{"id":48173,"date":"2024-04-01T11:43:35","date_gmt":"2024-04-01T09:43:35","guid":{"rendered":"https:\/\/gestions-hospitalieres.fr\/?p=48173"},"modified":"2024-05-02T16:59:29","modified_gmt":"2024-05-02T14:59:29","slug":"former-a-la-cybersecurite","status":"publish","type":"post","link":"https:\/\/www.ricom-web8.com\/gestions\/former-a-la-cybersecurite\/","title":{"rendered":"Former \u00e0 la cybers\u00e9curit\u00e9"},"content":{"rendered":"Temps de lecture\u00a0: <\/span> 4<\/span> minutes<\/span><\/span>

En 2021, le nombre d\u2019attaques cyber a doubl\u00e9 par rapport \u00e0 l\u2019ann\u00e9e pr\u00e9c\u00e9dente. Dans la plupart des cas, les centres hospitaliers font face \u00e0 des pirates informatiques qui r\u00e9ussissent \u00e0 s\u2019infiltrer dans leur syst\u00e8me informatique pour y voler des donn\u00e9es sensibles et en bloquer l\u2019acc\u00e8s. Une ran\u00e7on est exig\u00e9e en \u00e9change d\u2019un retour \u00e0 la normale. Les \u00e9tablissements attaqu\u00e9s se retrouvent alors souvent totalement paralys\u00e9s et les cons\u00e9quences peuvent \u00eatre lourdes, aussi bien pour les patients pris en charge que pour les agents qui se retrouvent \u00e0 devoir \u0153uvrer en mode d\u00e9grad\u00e9. La politique \u00e9tant bien s\u00fbr de ne jamais payer la ran\u00e7on, le retour \u00e0 la normale n\u2019arrive qu\u2019apr\u00e8s plusieurs mois d\u2019un lourd travail de reconstruction et de s\u00e9curisation du syst\u00e8me informatique.<\/p>\n

Organisme paritaire collecteur agr\u00e9\u00e9 (OPCA) de la fonction publique hospitali\u00e8re, l\u2019ANFH collecte et g\u00e8re les fonds consacr\u00e9s \u00e0 la formation. En mati\u00e8re de cybers\u00e9curit\u00e9, elle propose \u00e0 ses \u00e9tablissements adh\u00e9rents et leurs agents une action de formation nationale (AFN)\u2009: \u00ab\u2009Renforcement de la cybervigilance \u2013 Acqu\u00e9rir les bons r\u00e9flexes\u2009\u00bb. Les objectifs de cette formation tout public sont d\u2019appr\u00e9hender la cybercriminalit\u00e9 et les risques inh\u00e9rents aux \u00e9tablissements de sant\u00e9, de prendre conscience du r\u00f4le contributeur de chacun, d\u2019\u00eatre en mesure de d\u00e9tecter les menaces les plus courantes et de r\u00e9agir efficacement, de diffuser les bonnes pratiques num\u00e9riques. \u00c0 ce jour, 18 sessions de formation ont \u00e9t\u00e9 r\u00e9alis\u00e9es et 161 stagiaires ont \u00e9t\u00e9 form\u00e9s. Par ailleurs, 24\u00a0nouvelles actions sont d\u2019ores et d\u00e9j\u00e0 planifi\u00e9es en 2024. Ces offres de formation nationales sont propos\u00e9es \u00e0 titre gratuit aux \u00e9tablissements pour la partie frais p\u00e9dagogiques. \u00a0<\/span><\/p>\n

Conjointement \u00e0 cette premi\u00e8re marche, un dispositif interr\u00e9gional \u00ab\u2009Cyberattaque\u2009: conna\u00eetre les risques, r\u00e9agir efficacement en cas de piratage\u2009\u00bb a \u00e9t\u00e9 construit afin de permettre aux \u00e9tablissements de la fonction publique hospitali\u00e8re de se pr\u00e9parer \u00e0 une cyberattaque en se formant, via des mises en situation, \u00e0 la d\u00e9finition de process permettant de poursuivre le travail en mode d\u00e9grad\u00e9. Il s\u2019agit \u00e9galement de contribuer \u00e0 la cybervigilance de tous les agents via la connaissance des bons gestes, de participer \u00e0 la s\u00e9curit\u00e9 informatique de son \u00e9tablissement, d\u2019\u00eatre en mesure de d\u00e9tecter les menaces, de se pr\u00e9parer \u00e0 la gestion de crise et de piloter un plan de continuit\u00e9 d\u2019activit\u00e9.<\/p>\n

La porte d\u2019entr\u00e9e de ce dispositif est un webinaire de deux heures, ouvert \u00e0 tous les publics, dont les objectifs sont les m\u00eames que l\u2019action de formation nationale. Il permet dans un temps court d\u2019appr\u00e9hender la cybercriminalit\u00e9 et ses cons\u00e9quences pour les \u00e9tablissements de sant\u00e9, de conna\u00eetre les diff\u00e9rents types d\u2019attaque et de travailler sur les bons gestes num\u00e9riques permettant de limiter le risque d\u2019actes malveillants. \u00c0 ce jour, depuis janvier 2023, plus de 600\u00a0agents ont pu \u00eatre form\u00e9s sur six r\u00e9gions.<\/p>\n

Quatre actions de formation de mise en situation d\u2019une cyberattaque ont \u00e9t\u00e9 pr\u00e9vues pour quatre publics diff\u00e9rents\u2009: les agents du bureau des entr\u00e9es, ceux du g\u00e9nie biom\u00e9dical, ceux des services techniques et les \u00e9quipes de direction. Ces formations permettent \u00e0 chacun des publics vis\u00e9s de conna\u00eetre le risque et l\u2019impact d\u2019une attaque cyber sp\u00e9cifiquement \u00e0 leur environnement de travail et \u00e0 leurs fonctions. Il s\u2019agit d\u2019acqu\u00e9rir les bons r\u00e9flexes en cas de cyberattaque et de conna\u00eetre les outils \u00e0 disposition permettant de travailler en mode d\u00e9grad\u00e9, chaque public jouant un r\u00f4le pr\u00e9pond\u00e9rant en cas de mise en d\u00e9faut du syst\u00e8me informatique par une attaque cyber.<\/p>\n

Dans la gestion de crise, la continuit\u00e9 d\u2019activit\u00e9 occupe une place centrale\u2009: la priorisation des activit\u00e9s essentielles et l\u2019\u00e9laboration d\u2019un plan op\u00e9rationnel sont primordiales pour parvenir \u00e0 mettre en \u0153uvre des solutions.<\/p><\/blockquote>\n

Pour compl\u00e9ter ces mises en situation, une formation au pilotage du plan de continuit\u00e9 des activit\u00e9s (PCA) sur le versant syst\u00e8me d\u2019information est pr\u00e9vue pour les agents d\u2019un m\u00eame domaine d\u2019activit\u00e9, de la direction et des services informatiques en charge de l\u2019applicatif du domaine. Dans la gestion de crise, la continuit\u00e9 d\u2019activit\u00e9 occupe une place centrale\u2009: la priorisation des activit\u00e9s essentielles et l\u2019\u00e9laboration d\u2019un plan op\u00e9rationnel sont primordiales pour parvenir \u00e0 mettre en \u0153uvre des solutions. Cette formation vise une connaissance approfondie des outils de continuit\u00e9, de leur articulation ainsi que les cl\u00e9s de compr\u00e9hension de la strat\u00e9gie de continuit\u00e9 et de reprise d\u2019activit\u00e9, notamment gr\u00e2ce \u00e0 de nombreuses activit\u00e9s ludiques et interactives.<\/p>\n

Enfin, les professionnels des services informatiques, qui sont au c\u0153ur de la cybers\u00e9curit\u00e9 d\u2019un \u00e9tablissement et qui seront les premiers sollicit\u00e9s en cas d\u2019attaque, peuvent b\u00e9n\u00e9ficier d\u2019une formation de simulation \u00ab\u2009attaque\/d\u00e9fense\u2009\u00bb. Cette action a pour principaux objectifs d\u2019appr\u00e9hender les m\u00e9thodes d\u2019attaques et de pr\u00e9voir les m\u00e9canismes de d\u00e9fense adapt\u00e9s, de mettre en place les premi\u00e8res actions pour limiter les d\u00e9g\u00e2ts, d\u2019informer\/dialoguer efficacement avec la direction, de solliciter les bons acteurs ext\u00e9rieurs, de faciliter le fonctionnement de l\u2019\u00e9tablissement en mode d\u00e9grad\u00e9 et d\u2019assurer et anticiper la reprise. Si beaucoup est d\u00e9j\u00e0 fait sur le travail de renforcement de la s\u00e9curit\u00e9 des syst\u00e8mes, il s\u2019agit ici d\u2019\u00eatre en mesure de r\u00e9agir ou d\u2019agir efficacement lorsque les syst\u00e8mes sont interrompus. \u00c0 l\u2019instar des entra\u00eenements \u00e0 la s\u00e9curit\u00e9 incendie, la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information doit appr\u00e9hender la gestion de crise lorsque le risque survient.\u00a0<\/span><\/p>\n

Le d\u00e9ploiement de cet accompagnement des \u00e9tablissements adh\u00e9rents \u00e0 l\u2019Anfh est \u00e0 l\u2019\u0153uvre depuis 2023 et va conna\u00eetre une mont\u00e9e en charge en 2024. Aujourd\u2019hui, sept\u00a0r\u00e9gions sont engag\u00e9es dans la d\u00e9marche. Cette offre de formation est ouverte \u00e0 l\u2019\u00e9chelle nationale et peut \u00eatre d\u00e9ploy\u00e9e \u00e0 l\u2019\u00e9chelle de l\u2019\u00e9tablissement, du GHT ou de la r\u00e9gion en inter\u00e9tablissements.<\/p>\n

L\u2019ANFH a par ailleurs compl\u00e9t\u00e9 cet accompagnement, en juin 2023, par la mise \u00e0 disposition, sur sa plateforme LCMS\u00a0 <\/span>\u00ab e-formations \u00bb, d\u2019un contenu e-learning de sensibilisation \u00e0 la cybervigilance d\u00e9velopp\u00e9 par Cybermalveillance.gouv, visant \u00e0 pr\u00e9parer au mieux les agents publics au risque cyber. Cette e-sensibilisation est fond\u00e9e sur le triptyque\u2009: conna\u00eetre\/se prot\u00e9ger\/transmettre.<\/p>\n

Le programme est compos\u00e9 de trois modules qui r\u00e9pondent \u00e0 trois objectifs\u2009:<\/p>\n

    \n
  • comprendre les principes g\u00e9n\u00e9raux<\/strong> des cyberattaques les plus courantes et les risques qu\u2019elles font courir, tant \u00e0 l\u2019individu qu\u2019\u00e0 son administration\u2009;<\/li>\n
  • agir pour valider et s\u2019approprier les bonnes pratiques<\/strong> \u00e9l\u00e9mentaires dans nos usages quotidiens (t\u00e9l\u00e9phones portables, r\u00e9seaux sociaux\u2026) ;<\/li>\n
  • saisir l\u2019int\u00e9r\u00eat et la mani\u00e8re de transmettre ces valeurs<\/strong>, tant dans un cadre priv\u00e9 que professionnel, compte tenu de la porosit\u00e9 des usages.<\/li>\n<\/ul>\n

    \"\"<\/p>\n