Communiquer dans une situation dégradée : se préparer à une cyber-attaque

On désigne par cyber-attaque l’intrusion au sein d’un système d’information (SI), dans le but de voler des données puis d’encrypter les fichiers et serveurs, avant de demander une rançon en échange de la remise de la clef de décryptage. Pareille crise au sein d’un hôpital provoque immédiatement une paralysie totale et très prolongée. Cette paralysie vient de l’incapacité à accéder aux données médicales mais aussi de fonctionnement de l’hôpital comme de l’incapacité à communiquer, car les canaux numériques habituels ne peuvent plus fonctionner. Il n’existe pas de plan de prévention commun à tous les hôpitaux. Chaque établissement de santé doit identifier ses propres besoins. Ce travail d’identification ne peut être effectué que par les acteurs de terrain, coordonnés par une cellule ad hoc. Ceci garantit une parfaite conformité aux exigences des services et directions, et d’autre part permet de faire appel à l’intelligence collective de celles et ceux qui utilisent l’outil informatique au quotidien, en connaissent les failles et ont une idée de comment s’en sortir le jour où le SI dysfonctionne. La poursuite de l’activité en cas d’incapacité du SI impose de pouvoir accéder aux données indispensables au fonctionnement, et donc d’avoir pensé, en amont de la crise, aux moyens de les rendre accessibles. Une partie des données non confidentielles peut être sauvegardée. Les données médicales, désormais dématérialisées, peuvent être remises au patient sous forme papier ou numérique dans « mon espace santé ». Certaines données peuvent être stockées sur les serveurs sécurisés des fournisseurs de matériel. La communication orale passe par l’utilisation de réseau 4/5G, malheureusement souvent difficilement accessible au sein des bâtiments modernes. Ce même réseau permettra de connecter des ordinateurs portables à internet au moyen de clefs adaptées, autorisant l’utilisation d’outils collaboratifs hors SI. La communication par messagerie instantanée doit respecter la confidentialité des données. Ces dernières ne peuvent être transférées que par des applications certifiées pour cet usage. Le recours à la messagerie ordinale permet d’échanger des données médicales en toute sécurité. Les patients et usagers seront informés au moyen des réseaux sociaux, des médias, des institutions, des associations d’usagers, des communautés professionnelles territoriales de santé.

A cyber-attack is an intrusion into an information system (IS), with the aim of stealing data and then encrypting files and servers, before requesting a ransom in exchange for handing over the decryption key. Such a crisis in a hospital immediately leads to total and prolonged paralysis. This paralysis stems from the inability to access medical data, but also from the hospital's inability to communicate, as the usual digital channels can no longer operate. There is no common prevention plan for all hospitals. Each hospital must identify its own needs. This identification work can only be carried out by the stakeholders in the field, coordinated by an ad hoc unit. This guarantees perfect compliance with the requirements of departments and divisions, and also makes it possible to call on the collective intelligence of those who use IT tools on a daily basis, are familiar with their shortcomings and have an idea of how to get out of them on the day when the IS malfunctions. If operations are to continue in the event of IS incapacitation, it is essential to be able to access the data that is essential to operations, and therefore to have thought, in advance of the crisis, about how to make it accessible. Some non-confidential data can be saved. Medical data, now dematerialized, can be given to the patient in paper or digital form in “my health space”. Some data can be stored on the secure servers of equipment suppliers. Oral communication requires the use of a 4/5G network, which is unfortunately often difficult to access in modern buildings. The same network can be used to connect laptops to the Internet using appropriate keys, enabling the use of non-IS collaborative tools. Instant messaging must respect data confidentiality. Data can only be transferred using applications certified for this purpose. Medical data can be exchanged in complete security using the professional messaging system. Patients and users will be kept informed by means of social networks, the media, institutions, user associations and local healthcare professional communities.