Soutenir les acteurs de la santé dans leurs enjeux de cybersécurité

Le SESAN accompagne les acteurs franciliens de la santé dans leurs projets numérique, y compris sur les enjeux de cybersécurité. 

Il offre un accompagnement et un appui essentiel aux structures de santé de la région.

LockSelf, partenaire du SESAN, a reçu Rémi Tilly, Directeur du département Sécurité des Systèmes d'Information au sein du SESAN, pour nous en dire un peu plus sur le rôle et les missions de la structure sur le territoire. 

Bonne lecture !

Pouvez-vous nous présenter le SESAN ?

SESAN est le Groupement Régional d’Appui au Développement de la e-Santé (GRADeS) pour la région Île-de-France comme il y en a pour chaque région.

SESAN est l'opérateur privilégié de l’Agence Régionale de Santé (ARS) d’Île-de-France pour la mise en œuvre des projets e-Santé au service des professionnels de santé de la région.

La cybersécurité a été identifiée comme un sujet majeur dès 2014 et fait partie depuis de notre périmètre d’intervention.

Comment êtes-vous organisés et quelles sont vos principales missions ?

En termes de gouvernance, SESAN est un groupement d’intérêt public (GIP) avec un conseil d’administration composé des représentants de l’ensemble du secteur santé de la région, regroupés en collèges : ARS Île-de-France, l’Assurance Maladie, l’ensemble des fédérations hospitalières dans le champ du sanitaire et du médico-social, les structures de santé, ainsi que l’ensemble des Unions Régionales des Professionnels de Santé libéraux d’Île-de-France.

SESAN est organisé en 5 départements dont un dédié à la Cybersécurité.

Au sein de ce département nous avons deux missions principales : 

• La première c'est de veiller à la sécurité des systèmes d'information régionaux portés par le GIP;

• La seconde vise à accompagner l'ensemble des acteurs santé de la région pour améliorer la cybersécurité.

Pour les structures qui ont des besoins d’accompagnement et de services de sécurité spécifiques, il est possible de souscrire un contrat avec le GIP SESAN.

Cela permet de bénéficier de services supplémentaires :

• l’expertise de l’équipe de consultants SSI régionaux;
• les services et solutions de cybersécurité mutualisés par le GIP.

Les consultants SSI peuvent intervenir en appui d’un RSSI d'établissement mais nous ne nous substituons jamais à eux. 

Nos interventions portent sur le pilotage de la sécurité des systèmes d’information. Pour des sujets opérationnels, nous nous appuyons sur des prestataires quand cela a un intérêt pour plusieurs de nos adhérents.

L’accord avec LockSelf en est un exemple.

Nous avons récemment mis à disposition de nos adhérents un site dédié à la cybersécurité (https://cyberservices.sante-idf.fr) permettant d’avoir une vision plus claire et simplifiée de notre offre. 

Nous souhaitons proposer des services adaptés à chaque structure. La volonté d’améliorer la sécurité est soutenue nationalement, dans le cadre des travaux de la Task Force Cyber auxquels contribue SESAN, avec des représentants d’autres GRADeS et ARS. La Task Force, pilotée par la DNS, rassemble des institutions de santé (ANS, DGOS, HFDS) ainsi que l’ANSSI. Parmi les travaux en cours, il y a la transposition de la directive NIS2 qui va impacter le niveau d’exigence pour de nombreuses structures.

À horizon 2024, les Jeux Olympiques de Paris vont augmenter le nombre d’attaques sur l’Ile-de-France. Cela rajoute à la nécessité d'anticiper et de se préparer.

Aujourd’hui, la question n’est pas de savoir si on va se faire attaquer, ni quand mais plutôt comment faire pour réagir au mieux afin que les structures soient le moins impactées possible et le moins longtemps.

Comment cela se traduit-il concrètement ? Est-ce que des budgets seront par exemple débloqués pour donner les moyens aux structures de se préparer ?

Oui, et c’est déjà le cas. Un exemple simple c’est que le risque cyber n’est plus un sujet seulement adressé par les DSI. Les directions d’établissements sont de plus en plus sensibilisées et impliquées car une cyberattaque a des conséquences sur le fonctionnement de l’établissement et affecte également les autres structures à proximité. 

Mais nous savons aussi pertinemment que le sujet n’est pas seulement lié aux moyens financiers. Il faut également mettre en place des organisations, des process et cela prend beaucoup plus de temps qu’un simple achat de logiciel par exemple.

Le CERT-Santé a ainsi mis en place un numéro joignable 24h/24 pour apporter les premières réponses en cas de cyberattaque.

Un autre sujet de fond est celui des ressources humaines, qui n’est d’ailleurs pas inhérent au seul secteur de la santé. Nous avons aujourd’hui des difficultés à aller chercher des talents (ingénieurs SI, ingénieurs cyber) et travaillons donc beaucoup sur l’attractivité des établissements.

Cela passe par des leviers incitatifs “directs” comme les salaires mais aussi sur notre capacité à construire et proposer des projets cyber intéressants.

On le voit à notre échelle chez LockSelf, de nombreux RSSI et DSI se partagent les bonnes pratiques de manière souvent assez structurée. La coopération est-elle aussi un axe de travail ?

Effectivement, depuis la crise du COVID nous avions bien vu qu'il était important de renforcer les possibilités de coopération. Nous avons mis en place une plateforme d'échange qui permet de s'entraider entre homologues de la région. Cette communauté rassemble aujourd’hui plus de 100 professionnels de la sécurité des SI en santé.

Ces échanges sont dans une logique proactive mais aussi en réaction lors d’attaques ! Si nous voulons atteindre un bon niveau de résilience nous nous devons collectivement d’être en mesure d’identifier et cartographier de manière précise l’ensemble des expertises disponibles sur la région afin de les mobiliser en cas de besoin.

Cela fait partie de nos travaux à court terme pour pouvoir gagner du temps en cas de crise. Nous voulons aller vite là-dessus et nous ne pouvons pas nous permettre d'attendre 6 ou 8 mois qu'un nouvel établissement se fasse attaquer pour mettre en place les bonnes procédures et la bonne organisation.

Pour terminer sur LockSelf, comment s’est déroulé cet accord de mutualisation ?

Nous avons déjà travaillé sur des axes de développement type cybersurveillance ou scan de vulnérabilités. Dès qu’une thématique est évoquée à plusieurs reprises dans les échanges avec nos adhérents, nous proposons de prendre en main celle-ci via une approche mutualisée et c’est ce qui s’est passé avec LockSelf.

Le sujet de la gestion des accès nous a été remonté par les structures de la région, et Lockself a témoigné de sa volonté de travailler dans l’esprit du GIP SESAN au bénéfice des structures. Nos adhérents sont satisfaits des solutions proposées et d’autres structures rejoignent au fur et à mesure l’approche mutualisée pour le bénéfice de la communauté

Merci Rémi !