Cybersécurité en santé : la Martinique en première ligne face aux risques numériques
- Article en partenariat
- Santé et bien-être
Si le numérique permet des avancées importantes au service des patients et des usagers de notre territoire, il expose également le système de santé à des nouveaux risques, notamment en matière de cybersécurité. Financé par l’ARS Martinique, le GRADES (Groupement régional d’appui au développement de la e-santé) interpelle et accompagne les établissements de santé face à un défi qui ne va faire que s’accroître. Rencontre avec son directeur, Gaël Chevalier.
Les 13 et 14 mars derniers se tenait Madin e-santé, le 1er colloque sur les enjeux et usages numériques en matière de santé en Martinique. Dans une des salles du Palais des congrès de Madiana réservée pour l’événement, ils étaient plus de 300 à suivre les échanges sur la cybersécurité, les usages et l’éthique en matière de e-santé.
Le rendez-vous était organisé par le GRADES, qui est l’opérateur local de l’ARS pour tout ce qui relève de l’usage, du déploiement, de la promotion de la e-santé en Martinique. La programmation devait permettre à tous les acteurs du territoire de se saisir de ces questions avec un objectif commun, celui d’une logique de travail collectif, résilient, agile, adaptatif. « Quand on a inventé le bateau, on a également inventé le naufrage », mettait en garde un des intervenants en introduction sur la cybersécurité qui fut au cœur des discussions durant les 2 jours.
Carte vitale, dossier personnalisé du patient, résultats d’examens dématérialisés, prises de rendez-vous… la numérisation des données médicales fait déjà partie de la pratique quotidienne des établissements de santé, pourquoi un colloque sur ce sujet était-il nécessaire ?
Gaël Chevalier, directeur du GRADES : c’est la première édition et nous allons réitérer l’exercice chaque année, car compte tenu du virage numérique, il est nécessaire de mettre l’emphase sur certains sujets clés. L’essor de la e-santé impose d’abord des réflexions et un partage d’expérience quant aux usages : la médecine de ville, l’hôpital, les centres d’imagerie, le laboratoire… comment toutes ces données circulent et concourent à une meilleure prise en charge globale du patient et des usagers ?
Ensuite, le cadre éthique de l’utilisation et la circulation des données médicales est également un sujet d’importance, pour donner confiance aux usagers, parce qu’on utilise leurs données avec leur consentement, et pour sécuriser le professionnel dans un contexte d’émergence de solutions d’intelligence artificielle.
Enfin, Madin e-santé voulait avant tout mettre l’accent sur la cybersécurité dont les milliers de professionnels de santé qui utilisent un ordinateur ou un smartphone sont les premières cibles.
Lire aussi | « Construire des solutions locales, un impératif pour la santé en Martinique »
On a vu en effet plusieurs hôpitaux ciblés et piratés dans l’Hexagone au cours des dernières années. Quelles valeurs peuvent avoir les données médicales pour les hackers, comparés par exemple à des comptes bancaires ?
Une fois le système informatique de l’hôpital neutralisé par une cyberattaque, c’est toute la chaîne de diagnostics et de soins qui risque de devenir inopérante. Le premier gain potentiel pour les hackers est la rançon exigée (qu’il est recommandé de ne pas payer).
Ensuite, toutes les données des patients vont de toute manière être revendues et servir à d’autres tentatives d’arnaques, usurpation d’identité et de carte vitale, etc. Les données médicales représentent une valeur importante : contrairement à une carte bancaire qu’on peut bloquer, une donnée de santé est immuable.
Comment, à l’échelle d’un territoire, s’y prépare-t-on ?
En s’entraînant régulièrement pour se mettre en condition, identifier ses forces et faiblesses, mesurer l’efficacité des process à mettre en place pour tenir le choc et continuer à fonctionner en cas de tentative de paralysie des systèmes informatiques. En amont du colloque, nous avons d’ailleurs organisé pour la première fois un exercice de crise régional qui impliquait plusieurs structures touchées en même temps (voir mise en avant ci-dessous).
La crise cyber, c’est une réalité, la question, ce n’est pas si nous allons être victimes d’une cyberattaque, mais bien quand le serons-nous ? Et dans cette logique-là, il faut travailler la culture du risque. Les exercices de crise sont là pour véritablement rendre l’établissement et les organisations plus résilientes.
À retenir
Chaque année, la Clinique St Paul et le CHUM, tout comme d’autres établissements sanitaires et médico-sociaux conduisent chacun un exercice de crise cyber local. Le 10 mars 2025, c’était le premier exercice régional.
Tous les 2 mois, le GRADeS réalise des campagnes de phishing, où des emails pièges sont envoyés à des pools d’employés des établissements de santé et médico-sociaux. Ce qui permet ensuite de mener des actions de sensibilisation ciblées (vidéo, QCM). À la clinique St Paul comme au CHU, moins de 1 % des mails pièges sont ouverts.
Est-on prêt ?
(sourire) On ne peut pas le dire, ça serait trop prétentieux. Il faut être très humble dans le domaine. On se prépare, c’est mieux qu’il y a deux ans et c’est mieux encore qu’avant cet exercice régional. C’est une culture du risque qui implique des milliers de professionnels sur le territoire, la formation de tout le monde en une fois n’est pas envisageable, mais la sensibilisation régulière et ciblée, ainsi que les exercices et les plans de continuité d’activité sont la clé, c’est un effort continu.
« La question, ce n’est pas si nous allons être victimes d’une cyberattaque, mais quand le serons- nous ? »
« Le CHUM et la clinique St-Paul piratés ! »
10 mars, au CHU de Martinique, un premier poste informatique montre des anomalies de fonctionnement. L’incident encore isolé est remonté jusqu’à Rodrigue Alexander, directeur du Pôle transformation numérique, biomédical, qualité, relations avec les usagers et recherche et innovation, puis, assez rapidement, un autre poste dysfonctionne à son tour. « À partir de ce moment-là, plus on intervient vite, plus on est efficace », explique Rodrigue Alexander, « on doit isoler les postes impliqués, déconnecter les réseaux pour éviter la propagation et couper les sauvegardes ».
À ce stade de l’exercice (le premier d’échelle régionale), la cellule de crise est activée et le Plan de continuité d’activité du CHU entre en action. Cette mise en situation permet de tester en conditions réelles la capacité de résistance de l’établissement, tous services et métiers confondus, et la mise en place « d’un fonctionnement en mode dégradé, c’est-à-dire sans outil informatique pour continuer à accueillir et soigner et prendre en charge les patients qui y sont déjà et ceux qui arrivent à l’hôpital pour une intervention chirurgicale, une consultation, des analyses médicales, une dialyse, etc. »
Tous les services repassent au papier et stylo, ce qui nécessite des fiches de process et des entraînements pour être efficace et opérationnel. En parallèle, sur un réseau social fictif, ressemblant à X et créé pour l’exercice, l’équipe de communication de crise publie des informations et répond aux premiers posts d’internautes qui s’agacent des difficultés rencontrées au CHU.
19 km plus loin, à La Clinique St Paul, une secrétaire médicale clique sur une pièce jointe dans un mail, son ordinateur s’éteint. Elle le signale, puis des dysfonctionnements en chaîne sont observés. Même branle-bas de combat, la cellule de crise est activée, explique la directrice Isabelle Dumont Da Silva, « on tente de qualifier rapidement ce qu’il se passe et on passe en mode dégradé ».
Les deux plus grands établissements de santé du territoire touchés presque simultanément, tel était le scénario élaboré pour le premier exercice de crise régional organisé par l’ARS et le GRADeS.
« En cas d’intrusion, on tente de qualifier rapidement ce qu’il se passe et on passe en mode dégradé »
Isabelle Dumont Da Silva, directrice de la Clinique Saint-Paul
Chaque exercice de crise challenge les organisations et fait émerger des besoins précis et les solutions qui en découleront. Ce jour-là, les cellules de crise de St-Paul et du CHUM se sont tournées vers l’ARS pour centraliser la communication de crise (interne et externe) et se coordonner. On s’est rendu compte « qu’en cas de crise étendue, l’ARS pouvait être partie prenante », décrit Tanguy Pallier, responsable des systèmes d’information de la clinique Saint-Paul, « en mettant à disposition, par exemple, des stocks d’ordinateurs et du matériel informatique supplémentaire tout comme des ressources humaines en informatique, pour pouvoir faire redémarrer les services ».
Au CHUM, les exercices annuels ont déjà conduit l’établissement à se doter de box internet et d’antennes Starlink pour pouvoir communiquer, à prévoir quels secrétariats doivent être prioritaires pour recréer les agendas médicaux, etc. « Derrière ces mises en situation, il y a une approche presque militaire qui est à la hauteur de l’enjeu, car lorsqu’une cyberattaque réussit, comme ce fut le cas en 2022 à l’hôpital d’Arles où j’ai exercé, il faut être capable de tenir dans la durée, pendant plusieurs mois voire une année ou plus sans ses outils, sans ses logiciels et de reconstruire à partir de zéro un système informatique », décrit Rodrigue Alexander.
Aussi, le principal enjeu des exercices c’est la « conscientisation du risque » et la préparation de la riposte : une organisation alternative capable de maintenir la prise en charge de tous les patients et de tous les besoins, sur un territoire insulaire où les patients ne pourront pas être conduits en ambulance dans un hôpital voisin. À 14h, l’exercice était terminé et laissait place au débriefing. Un mois plus tard, le CHUM et la clinique St-Paul seraient à nouveau, chacun, en situation d’exercice de crise.
