y a plus de téléphone il y a plus de fa il y a plus de réseau on a plus de PC et puis finalement surtout on a pas de procédure dégradé pour ce type de cas clairement
Juste pour faire un focus sur les procures dégradé ce qu’on a l’habitude de voir dans l’ensemble des établissements de santé ce sont des fichiers PDF qui sont copiés régulièrement sur des postes dit en local mais malgré tout qui sont quand même connecté au réseau et nos cyberattaquants ayant les privilèges les
Plus élevés ont aussi chiffré les modes dégradés donc les services de soins n’avent plus accès à cet ensemble des fiches des prescriptions des pancartes et autres de nos patients puisqu’ils ont procédures dégradé ont également été chiffré alors par contre ce qui nous restait au labo ça c’est l’avantage
C’est qu’on avait enfin expliquera mieux que moi mais une boucle réseau qui qui était propre pour les instruments Biomed et ce qui fait que les PC des automates qui dirigent les automates n’étaient pas touchés donc on avait encore tous nos automates qui pouvaient fonctionner en St de l’ONE on avait parce que on
S’était battu pour en garder une une imprimante photocopieuse qui n’était pas connecté parce que aujourd’hui forcément pour libérer nos impressions on est tout avec nos badges donc c’est vrai qu’on était ça on en avait encore une et puis surtout ce qui était très chouette c’est qu’on avait une équipe et on peut le
Dire on voit que dans l’adversité les gens se serrent les coudes donc une super équipe de bas ATT et puis comme je vous l’ai dit on a eu l’expérience de Dax déjà une semaine et qui était toujours bloqué donc on s’est dit ou là là on est parti pour
Longtemps dans les actions immédiates ben c’est vrai que tout de suite l’objectif c’était de limiter le nombre de tubes qu’ recev au laboratoire on a tout de suite défini qu’on allait travailler que sur la liste des examens urg celle qu’on fait 24/ 24 vu qu’on est aussi dépôt de sang fallait prévenir le
FS qu’on allait pouvoir transfuser que en haut et puis quand même rappeler à tout le monde les procédures dégradées parce qu’on se rend compte que on a la chance finalement que ça fonctionne bien et qu’on les utilise quasiment jamais et le quasiment jamais bah des fois c’est
Pas assez on a aussi organisé le rendu des résultats parce que quand enfin on voyait tous à quoi ça ressemble un résultat édité directement d’un automate et ben c’est pas très très lisible pour un médecin donc on essaie de faire pour notre mieux et puis ben on est retourné
Au papier au crayon par contre on s’est retrouvé confronté à plusieurs difficultés c’est que pour gagner en efficience c’est vrai que la plupart de nos imprimentes même des automates étaient relié au réseau donc on voulait bien éditer les résultats pour les rendre mais on ne les avait pas parce
Que au démarrage tout était sur le réseau donc je vous ai dit les compte-rendus c’était pas très compréhensible alors ça c’était notre problématique à nous peut-être que chez vous fait différemment mais typiquement sur les automates on avait pas du tout paramétré les valeurs normales pour sur les compte-rendus ce qui n’est plus le
Cas aujourd’hui mais voilà à l’époque c’était comme ça et puis ben vu qu’on avait pas de fax alors que dans le dégradé du genre votre dossier patient est en panne- ce qu’on fait ben on faxe les résultats mais là on avait pas de fax on avait juste un ptomatique nous
Avec qui hier à l’époque que la RA et les urgence donc on avait t ces problématiques de rendu de résultat donc nous sommes à J0 on a toute une matinée où effectivement on a commencé à mettre en place des d’action pour en priorité assurer la continuité de la prise en
Charge des patients et on organise notre première cellule de crise décisionnelle bonne pratique on a deux types de cellules de crise dans ement dans le cas de cyberattaque une cellule de crise opérationnelle qui est plus dans l’opération dans la mise en œuvre les décisions qui sont prises par la
Cellule de crise donc décisionnelle donc cette C de crise décisionnelle je réunis ce premier jour à J0 à 12h30 et je fais un état des lieux bah de la situation je confirme que nous faisons face à un accident de sécurité de type cyberataque totale qui impacte le cœur de notre
Système d’information on a la certitude que no système de sauvegarde n’a pas été touché donc il reste intègre il était offline à ce moment-là donc complètement cloisonné et tant mieux parce parce qu’on avait fait ce travail là il y a quelques mois avant cette cyberataque donc on savait qu’à un moment donné on
Allait pouvoir rejouer nos sauvegardes et retrouver nos données donc sans Perre de données pour le coup on avait aucune trace dans les premières instants en tous les cas dans les premières analyes de l’enquête forensic aucune trace d’extraction de données donc ouf deuxème chance potentiellement les cyberattaquants ne feront pas chanter
Puisqu’ils n’uront pas de donné publi sur des réseaux dark web ou autres et puis par contre j’ai pas à cet heure-ci de durée de ité à donner à la cellule de crise nous dans les premières choses que je vous disais c’était déjà de d’informer tout le monde que les
Automates était fonctionnel donc on allait pouvoir rendre des résultats mais qu’il fallait qu’on résoudre le problème de l’édition et la deuxème chose c’était comment rendre les résultats don comme on l’a vu enfin j’ai acheté on avait des sites distant donc plus de fa plus de mail et autres donc c’était voilà dans
Les deux problématique c’était comment imprimer les résultats et comment les diffuser au service alors quelques Hees après deème cellule de crise on a un peu plus d’information et et je confirme que on va être accompagné par l’Agence nationale de sécurité des systèmes d’information qui qui avec une équipe
Qui arrive sur site dans quelques dans quelques heures donc qui sont arrivés dans la nuit je l’expliquerai tout à l’heure j’ai toujours pas de durée de panne à donner malgré tout sachant que les sauvegardes étaient intègres on s’est dit bon on va commencer à reconstruire notre actif directorie à rejouer nos
Sauvegardes et puis on se dit B en fait bon peut-être que l’impact est pas si important que ça et que d’ici quelques jours on aa un système d’information totalement opérationnel entetemps est arrivé donc deux personnes pendant la nuit sont arrivés à minuit je me souviens très
Bien ce jourl et on discute on commence à expliquer ce qu’on est en train de faire laonstruction du système d’information la remédiation si on veut être vraiment puriste dans les termes techniques et puis je voir deux personnes arrivé des capuches 20 ans une vingtaine d’années on se demandait
Cétait les cyberataquants ou si c’était des des personnes qui étaient là pour nous pour nous aider et puis moi qui suis dans les systèmes d’information depuis 23 ans on me dit ben monsieur ce que vous faites c’est pas bien on va faire complètement différemment et on va reconstruire à zéro votre système
D’information dans sa globalité vous avez les 2300 postes de travail 450 serveurs 60 applications rend tout à zéro sur un moment je dis mince c’est parce que j’ai dit c’est tout à l’heure j’ai dit qu’on éta en train de reconstruire comment on va faire et et
Bon je mets 2 3 minutes pour digérer tout ça voir une demi-heure moi jeis quelques bières avec les avec les collègues donc on commen à boire un peu mais presque du coca et de l’eau et et puis bon dit ben allez on y va j’appelle
Ma DG qui dormait pas autant qui a pas dormi pendant quelques jours comme moi et je suis dit bah voilà on reconstruit à zéro et c’est pas quelques jours c’est quelques semaines voire quelques mois pour reconstruire ensemble emble du système d’information donc on n pas parti sur un scrip mais sur un marathon
Il vair tenir pendant quelques mois en mode dégradé sur certains services trouver un moyen de sécuriser la prise en charge des patients à travers dégradé et autrre et il faut tout reprendre et puis on organise c une conférence de presse le lendemain matin à 10h où on
Explique ben avec une une volonté de transparence he ce qui nous arrive ce qui se passe et on médiatise l’incident qui a fait la une des journaux de la presse y compris de l’ensemble des médias audiovisuels et dans la même journée on organise une troè cellule de
Crise o on explique que on va démarrer une phase de remédiation à zéro de notre système d’information et que ça va prendre très longtemps et qu’on va reprendre nos modes dégradés l’ensemble des éléments de notre Plan de Continuité d’Activité pour Ben déterminer les priorités de remédiation par est-ce qu’
On va recommencer par les services critiques ensuite on va reconstruire les services de médecine ensuite les services de SSR et PU puis les épades et la sit de formation en dernier donc c’est là qu’on a compris que nous on avait plus trop d’espoir alors on a la chance quand même je ve
Dire suite ENF ça fait un peu lien avec la présentation ce matin c’est que en tant que laboratoire on est vraiment indispensable au bon fonctionnement des établissements donc on était dans les priorités quand même de redémarrage donc moi c’était juste pour faire un petit état des c’est ça c’est
Une fois qu’on a su que ça allait durer ben c’est vrai que à cette époque là en tout cas on éétait pas du tout préparer à des coupures informatiques de longue durée donc h J2 donc ça c’est le mercredi la pine est enfin la cyberattaque est arrivé le lundi donc on
Avait encore du coup l’interdiction de démarrer les PC tant que l’ système informatique enfin tant que les informaticiens nétaient pas passés pour les contrôler savoir ce qu’on pouvit garder ou pas et puis on s’est trouvé enfin confroné à plein de choses auquelles on avait pas pensé dans nos procédures dégradier c’est notamment le
Nombre d’étiquettes pour le dégradé parce que c’est vrai qu’on a des kits mais on n pas parti pour enfin imprimer des étiquettes pour 15 jours 3 semaines semaine ou autre donc là ben il a fallu faire réimprimer des étiquettes mais vu qu’on a pas notre s on peut pas le faire
Nous-même donc c’est un autre établissement qui nous les a imprimer parce qu’on a quand même plusieurs avir le même cil donc c’est dans les petites choses voilà après il a fallu réorganiser des filières qu’on a d’habitude mais se dire benir quand même reprioriser à nouveau les urgences et
L’arrière parce que pendant de jours céit un peu la panique les tubes arrivait on faisait pas trop la différence et puis après c’est des petites choses où c’est pareil qui sont de notre vie tous les jours qui sont suivis informatiquement donc c’est le suivi des températures parce que de vous
Dire que le premier jour le suivi des températures vous savez la petit dégradé là le tableau que vous suivez à la main en fait ça vous l’oubliez carrément enfin suivi des températures oui on l’oublie mais voilà agj2 on se dit il faut s’y mettre gestion des stocks c’est
Pareil parce que même si on va moins travailler il va falloir quand même travailler savoir où on en est donc les petits tableauxer ressortir les cahiers toutes ces chosesl et puis voir avec nos fournisseurs parce que aujourd’hui leur passer une commande son numéro d’engagement de l’hôpital ou autre
C’était pas simple non plus et puis les maintenances parce que nos automates c’est pareil un jour si on fait pas la maintenance c’est pas bien grave mais après il faut suivre les maintenances les retrouver puis elles étaient pas forcément suivies sur notre middleware donc là c’est les retrouver donc on est
Content d’avoir encore un peu de papier et puis les sauvegardes aussi parce que quand même on travaille un peu il faut quand même retrouver nos données après il y a toute la partie là on était content d’être passé 2 mois avant la bactérios sans papier parce que c’était
Ça changement de cil ah bactério sans papier ah et pas de mois après bactério papier donc là c’est pareil on a fait un peu nos archives on est content de retrouver nos fiches scanback de mettre un peu de blanc dessus et de les réutiliser après bah c’était ENF voilà
Des petites choses le suivi des contrôles de qualité qui sont essentiellement gérés chez nous sur le middleware et on reible pas forcément sur nos automates systématiquement voilà c’est petites choses ah on a plus les bonnes cibles on les suit comment ainsi de suite donc c’est tout des choses
Qu’on a enfin voilà quand on a su que ça allait duré qu’on a mis en place alors plus ou moins bien ENF en tout cas s’est débrouillé puis après les jours suivants alors ça je sais pas si cofr dans la salle mais je sa je remarque gestion des nonconformités quand même
Hein donc c’est pareil je vous avoue que pendant de jours les nonconformités on les a oublié et puis après bah c’est se dire si ça dure il faut qu’on se remette à faire des analyses bien plus que juste notre liste des urgents et puis aussi reprendre la soutraitance parce qu’il y
A des examens qu’il fallait qu’on envoie mais tous les bons de sous-traitance en toutes les choses qui sortent directement notre informatique on les avait pas alors heureusement à la maison on a tous des PC donc tant qu’on avait pas les PC de l’hôpital on a pris nos PC
Perso connecter nos imprimantes de la maison et on a commencé à se faire des bondes un petit peu tout voilà c’était donc la remédiation pour nous elle a duré donc c’est la phase de reconstruction elle a duré environ 7 semaines du J0 jour de cette phase de chiffrement de
Cyber jusqu’à la mise en service de PC serveur en réanimation et en neonat AG J10 on a réouvert les urgences au au pompiers et au SAMU avec un système d’formation qui était opérationnel dans le même temps on avait rétabli les plateaux médicotechniques don fait partie du laboratoire
L’imagerie la pharmacie l’ C et au bout de cette semaine on a retrouvé uneactivité normale ce qui est assez rapide pour une rééation de cette ampleur on é une cinquantaine de personnes à travailler sur le sujet et et au tout de cette semaine on notre système d’information était quasi revenu
À à l’identique alors pas tout à fait parce qu’il était il est beaucoup plus sécurisé on va par rentrer en détail d’autres le feront peut-être mais en tous les cas on a roué une information opérationnelle et c’est vrai qu’ c’est un retour progressif alors nous on l’a senti comme très progressif parce que
Forcément quand on est dedans ça semble très long mais comme le dit Nasser finalement nous au bout de 8 jours donc une semaine après la p on avait récupéré notre middleware et c’est vrai qu’une fois qu’on avait le middleware c’était enfin on pouvait gérer toutes nos maintenances au contrôle nos
Compte-rendus étaient lisibles avec des valeurs de référence pour ça qu’ils avaient vraiment priorisé sur ce point-là et ça c’est vrai que ENF à postériori quand on ressort du truc ouais finalement 8 jours c’est pas si long que ça mais voilà et puis après B au bout d’un mois tout était récupéré
Sachant que là on parle pas de ce qu’on a fait mais nous on a fait le choix de ne pas enfin vu que le cile on a récupéré au bout de 13 jours de ne pas récupérer les données sur le mode la procédure dégradée on réassocie les
Isier tout ça juste pour vous dire ce qu’on a fait parce que ça peut servir on sait jamais on a enfin classé tous les résultats des patients par ordre alphabétique chaque patient on a fait un tas et on a scanné en fait l’ensemble de ces résultats en un enfin en un dossier
Qu’on a appelé pan ce qui fait que si on recherche l’analy pan on récupère l’ensemble des dossiers qu’on a traité sur cette période et on a perdu aucune donnée c’est pas très visible hein parce que c’est tous les résultats brut des automates mais ça nous permet de se dire
Tout est archivé tout est tracé on a rien perdu alors les principaux enseignements si on regarde ce ce qui a bien fonctionné alors ce qui a bien fonctionné globalement c’est que au travers de certains programmes qui a été lancé préalablement par par la la DGOS pardon euh on était déjà prêt
Quelque part à à assurer et à gérer une crise au travers de documents de procédurees dégradé de plein de continuité d’activité euh ce qui a fait que on était presque prêt qui vient presque à gérer une crise de de ce type donc par la mise en place de cellules de
Crise qui ont géré la crise de bout en bout euh qui s de crise décisionnelle qui donnit euh qui prenaient les décisions les actions qui qui étaient ensuite assuré par une s de crise opérationnelle donc la la procédure les procédures dégradées malgré tout se sont révélé inadapté inadapté euh à c’est une
Durée de crise aussi longue en fait on a des processures dégradé qui fonctionnent bien sur 12 24 heures moins sur des durées très longues il a fallu y retravailler ensuite on a une très grosse réactivité de l’ensemble des équipes ha prestataires médicaux ingénieur biomédicaux on a la chance aussi d’avoir un mode hybride
D’hébergement qui fait que on n pas tous les ufs dans le même panier donc on avait le Do patient informatisés qui était hébergé C hébergeur donc qui n’a pas été touché par la cyberataque on a la gestion des ressources humaines qui étaient hébergé aussi c’est un autre
Évergeur donc il n’a pas été touché et croyez-moi que on était au 15 février des prière question que nous ont posé les agences mais est-ce qu’on va être payé c’est une vraie question et on a eu la chance de pouvoir les payer d’avoir un S d’ination RH qui n’a pas été touché
Puisqu’il était héberger che un hébergur qui est le MIPI on avait une stratégie de reprise d’activité qui était connu donc et qui était maîtrisé donc ça ça a été une bonne chose et on a un gros soutien une grosse collaboration de l’ensemble des acteurs Hati mais aussi l’ensemble des professionnels de santé de
L’établissement et on a réussi à assurer une communication interne externe assez transparente sur l’incident qui a étit plutôt bénéfique y compris en terme d’image pour l’établissement parce qu’on pourrait aussi en terme de rupture d’image ou perdre d’image ça va être ça va beaucoup plus impactant pour nous
Alors nous au niveau du labo ce qui a manqué ou pas vraiment fonctionn ben c’était forcément au démarrage les difficultés pour téléphoner et communiquer le premier jour alors que enfin dans ce genre de problème la communication c’est fondamental et c’est vrai que là avec les services bah petit
À petit on s’est mis en contact on est dans les services récupérer les numéros de portable des médecins parce que M de rien il av toujours nos patients derrière toujours des résultats critiques des choses il fallait qu’on les prenne en charge comme il faut après
Ben c’est le côté ce qui est très bien c’est cette tendance au sans papier parce que c’est important de limiter les édition tout ça mais on se rend compte que si on n pas préparé les choses bah le sang papier quand on a plus d’informatique en fait c’est terrible
Après n on s’est rendu compte qu’au niveau du labo le temps nécessaire pour la mise en place d’une organisation efficiente on n’avait pas été au top enfin en tout cas cétait notre analyse et qu’on pouvait vraiment s’améliorer et puis bah ce que disait Nasser c’est que les procédures dégradées qu’on avait
Elles étaient pas du tout conçues pour une panne de cette ampleur on a plein de cas voilà de petites choses où ça s’arrête pendant 3h pendant 4h enfin à limite pendant 12h mais on on avait nulle part prévu de semaines voilà après ben les principaux enseignements c’est
Ça n’arrive pas qu’aau autres voilà on a toujours l’impression mais non non ça n’arrive pas qu’aau autres donc c’était super important la communication avec ben voilà la la direction les différents services qu’on sache tous qu’on a le même niveau d’information et puis que on nattend pas des autres des choses qu’ils sont pas
Capables de faire et c’était vraiment çaf le labo tout le monde était au courant de ils peuvent faire ça donc on nous harcelez pas de choses qu’on ne pouvait pas faire ce que je disais c’était garder des versions papier de certains documents essentiels ça c’est vraiment important ne pas tout connecté
Au réseau ou être capable de fonctionner h réseau parce que c’est vrai qu’on en a besoin après aussi des petites choses don dont j’ai pas parlé mais c’était de tester les procédures dégradées au changement de version des logiciels parce que c’est vrai que des fois il y a
Des petites choses qui changent et on s’en rend compte quand on l’utilise donc c’est dommage après par contre forcément une fois qu’on a vécu ça et ben derrière on se prépare à être prêt et du coup être prêt ça veut dire repartir quasiment un petit peu à l’ancienne mais
D’avoir une checklist de mise en place nous c’est ce qu’on a fait c’est on a plus rien et on s’est fait une petite liste de dans quel ordre on va mettre en place les choses on va mobiliser les gens donc elle est imprimée on a fait un
Carton un petit carton je sais plus quel fournisseur mais voilà et dedans on a mis tout ce don en avait besoin on a notre kit vraiment de dégradé avec tous les documents alors là on est allé un peu fort les étiquettes on en a mis un
Paquet on s’est dit si ça arrive le prochain coup on est préparé on a fait toutes nos photocopies de tous les documents qu’on a justement créé là J2 en disant bah il va falloir qu’on rentre des résultats de bactérios qu’on rend des résultats de biomol des choses qui ne sont pas forcément sur
Les les automates c’est pas des résultats qui s’est dit un bon pour la sous-traitance enfin voilà toutes ces choses et qu’on a prévu et qui maintenant sont là qu’on espère ne pas avoir à utiliser et puis après ben c’est j’ai écrit l’entraînement alors l’entraînement je dois avouer que sur
L’année qui vient de s’écouler on a eu quelques petites coupures réseau total voilà ça arrive donc on a pu tester notre kit de dégradé non mais exprès en fait ouais c’est ça c’est on é et maintenant on fait un petit peu voilà des retours d’expérience à chaque fois
Qu’on a une coupure réseau dans la semaine qui suit on se réunit tous on se dit alors qu’est-ce qui a fonctionné qu’est-ce qui n’a pas fonctionné et on modifie notre checklist et notre kit de dégradé voilà juste pour pour conclure sur de façon très globale et je vais aller très
Vite mais on a aujourd’hui un C nombre de référentiels et d’obligations et de décret qui nous imposent de mettre en place dans les des établissements hospitaliers des systèmes de management de la sécurité du système d’information donc ça repose sur des référentiels et des des critères HS il y en a deux je
Vais pas vous les citer hein mais euh qui nous oblig à mettre en place entre autes des une continuité d’activités une forme ISO 22301 aussi qui a un cadre de référence qui nous demande de conduire et de piloter un système de management de lauité d’activités et euh des
Programmes et le programme qui qui arrive bientôt ça s’appelle le programme care qui s’appelle cybersécurité accélération et résilience des établissements qui va être lancé à la fin du mois les décrets sont publiés à la fin du mois par l’ ns l’agence du numérique en santé et on retrouve dans
Ce slide là mais très vite la doctrine qui reprend un certain nombre d’éléments de ce programme care qui qui est notre système de management de la sécurité aujourd’hui avec CIN axes un axe gouvernance qui est le quasiment presque plus important avec la résilience on verra tout à l’heure mais le pilotage de
Des de la cybersécurité n’est pas un pilotage d’informaticien mais un pilotage de la direction générale donc la gouvernance de la cyber de la ligne liitation du risque cyber est porté par la direction générale ensuite un sujet autour de la cartographie qui est important parce que pour pouvoir se sécuriser il faut
Cartographier il faut maîtriser son système d’information donc analyse de risque et cetera la partie protection est une partie on va dire plutôt informatique ou informaticien avec ce qu’on peut mettre sur les antipam sur les accès distance la sécurisation la partie défense est aussi une action qui est porté par l’équipe de sécurité de
Nos établissements qui qui détecte qui journalise qui répondre C incident qui fait les traitements d’alertes les mises à jour de l’ensemble des systèmes quand il un besoin le 4ème point et le point le plus important c’est la résilience c’est malgré tout cela ça n’arrive pas qu’aux autres et ça peut vous arriver et
Ça peut arriver à n’importe quel établissement donc il faut être prêt il faut être prêt à gérer cette crise mettre en place des procédures de gestion de crise des procédures de continuité d’activité savoir gérer la communication et puis il faut sensibiliser toujours faire des exercices de crise former les
Utilisateurs former les équipes à la gestion de crise cyber et à au risque C voilà merci à tous on est à la Bour donc on va vite laisser notre place à merci beaucoup on va passer au prochain intervenant puis on prendra des questions mais mais après pr très bel
Exemple de ce qui peut se passer en en réalité dans les en cas de cybersécurité d’attaque de cybersécurité on va voir un peu le le le champ économique le champ technique de C types d’attaque donc effectivement tout à l’heure c’était un un black screen souvent il y a un écran
Comme ça qui se présente et surtout il vous demande d’insérer votre car bancaire enfin en Bitcoin et il vous donne toutes les instruction pour payer la rançon dès lors que vous aurez pressé la clé ça on va passer c’était pour vous expliquer qui j’étais mais on va directement passer à la cybersécurité
Enieu en milieu hospitalier et laboratoire privé avec un panorama des menaces et des vulnérabilité l’hygiène numérique et prévention des risques une approche zé trust qui est la remédiation à tous les risques qu’on peut et vulnérabilité qu’on a pu voir la réponse aux incidents et continuité d’activité
Ça a été abordé avec les plans de reprise d’activité le Plan de Continuité d’Activité le renforcement des architectures de deux modules en français se dit je crois LIMS et IAM qui est l’actif director la gestion des identités et des accès et voir comment on peut aller vers un écosystème de
Santé plus s donc tout d’abord en terme de on est tous au fait que les données un statut particulier dans dans l’imaginaire collectif et donc leur protection rev une importance capitale au-delà même des aspects réglementaires ça pose des risques cliniques on l’a très bien vu là avec
L’exemple c’estàd que dès lors qu’on a plus accès à la typologie des poches de sang et cetera ça pose tout de suite des problèmes de sécurité aux patients de sécurité clinique des risque opérationnel parce que on a une rupture de la continuité des services de santé
Et là on a vu c’était sur un territoire de santé complet il y a des coûts financiers et réputationnels alors dans le domaine de la santé quand on a tellement besoin de lit on passe les pones souvent dans le monde industriel ça peut conduire à mettre la clé sous la
Porte et d’ailleurs 40 % des PME victimes d’une cyberattaque font faillite dans l’année qui vient donc c’est pas complètement anodin et forcément aussi ça é évoqué des besoins de conformité réglementaire on va faire un petit focus sur les ransomware qui sont une catégorie parmi d’autres de type de cyberattaque qui
Avec donc le blocage deaccès aux données vitales des pressions pour payer la rention alors vous avez surtous les écrans on vous répète comment payer la la rançon une exposition au risque de répétition c’estàd que s’ils sont passés une fois il y a pas de déontologie il peuvent repasser une seconde fois
Surtout si on a payé la première et après il y a le problème qui a été abordé aussi de fuite de données et monétisation des nonné de santé alors là il y a plein d’acteurs qui sont intéressés plutôt dans l’industrie assurancire ou autre parce que c’est quand même une mine pour déterminer si
Quelqu’un peut avoir droit à un crédit ou autre et là on va introduire quelques éléments économique qui vous explique pourquoi il faut ça peut arriver à tout le monde parce que c’est super rentable donc en 20 en 2020 on était à 5000 milliards c’est au niveau mondial de revenus de la
Cybercriminalité en 2023 on a rajouté 3000 milliards de dollars 3 trilliards de de dollars et donc ça rapporte beaucoup et en plus ça coûte pas cher puisque maintenant il y a une approche ransomware as service donc il y a des gens qui sont qui codent des ransomware
Des virus des des malware qu’on peut acheter sur le alors sans faire de de sensationnalisme sur le Dark web ou un peu moins dark web d’ailleurs pour une micro poignée de Bitcoin on peut acheter son runomware et le distribuer il y a même des modèles économiqu qui sont de
Identiques à ceux de de Microsoft qui vous lou des L logiciel il y a des plateformes qui louent des ransomeware qui vous assurent le support qui vous explique comment l’utiliser et et qui vous donne avec des modèle économique de location du romware donc vous pouvez le
Louer pour un mois 2 mois et de système de royalty c’estàdire que si vous faites une attaque réussi ben 40 % pour celui qui a codé le rware et le reste pour vous donc en fait quand on regarde des coûts qui vont de quelques on ça commence à 40 dollars environ et ça
Jusqu’à des dizaines de milliers de dollars pour des GS moyen de 6 million de dollars c’est quand même un business super attractif et c’est pour ça que alors en terme de sociologie ça peut être un relais de croissance de toutes les mafias ou gang qui qui faisaient de
L’extortion de fond de façon un peu amateur en tout cas il passaent pas à l’échelle maintenant avec les technologies digitales ces mêmes organisations peuvent passer à l’échelle et c’est devient une véritable industrie de l’extorction de fonds au travers de ces logiciels donc la question c’est pas est-ce qu’on va y avoir droit c’est
Quand parce que le le le jeu en vaut tellement la chandelle que des gens passent leur temps à réfléchir à trouver des cibles et et donc forcément ça arrivera tôt tout tard et donc il faut s’y préparer et il faut pas effectivement comme ça a été démontré s’y préparer
Quand on est quand on était attaqué là j’aiinttroduitis de de briques qui ont été éoké donc je va pas évoquer le S parce que vous connaissez ça par cœur l’IAM c’est identity Access Management la gestion des identités et des accès remplit quatre fonctions autour des 4 a l’authentification c’est-à-dire que le
Système Active Directory de Microsoft vous rentrez votre login et votre mot de passe et donc on est sûr que vous êtes monsieur Dupont une fois qu’on sait que vous êtes monsieur Dupont on va gérer les autorisations monsieur Dupont il a le droit de faire quoi sur le système de informatique
Ça permet l’administration des droits et ça permet l’audit également donc la plus répandue c’est Microsoft Active Directory et donc c’est aussi une des plus attaquées concernant le S les systèmes sont des systèmes propriétaires mais qui sont intégrés au système actif Directory comme ça a été montré puisque l’annuire
D’entreprise gère les accès à tous les composant haï de l’hôpital ou du labo et le parmi les gros gros assets les gros actifs du liins la base de données centrale qui contient toutes les enfantation qu’on pourrait comment dire externaliser et demander des rençons supplémentaires donc le panorama desm
Pourquoi Microsoft parce que vous avez tous la plupart des postes Windows à l’hôpital équipé d’antivirus vous avez Active Directory en fait nous on a des agents de sécurité sur sou surt C système qui nous remonte des informations et ça nous permet en temps réel on traite 65 trillions d’événements
De sécurité par jour et ça permet d’introduire C ce volume une donnée importante c’est que ça peut pas être géré humainement uniquement donc on fait appel à de liia massivement mais dans dans le décours de la crise tout à l’heure on a vu qu’il y avait des runions crise des processus manuel et
Cetera vous n’avez pas le temps lorsqu’il y a une cyberataque de prendre des décisions humaines parce que dans ce cas-là vous êtes chiffré à 100 % et euh c’est vous êtes obligé de repartir de de zéro donc Microsoft effectivement un acteur particulier de la cybersécurité du fait de son empreinte numérique chez
Chez les clients et cette cybersécurité va jusqu’à le traitement de crise de cybersécurité étatique avec par exemple des attaques russes sur l’ucraine et cetera en terme de menace on peut voir ici que 70 10 % des des organisations qui sont attaqué au moins de 500 employés que il y a une augmentation
Simificative des attaques donc 200 % dans l’année écoulée et le type d’attaque par exemple on a une un gros pic sur l’attaque sur qu’on appelle brut force c’estàdire qu’on va directement attaquer les mot de passes et là on voit une répartition un peu de de ce type
D’attaque où on voit en a les brutes forces attaque c’estàdire qu’on le le logiciel malveillant va essayer des millions de mot de passe jusqu’à trouver le bon il faut savoir que la plupart des mots de passes qu’on rencontre dans les environnements hospitaliers ne restistent pas 5 minutes à ce type
D’attaque du fait de leur simplicité il y a les rware pur qui vont utiliser des failles pour s’installer dans le système et ça a été évoqué que une cyberataque en fait se prépare au décours sur 3 4 6 mois et on va essayer de compromettre progressivement le système d’information en faisant une
Élévation de privilège c’estàdire que j’arrive sur un poste souvent pas très sécurisé on va le voir de là j’essaie de d’établir un camp de base un peu plus haut dans le système d’information jusqu’à en prendre le contrôle total donc ce sont des attaques progressives qui amènent la possibilité au au moment
De marquer l’essai entre guillemets au R somware de chiffrer l’intégralité des données du système d’information il y a des attaques par compromission de d’adresse email alors ce qu’on voit c’est que ça baisse beaucoup donc les gens commencent à être éduqués sur le fishing et cetera en tout cas les démarches de Social Engineering
Avec des faux d’orthographe et des logos un peu pourris ça ça ne passe moins bien maintenant mais ça passe toujours c’est toujours un effet de masse pour vous comment dire vous rassurer un peu le lsare c’est pas le le top des industries qui sont attaquées les premières ce sont le le
Manufacturing parce que il y a aussi une grosse grosse obsolescence des systèmes informatiques dans les usines et il y a aussi le fait que bloquer la production d’une usine pe peut permettre d’exiger une grosse rançon puisque ça impacte directement le le PNL de de la société et le monde de l’éducation également
Parce que là on a beaucoup de PC en libre service avec des cl USB ça ça circule beaucoup là il y a moins d’intérêt financier direct mais la cible est tellement facile que ça participe aussi de l’explication pourquoi cette industrie est prégnante sur le type de d’attaque paromeware et là une
Statistique intéressante 90 % des attaques ont lieu sur ce qu’on appelle des apailles non géré c’est-à-dire qu’ils sont non déclarés dans l’actif Directory donc dans laanère d’entreprise leur cycle de vie n’est pas géré c’estàd qu’ils ne sont pas mis à jour régulièrement et typiquement je connais
Moins le monde des labos privés pour et des automates mais ça doit être un peu le cas mais dans les hôpitaux tout ce qui est dispositifs médicaux euh qu’on a en tête de lit et cetera sont souvent des ce qu’on appelle des os embarqués des des systèmes d’exploitation
Embarqués qui sont figés et on il y a une attaque d’un hôpital suédois il y a 2 ans où en fait ils sont rentrés par un dispositif médical qui exécutait Windows XP mais ça faisait 20 ans que le truc n’avait pas été mis à jour patché parce
Que personne ne passe ne pense à ce parc et en fait la cyberataque passe toujours et comme le vol de voiture le vol en pavillon passe toujours par le maillon le le plus faible de la chaîne et le maillon le plus faible de la chaîne c’est cet immense parc de dispositifs
Médicaux pas patchés pas surveillé et donc et souvent entre guillemets en libre service puisquils sont dans les chambres des patients donc il suffit de passer et de de se connecter dessus c’est c’est vraiment une statistique un peu effrayante voilà pour pour les hôpitaux au moins pour ce qui concerne les
Vulnérabilités on va faire vite euh il y a un défaut de mise à jour des serveurs d’infrastructure ça c’est parfois nous on publie des failles qu’on appelle zé d donc il faut vraiment les patcher tout de suite 70 % des attaques ont lieu sur des failles qui ont été annoncé il y a
Plus de 3 ans donc on verra dans dans le dans le limse pourquoi ça pose problème c’estd que même au niveau des DS hospitalières il y a pas forcément une politique de mise à jour systématique t tous les nous tous les mardis on on on
Met une List de on émet une une liste de patch de sécurité à appliquer sur les systèmes souvent elles sont pas faites il y a une politique de mot de passe faible et l’absence de multifacteur authentication authentification double facteur il y a pas de station bastion et de gestion des privilèges c’estàdire que
La bonne pratique consisterait quand on doit gérer l’actif directorie qui est quand même la Grosse Boîte à clé de l’hôpital à ce qu’on se connecte avec un compte spécifique et pas son compte Jean Dupont de tous les jours c’est très rarement fait donc Jean Dupont administratif et par ailleurs joue à
Counter Strike sur son son PC pendant ses heures libres et le compte Jean Dupont est un magnifique vecteur de d’infection de la boîte à clé principale de l’hôpital qui est l’active dector on l’a évoqué aussi pas de teering c’est-à-dire que on n’ pas de segmentation ni du réseau ni du
Tutilisateur ni des serveurs ce qui fait qu’on on l’ voquait tout à l’heure sur un poste de un un PC de poste de soin qui est un peu en libre service puisqu’il est au bout du couir de de service des fois infmère n’est pas là la session est ouverte si je compromets ce
Poste de soin comme j’ai pas segmenté je compromets le laboratoire d’analyse médicale de l’hôpital je compromets le Pax le système d’imagerie de la radiologie je compromets le dossier patient je compromets tout puisqu’on a une fois que je suis rentré c’est l’ancien monde la défense périmétrique une fois que j’ai franchi le rempart
C’est open bar donc ça c’est vraiment un gros gros problème d’architecture dans la conception du système d’information hospitalier vulnérabilité du liim si on peut remplacer ça par ERP par dossier patient dossier pharmacie par n’importe quel gros gros bloc d’applicatifs de de l’hôpital on a des retards dans la mise
À jour des composants du Lim c’està-dire que nous quand on émet une notice d’information sur une faille il faut que le fabricant abotte roche ou autre l’intègre aussi dans ces systèmes et ça ça crée un retard c’estàd que la faille a été annoncée mais elle a pas été
Patchée et c’est pas à la DSI de l’hôpital de patché sont les systèmes propriétaires donc en fait c’est à l’éditeur de de fournir lui-même son patch révisé et cetera et ça souvent ça prend des semaines et ça laisse des portes béantes pour attaquer les systèmes alors je parle même pas des
Éditeurs qui ne livrent pas de patch de sécurité on a là je je je l’évoquais la la problème de gestion de la sécurité des systèmes d’exploitation embarqué dispositifs médicaux robot d’analyse on a les interfaces externes qui sont mal sécurisées c’estàdire que vous sur le le lab les laboratoir Information System
Vous pouvez avoir des interfaces sur d’autres appareils ou d’autres labos pour échanger des données et souvent ces données même si vous êtes bien protégé en interne il y a des dans le monde industriel il y a des industriels qui ont été piraté parce que leurs fournisseurs ou leurs clients avaient
Été piratés et donc ils sont passés par les interfaces pour rentrer dans le système on a des systèmes obsolèes alors là c’est le le le mal absolu dans dans l’industrie dans dans la santé on a beaucoup beaucoup de systèmes qui sont qui sont plus supportés par les
Éditeurs et on n pas de d’accès rô B access contrôle c’estd que pour ceux qui font un peu de de sécurité s’il y a des des dans dans l’assistance on pose des ce qu’on appelle des contrôles des access controlle list donc on dit tu as
Le droit de faire ça tu as le droit de faire ça tu as le droit de faire ça et c’est très très rébarbabatif parce que c’est c’est long c’est c’est le jeu de de droit résultant est un peu obscur et donc le rle base Access Control ce sont des éditeurs qui disent un
Opérateur d’un automate voilà son rôle voilà ses spécifications d’activité et donc voilà le set de le groupe de droit auquel il a il il est nécessaire qu’il ait accès pour faire son boulot et donc en fait c’est des gens qui ont réfléchi à des fiches de poste et qui ont décliné
Ces fiches de poste sur des profils de sécurité mais du coup vous le traitez d’un seul coup au lieu de le faire à partaton et de d’essayer de deviner s’il a le droit d’imprimer pas le droit d’imprimer et après il y a la fameuse règle du moindre
Privilège souvent les gens par défaut de définition de leur fiche de poste ont beaucoup trop de privilèges de de privilèges dont ils ne se servent pas au quotidien mais si jamais leur compte est compromis les hackeurs vont s’en servir de ces privilège beaucoup trop élevé pour attaquer le système en
Terme de vulnérabilité opérationnelle ou transversale on les blqué pas de zonage réseau pas de sécurité réseau c’estàd que avec cette sécurité réseau si je me branche sur une prise réseau et que je ne montre pas pas de blche mais j’ai pas accès au réseau et donc c’est un truc
C’est un peuble babas de la sécurité àone mais c’est très rarement déployé on parlait d’une absence d’une politique de sauvegarde restauration robuste ça veut dire quoi qu’on a défini deux indicateurs qui sont le RTO et vous l’indiquiez c’est le recovery time objectif c’est-à-dire en combien de temps je suis capable de restaurer mon
Service et le RPO qui est le recovery point objectif c’est dire objectivement quel volume de datage je me permet de perdre en cas d’incidence c’est si j’ai une sauvegarde qui date de 12h Mo je perdre 12h d’activité est-ce que je l’ai décidé ou est-ce que il se trouve que je
Perds 12h parce que ben voilà c’est comme ça donc la politique elle elle a des des niveaux de servicees qui sont définis robustes c’est-à-dire qu’elle est testée régulièrement et on fait des restauration sauvegardes et restauration régulière et pas juste des sauvegardes et puis on verra le jour où on a besoin
De de s’en servir il y a des plans de reprise d’activité on va dire perfectible là on a eu un exemple puisque vous aviez un plan de reprise d’activité mais qui était pas entièrement automatisé entre guillemets qui était pas capable de reconstruire en automatique scripté le système
D’information et on va dire une culture de cybersécurité un peu lacunaire une expertise un peu lacunaire qui explique que euh on les les systèmes d’information puissent être des des belles cibles encore une fois l’équation économique quelques dizaines de milliers de dollars versus quelques millions de revenus alors pour ce qui concerne
L’hygiène numérique on va faire vite il faut augmenter la sécurité alors là c’est j’enfonce des portes ouvertes politique de mot de passe authentification forte donc plus de totau 1 2 3 comme mot de passe ou pas de mot passe ça ça c’est vu aussi il y a une sensibilisation culturelle c’est
Vraiment à l’échelle de l’organisation qu’il faut éduquer au risque cyber avec des campagnes de test avec des des fauxeles de fishing et cetera et on va mesurer les indicateurs de moi je me suis fait avoir par la sécurité Microsoft parce qu’on a une blue team
RED team et donc il a la la RED team essaie d’attaquer le système en permanence et lors d’une campagne très très bien réalisé ils ont quand même réussi à déclencher 40 % d’ouverture de leur mail en plein Noël c’était un mail DHL forcément tout le monde attendait son colis politique d’achat et cyber
Sécurité by design ça c’est très important c’est souvent négligé c’estd que la première réduction du risque à la source et la réduction on dire pour parler polimonde l’entropie du système d’information c’est la politique d’achat j’arrête d’acheter n’importe quoi et notamment j’arrête d’acheter chez des éditeurs qui ont pas de politique cyber
Sécurité qui n’en font pas une priorité qui n’ont pas de politique de mise à jour de de leur système et cetera pour le plan de reprise ça ça concerne au centre l’informatique forcément on en revient avec la politique de sauvegard rest avec S systématiquement testé la partie serveur c’est la machine
Elle-même met les données qu’elle abrite mise en place d’un soc security operation Center ça c’est une équipe dédiée à la cybersécurité et c’est qui opère 247 sur le système la mise en place d’un CEM alors le CEM c’est un système de sécurité qui enregistre tous les événements qui ont lieu sur le
Système d’information et qui permet de prendre des des décisions vous parliez tout à l’heure extinction des PC il détecte une intrusion il va déclencher l’extinction automatique des PC il y a pas besoin d’appeler le technicien de garde qui passe sur tous les sites et qu’on perde
Un temps fou donc le cm il est vraiment au cœur et l’automatisation des processus de réponse immédiate c’est vraiment au cœur de de la stratégie de réduction de de l’impact c’estàdire que si jamais on était alors on a dit on va être attaqué si jamais l’attaque est est
Réussie il faut absolument mettre en place des des plans de contingentement de cette attaque automatique parce que si on att temp une Astra un appel le téléphone marche plus et cetera c’est à la vitesse où vont les les processus informatiques c’est mort et la supervision de la gestion des
Configurations ça aussi c’est important c’est qu’il faut savoir combien de PC n’ont pas été patchés est-ce qu’ils ont la dernière version d’antivirus alors les PC les serveurs et en gros être capable de dire mon parc informatique est à peu près sa où j’ai des grosses lacunes et à la première attaque je je
Devait être enfin l’atille va être réussie et là on l’évoquait tout à l’heure le plan de continuité ça ça c’est au niveau de l’organisation la cybersécurité c’est vraiment l’affaire de tous le plan de continuité de assurer la continuité des soins dans les services il va au-delà de l’IT et donc
Là c’était un très bel exemple de qu’est-ce qu’un mode dégradé comment l’organiser c’est pour ça qu’il faut impliquer toutes les directions et vous l’avez fait un peu les les approches prémortèes peuvent être réalisées en suce des retours d’expérience comme le vôtre c’estàdire que je me mets dans
Dans la situation où j’ai plus accès à telle et telle branche ou tel outil informatique comment je mets en place des des solutions palliatives voilà alors ça c’est le modèle zer Trust est l’évolution d’une philosophie de sécurité dusi c’estàdire que on ne fait confiance à aucune ressource qui se
Connecte sur le système d’information que ce soit une machine une application ou un utilisateur et on vérifie en permanence ses accréditations pour avoir le vérifier qu’elle a le droit de faire ce qu’elle fait donc il y a une absence de confiance implicite il y a une vérification l’identité en continu
C’estàd je me bloque pas une fois pour toute et j’ai accès au toute la journée il y a le principe de moindre privilège exactement les privilèges qui me sont nécessaires pour accomplir mes tâches il y a une segmentation du réseau des utilisateurs des applications et les communication entre ces segments sont
Strictement contrôlés et donc ça permet au cè qu’on a évoqué de couper toute communication D qui détecte quelque chose de pas normal le si a aussi ce qu’on appelle c’était le modèle Carcasson avant on met de barrières de firewall et une fois qu’on est rentré dans le centreville on peut faire ce
Qu’on veut maintenant c’est plus du tout ça c’est même dans le centre-ville on est contrôlé en permanence et on utilise l’ pour faire et ce qu’on appelle des des analyses comportementales c’estàd que si un compte se met à parler à une machine à laquelle il ne parle pas
Habituellement on lève un drapeau si un compte essae encore plus de se connecter à un système externe ni connu ni d’ ni d’ onlève deux drapeaux et donc l’intelligence artificielle permet en temps réel de contrôler le comportement des agents sur le système d’information et donc de s’assurer qu’il reste dans
L’enveloppe de d’opération nominale donc surveillance et détection continuelle et important réponse rapide et automatisée c’estàdire que dans le cas d’une détection d’une menace c’est le système luimême qui est autorésilient et qui va révoquer les privilèges d’accès pour minimiser l’impact de la taque donc le le zer Trust est vraiment il il
Y a deux piliers pour éviter le romeware c’est l’hygiène qu’on a vu avant les mots de passe les moindre privilège bien réfléchir à qui fait quoi quand et l’approche zé trust et donc dans la politique d’achat d’un hôpital ou d’un grand labo il faut voir si le fournisseur est compatible avec ce type
D’approche s’il ne l’est pas peut-être qu’il faut s’en s’en passer là on évoquait ce qu’il est nécessaire de faire avant donc il y a le plan réponse aux incidents il faut le réfléchir avant puisque maintenant il est il est avéré que quel que soit notre niveau de sécurité on va faire l’objet
D’une attaque possiblement réussi et donc c’est pas au moment où on se retrouve sans téléphone sans PC sans rien qu’ faut dire qu’est-ce qu’il faudrait que je fasse dans dans ce CASL et donc il a tout un type de gouvernance à à mettre en place avec l’identification des responsabilités
Pour tous les services là vous l’aviez en place définition des types d’incidents parce que il y a pas que du romware il y a des incidents réseau vous l’avez évoqué les fites de données et cetera la création d’un processus de détection qui se base sur un outil mais
L’outil seul ne fait rien il faut aussi tous les processus autour et les équipes et l’évaluation de l’impact et de la gravité pour avoir le plan de remédiation qui soit le plus adapté possible à la sévérité de l’attaque pour la récupération postincident vous l’avez fait isoler
L’incident et ça faut que ça seit fait en automatique vu la rapidité de propagation des des malware tication approfondie donc on l’a évoqué tout à l’heure par exemple it forensic ou cyber forensic c’est comprendre comment a été rendu possible cette attaque pour pouvoir patcher et boucher les trous qui ont concurru au
Succès de l’attaque restauration à partir de sauvegarde fiable et là vous l’avez vous avez mentionné le mot magique offline c’estàd qu’au moment de l’attaque il y avait aucun moyen pour un malware et par le réseau d’aller compromettre les sauvegardes et bien entendu tous les protocoles d’urgence
Que vous a mis en place qui sont éventuellement le le plan d’évacuation des personnels et des malades parce que si le système anti-incendie est aussi sur le système informatique plus de sécurité incendie donc on est un peu obligé de de procéder à une évacuation et donc on doit garantir la la
Continuité des opérations essentielles pour les mesures de remédiation on l’a dit analyse de indent pour approfondi pour comprendre les failles de sécurité les corrigés mise à jour systématique des systèmes de de sécurité et tous les système obsolète qui ne dispose pas de mise à jour devrait être remplacé dans la politique d’achat formation
Sensibilisation des employés donc être formé aux meilleures Prati et avoir des plans réflexe que soit un réflexe en cas de cyberataque et pas qu’on soit en train de chercher le téléphone d’AST ah oui mais dans Ça c’est c’est du véhicule est dans l’armoire et qui a la cl de
L’armoire sécurisé on sait pas enfin voilà et l’amélioration continue parce que les attaquants ne s’arrêent jamais c’est une course de l’OBU contre le blindage et si vous avez fait l’effort une fois en vous disant ah bah c’est bon j’ai résisté à une cyberattaque ou je m’en suis sorti sachez que les attaques
Se sophistique et que peut-être la prochaine fois en même si vous avez fait les ce qu’il fallait faire pour la première attaque la seconde attaque sera dévastatrice parce que elle utilisera et cela c’est déjà le cas où les cyberataquants utilisent des intelligences artificielles pour trouver les meilleur planans
D’attaque là c’est c’est une redite donc pas che système alors pour l’IAM pour le LIMS politique d’achat inant des cyber des critères de cybersécurité on doit souscrire aux approchesrust avoir des plans de reprise d’activité scripté c’est-à-dire que on est les les technologies permettent à l’heure actuelle sur un incident majeur
De reconstruire de façon automatique le système d’information et là je présente juste les cinq fondamentaux d’antirsware donc ça c’est une un retour d’expérience de Microsoft sur toutes les attaques de romeware qui ont lieu euh il disent si vous faites ça vous êtes à peu près bon c’est authentification moderne qui
Résiste au fishing donc c’est l’authentification du du alfactur même s’il y a des attaques contre ce type deutente maintenant privilège appliqué à l’ensemble des serveurs des services des systèmes des utilisateurs c’est que même une application qui a des droits de lecture sur une autre base de données ne
Doit avoir que des droits de lecture et pas des droits de lecture écriture par exemple environnement sécurisé par des solutions et là c’est toute la gamme de solutions de malware antivirus endpo detection protection donc c’est des antivirus euh augmenté qui sont capables de traiter des réponses en automatique
La gestion des vulnérabilités vous l’ évoquz là sur le le plan care un cybersc operation Center un CM une application du zerro trust l’imppplication du management et ça c’est très important parce qu’il y a quand même des questions budgéaires d’investissement pour la mise en conformité des systèmes et aussi la
Promotion d’une culture de cybersécurité encore une fois la réponse doit être culturelle pas uniquement confiné à l’IT avec avec des règles des machines et cetera mais de la même manière que au labo de biologie on doit avoir une culture de la donnée propre et on a aussi une culture de la
Cybersécurité et on a on prend garde de pas mettre des clés USB qui ont été trouvé je ne sais où dans dans les PC et cetera et là le grand méchant cloud à la fin il s’est avérit que ça pouvait sauver beaucoup de de systèmes d’information puisque les sauvegarde
Dans le Cloud sont de de facto offline c’estàdire que si vous êtes compromis au sein vos data center les sauvegardes dans le Cloud voire les systèmes qui opèent dans le Cloud sont en dehors de ce périmètre donc pour les professionnels de santé on va faire vite il faut
Sensibiliser au risqu hein ça c’est un peu évident il y a une formation en cybersécurité pour comprendre un peu les gros blocs qui rentrent en jeu dans la cybersécurité ça peut être une formation interne promu par par la DSI et il faut simuler des attaques donc là je reprends
L’exemple blue team reptine nous régulièrement on est attaqué et on fait des exercices alors l’exercice de simulation est pas forcément représentatif à 100 % d’une cyberattaque mais en tout cas permet de de de de corriger certains processus a priori qu’on avait défini à priori qui en dans
Le feu de l’action se révèle pas très pertinent il y a çait leadership engagement de la direction c’est c’est essentiel pour assurer la culture de cybersécurité il y a une comunication et sensib sensibilisation continue c’estd que on a des campagnes de d’attaque par mail par et cetera et nous on a aussi
Dans nos objectifs de performance des objectifs de sécurité dans les évoluations des des des personnels il y a un besoin de veille technologique parce que les tendances se modifient c’estàd que l’attaque de 2021 sera pas celle de 2023 ni de 2024 là se pose la question d’une newsletter en interne qui
Peut faire une veille technologique sur la sécurité encore une fois j’enfance des portes ouvertes mise à jour des systèmes des logiciels et avec une politique d’achat avec des critères cyber et cross collaboration avec des experts en cybersécurité pour pas uniquement intervenir quand la crise a eu lieu mais pour venir sensibiliser
Régulièrement ou faire des audits de sécurité réguliers sur le système d’information donc si on conclut il faut mettre en place des architectures zer trust il faut renforcer l’authentification il faut segmenter les réseaux les services et cetera mettre une politique d’achat qui réduit l’entropie du système d’information et
Qui met la pression sur les fournisseurs création d’une culture de Cyb sécurité avec une veille technologique et une sensibilisation formation régulière et élaborer à tout prix des plans pour réagir aux incidents donc plan de reprise sur incident plan de reprise d’activité Plan de Continuité d’Activité
C’est pas au moment de la crise où tout le monde est sous et tout le monde est extrémement chargé anxieux qu’il faut réfléchir à comment on aurait dû faire et enfin ne payez jamais la rançon puisque c’est pas parce qu’on paye la rançon qu’on on n’ura pas de droit à se
Faire attaquer une seconde fois il y a pas de de de morale entre guillemets dans le monde du du hackur et il faut absolument euh casser le modèle économique c’estàd que si quelqu’un a payé des dizaines de mil milliers de dollars pour avoir accès à des moyens
D’attaque bah qu’il en soit de sa poche voilà pour aller plus loin j’ai mis quelques URL avec une magnifique dessin réalisé paria sur le renforcement de la cybersécurité et voilà c’est à peu près tout merci beaucoup moi j’avais prévu quelques diapositives pour présenter plan d’action de la PHP donc si vous voulez
Je juste accuse pas de faire prostisme c’est pour vous montrer une stratégie c’est pas pour promouvoir la stratégiep à l’extérieur voilà donc merci catelg de N nous inviter à parler de ce sujet très important de la cybersécurité donc moi ma participation dans cette table ronde c’était de vous faire part
De notre expérience à la PHP de notre organisation en préventif parce que nous n’avons pas nous pouvons pas encore dire que nous avons été cyberataqué nous avons de l’expérience en revanche on a nous aussi des problèmes de réseau très chronique je te rence il a pas qu’à
Ville franche donc on est un peu entraîné euh et donc on a on s’est nourri de beaucoup de de retour d’expérience comme comme le vôtre aujourd’hui principalement à mon niveau à l’hôpital Cochin c’était l’expérience de Versailles en décembre un peu plus récente que la vôtre et puis tout récemment l’expérience de Bruxelles
Aussi au mois de mars et le point commun avec la vôtre c’est que c’était à chaque fois c’était la nuit et souvent dans la nuit de samedi à dimanche euh donc à la PHP on nous a demandé il y a maintenant suite à l’attaque de Corbon il me semble
Nous a demandé de de nous organiser pour préparer un plan blanc spécial cyber sur tous les métiers donc tous les métiers y compris les métiers support et les métiersadministration et donc au niveau de des laboratoires nous avons un chapitre particulier un groupe de travail que j’ai j’ai accepté de de
Piloter qui fait participer les six groupe hospital universitaire les 6 DMU de biologie euh et qui tent de préparer au mieux anticiper euh une poursuite de l’activité de soins en cas de dysfonctionnement prolongé et c’est probablement prolongé qui va être le plus difficile à à à anticiper de notre
Côté puisqu’on connaît des arrêts de courte durée mais pas sur la longueur et euh en essayant de produire des des des recommandations qui soient euh applicable par chacun et qui soit surtout déclinable par chacun dans son environnement dans sa spécificité de laboratoire parce qu’un laboratoire de biochimie robotisé ne va pas s’organiser
De la même manière qu’un laboratoire de génétique ou qu’un laboratoire d’immunologie ou que un laboratoire qui fait par exemple de la collecte et du et la distribution de poche de sang donc chacun donc c’est un travail qui que nous avons commencé à faire donc selon une approche coordonnée par un pilote de
La PHP qui est le professeur RA de anesthésie de la réanimation de la pitié et que nous déclinons par parcours de soins donc un parcours un groupe de travail pour la biologie donc nous nous sommes retrouvés environ 20 biologistes plusieurs fois dans l’année pour préparer ces recommandations que nous avons
Décliné que nous invitons chacun enfin nous proposons un guide qui permet de travailler sur une segmentation des étapes chaque chaque laboratoire peut segmenter comme il le pense comment il comment il s’organise lui au niveau de son processus biologie euh et euh et puis avec des recommandations par par processus je
Vais vous montrer tout à l’heure donc l’analyse des besoins elle a été faite et les les les la rédaction de ces mesures à mettre en œuvre avant le sinistre et puis à mettre en œuvre pendant le sinistre sont en cours de rédaction et devraient bientôt bientôt
Être publié euh à la PHP pour nous permettre de nous de nous préparer au mieux euh comment on fait au quotidien alors chacun on invite chacun à se préparer donc à anticiper l’anticipation elle se nourrit et elle se fait aussi par la Nour se nourrir des rtex euh donc
On a eu des rétex de Versailles qui étent très similairire à ce que racontait Laurent Sasser donc je vais pas revenir on retrouve les mêmes points he ce se travailler avec le papier crayon utiliser ses téléphone perso et des boucles WhatsApp s’organiser Pouret tenir dans la durée
Euh on a aussi on s’est aussi nourr des rétex comme l’attaque de de de Bruxelles qui qui reconnaissent aussi de leur part certaines faiblesses reconnues dans la crise notamment le manque d’informaticien et de ressources pour les compétences critiques informatiques pour restaurer ou pour remettre en place le système informatique donc ils ont ils
Ont eu beaucoup de de mal à gagner du temps sur cette étape là de restauration ils sont restés environ une dizaine une quinzaine de jours en mode dégradé et puis des renforts humains et la connaissance de son architecture informatique assez peu connue pour eux ce qu’on propose aussi c’est de se
Préparer en anticipant les besoins en anticipant les différents scénarios possibles puis qu’on voit que chaque attaque est différente un coup ça va être l’actif Directory un coup ça va être à Versailles C c’est aller jusqu’aux automates donc essayz au plus d’anticiper les différents scénaris et donc c’est pour ça qu’on propose une une
Approche par segmentation parce queà chaque étape du processus de prise en charge du prélèvement et bien il peut y avoir plusieurs réponses plusieurs degrés de répones on a essayé de proposer l’application des 3hur 3 jours 3 semaines 3hur on sait faire c’est la coupure réseau classique l’entraînement de fond je
Dirais 3 jours on l’a très peu tous fait je pense 3 semaines quasiment pas sauf ceux qui ont déjà été cyber attaqués et donc on a probablement pas forcément tous les outils en place pour tenir 3 3 semaines mais mais essayons de d’imaginer ce qu’ ce qu’il faudrait
Faire pour tenir 3 semaines prévoir des impressions d’étiquettees prévoir des formulaires préremplis pour rendre des résultats voilà et en complément bien sûr s’entraîner et faire des exercices euh c’est ce qui nous est proposé c’est ce qui a été proposé au niveau de de des
GH de la THP avec des rtex avec des des cryptex et puis aussi des l’accompagnement par des sociétés d’entraînement qui nous ont mis en situation avec des cell la création de d’un scénario euh et puis de des cellules opérationnelles et cellules de crise pour dans des dans des dans des
Jeux de rôles qui duraient une après-midi donc voilà donc ce guide de recommandation on l’a on on on l’a rédigé de manière collégiale par l’ensemble des des représentants des des des laboratoires de la PHP on l’a décliné par processus euh on a rajouté des euh particularités euh communes à
Tous les métiers hein sur le la création d’un classeur cyberattaque avec tout un tas d’informations papier qui nous permettent de ne pas perdre une information nécessaire à continuer à travailler et puis l’identification des besoins humains et matériels on a aussi proposé un petit chapitre spécial sur la biologie délocalisée parce queon en a
Pas parlé mais la biologie délocalisée peut-être aussi un moment une ressource utile pour proposer une offre de biologie dans un contexte très dégradé et puis des mesures pendant pendant la crise donc voilà ce que ce qu’on ce qu’on peut proposer aujourd’hui j’ai décliné ensuite les différents exemples pour sur notamment les processus préanalytiques
Analytiques et postanalytiqu mais qui sont vraiment très similaires à ce que Laurence et NAS nous en proposer donc je vais je vais les passer et éventuellement vous pourrez les les consulter puisque les diapositives seront sur sur on été confié au giib et puis alors pour la question des des des
Des juste pour le point en particulier des des des automates et des des des sauvegardes et des de la restauration de la configuration du péramétrage et bien c’est un point qui effectivement inquiète beaucoup les biologistes parce que là-dessus on se rend compte queon est peut-être pas assez préparé et on
Incite vraiment chacun à préparer son schéma fonctionnel et technique et avoir des sauvegardes qui soient facilement restaurabl lorsque si on on se trouvera dans une situation où on a un automate qui a été infecté et idem pour pour les middleware parce que ça peut être très impactant de ne plus avoir de middleware
Sur des plateformes robotisées notamment euh pendant le sinistre personnellement je je vais aller vite je ne sais pas je n’en ai jamais vécu ce que je peux dire de de des rtex c’est que il faut je crois énormément axer le l’effort sur le pilotage et un pilotage harmonieux avec
La cellule de crise qui va s’installer au niveau de l’hôpital et qui va coordonner les différentes cellules opérationnelles communiquer beaucoup communiquer communiquer essentiellement par voie d’affichage s’adapter bien sûr et puis tenir comme comme le disait Maxime tout à l’heure donc voilà donc je je vous laisse ces diapositif
Pour pour à Tyt d’exemple et puis si si jamais on peut pour en conclusion en terme d’enjeu pour nous les biologistes c’est d’assurer un service médical rendu en terme de rendu de résultats de biologie priorisés adaptés donc rendre des résultats biologiques en adéquation avec les besoins cliniques dans cette dans dans cet environnement
Dégradé mais néanmoins continuant à assurer un service médical continu les risques c’est de ne pas avoir une réponse de la voiratoire optimale adapté et puis d’avoir donc faire face à une perte de chance pour les les patients donc ça c’est le le risque qu’on peuton peut qu’on peut craindre et puis les parades
Je pense que c’est prévoir et préparer être cyber avant comme le disait Jérôme tout à l’heure être entraîné et puis savoir s’adapter dans le temps au bout de 3 jours B c’est pas il faut peut-être revoir sa copie se direà on va passer pour plusieurs semaines et cetera et
Donc avoir une notion de d’échelle de temps qui qui soit un petit peu un petit peu modulable dans le temps voilà je vous remercie merci [Musique] Camille AZ ch on va peut-être passer sur les questions à la salle sa oui rapidement c’est qu’il faut faire des rettex à l’intérieur des systèmes de
Santé mais aussi s’inspirer de ce qui se fait dans d’autres industries notamment les les sites financiers ont des sites de repli automatique c’estàd que dès qu’un site principal tombe vu les sux financiers qu’ y a derrière les systèmes basculent sur des sites de repli les employés ont les nouvelles
Adresses alors c’est pas forcément transposable immédiatement dans un hôpital mais on peut réfléchir à C et réduire en fait le le cette durée de où qui met la pression sur sur les personnels d’incertitude de restauration du service et cetera ça peut être des choses qui sont maîtriser et on peut
Donner des des durées aux [Musique] directions