Exercice de crise : retour d'expérience du Centre Hospitalier d'Orthez

Face à une menace cyber croissante et en mutation, il est essentiel pour les établissements sanitaires de s’y préparer. Retour sur l’exercice de crise réalisé au centre hospitalier d’Orthez avec Mickael OUDET, RSSI du GHT Béarn et Soule et Mélisa BREGEON, responsable qualité au centre hospitalier d’Orthez.

Dans quel contexte s’inscrit cet exercice de crise ?

En tant que RSSI du GHT Béarn et Soule, il est impératif de préparer les établissements à devoir faire face à une crise cyber, car cela ne s’improvise pas ! Grâce au dispositif proposé par l’ARS Nouvelle-Aquitaine, nous avons bénéficié de l’accompagnement d’un prestataire afin d’encadrer et structurer ce premier exercice. Pour faciliter son organisation, nous avons utilisé le kit n°1 de l’ANS.

Comment l’avez-vous préparé ?

Après avoir défini la date de l’exercice, nous avons organisé plusieurs réunions : le briefing des encadrants, la formation des observateurs (PCME, qualité, etc.), le partage des consignes à la communication et au responsable de la cellule de crise ainsi que la validation du plan d’action.

Dans ce cadre, nous avons mis à jour nos procédures dégradées et identifié les rôles et responsabilités des participants ainsi que les services impactés par l’exercice, à savoir le bureau des entrées, la pharmacie, un service de soin et la cellule de crise.

Quel type de scénario avez-vous mis en place ?

La simulation a été construite autour d'un scénario de cyberattaque réaliste, mettant en œuvre le déclenchement de la cellule de crise cyber conformément au volet cyber du plan blanc de l'établissement. La cellule de crise jouait un rôle central en pilotant les actions coordonnées avec l’ensemble des parties prenantes pour contenir et éradiquer la menace, testant ainsi la réactivité et l’efficacité des protocoles établis.

Comment s’est déroulé l’exercice ?

La cellule de crise, activée, a focalisé ses efforts sur l'organisation de la continuité des soins, démontrant ainsi la résilience de l'établissement face à une cyberattaque simulée. Ce volet spécifique du plan blanc a été activé pour garantir que, même en présence d'une menace cyber, les services critiques d’un établissement de santé puissent fonctionner en mode dégradé voire de manière ininterrompue, assurant ainsi la sécurité des patients et la préservation des soins essentiels.

Quels enseignements en avez-vous tiré ?

L'exercice a fourni des enseignements cruciaux pour renforcer notre posture de cybersécurité. Il a mis en lumière les forces et les faiblesses de notre préparation, nous permettant d'ajuster nos politiques et procédures en conséquence. Il a également souligné l'importance de la communication et de la collaboration entre les équipes, tant au sein de l'établissement qu'avec des partenaires externes.

Les retours lors des réunions de debriefing à chaud et à froid ont conduit à identifier des axes d’améliorations de gestion de crise cyber, par exemple avoir une cellule de crise organisationnelle et une technique dans des salles différentes. De plus, cela a renforcé la sensibilisation à la sécurité au sein des équipes.
En résumé, l’exercice a été une opportunité pour évaluer, améliorer et renforcer notre préparation face aux défis grandissant de la cybersécurité dans la santé.

ESEA Nouvelle-Aquitaine accompagne les établissements de santé dans la réalisation de leur exercice de crise et plus largement dans l’amélioration continue de la résilience de leur système d’information. La cellule cybersécurité régionale conseille, forme et aide les acteurs du soin, y compris sur le volet financements.

Clap de fin pour le Tour de région Mon espace santé

Mon espace santé : un guide pour faciliter son déploiement en établissement sanitaire

Consultation : l'usage des réseaux sociaux par les acteurs de santé en Nouvelle-Aquitaine