ESSMS : le plan d'attaque de l'ANAP contre les cyberattaques
L’Agence nationale d’appui à la performance des établissements de santé et médico-sociaux (ANAP) a mis en ligne un plan d’action contre les cyberattaques en établissement sanitaire et médico-social.
« Les secteurs sanitaires et médico-sociaux poursuivent leurs transformations numériques. Les usages des outils numériques sont inscrits dans la pratique quotidienne de tous les professionnels de santé. Cependant, avec des cyberattaques toujours plus nombreuses, il est indispensable à tous de comprendre et de se protéger pour ne pas mettre en péril la prise en charge du patient et impacter les professionnels », rappelle Stéphane Pardoux, directeur général de l’ANAP en introduction du document intitulé « La cybersécurité en établissement de santé : plan d’attaque contre les attaques ».
« L'objectif de la réponse aux incidents est de limiter les dommages causés par une cyberattaque, de compliquer les chemins d’attaques, de restaurer les systèmes et de minimiser les interruptions des opérations », recommande le document.
Parmi les actions suggérées se trouvent cinq mesures d’hygiène informatique :
– la segmentation des réseaux pour une meilleure fiabilisation technique globale du système d’information ;
– l’active directory pour la gestion des droits et des identités ;
– la gestion des habilitations et des mises à jour pour combler les failles de sécurité ;
– la sensibilisation au phishing ;
– la réponse aux incidents.
A l'instar de la sécurité incendie, la cybersécurité est une obligation de résultat, qui engage la responsabilité de la direction. « Les dirigeants doivent pleinement appréhender les répercussions potentielles d'une attaque cyber, notamment les conséquences d'un arrêt d'activité ou d'Internet. Leur implication active dans les décisions stratégiques relatives à la cybersécurité doit être au cœur de leur gouvernance », souligne l'ANAP.
L’Agence nationale de la sécurité des systèmes d’information (Anssi) met également à disposition des responsables d'établissements des kits pour s’entraîner à la gestion d’une cyberattaque, tester sa structure et évaluer ses capacités à répondre à une attaque.