Accueil > Les exercices de crise cybersécurité dans le médico-social

Témoignages

 Pascale RANGER- Responsable SI Réso

On vit l’exercice de crise cyber comme un jeu de rôles et si certains sont plus acteurs et ont vécu la tension du moment, les autres ont apprécié leur position d’observateurs.   Les professionnels Réso participants sont ravis de leur demi-journée, ont pu tester leurs connaissances, procédures, réflexes, et vont pouvoir mettre en œuvre des actions concrètes d’amélioration continue.

Pascale RANGER- Responsable SI Réso
Anita LOUBET-Directrice Adjointe du centre de St Girons

 Exercice très intéressant ! Les nombreux supports contextualisés pendant l’exercice (CERT SANTE, CNIL, DPO) vont permettre de formaliser la procédure de gestion de crise.

Anita LOUBET-Directrice Adjointe du centre de St Girons

Le GRADeS accompagne des établissements sanitaires et des ESMS dans la réalisation d’exercices de gestion de crise cybersécurité. Ces exercices de crise ont pour objectif de

  • découvrir la gestion de crise cyber en condition réelle dans le contexte de l’établissement,
  • appréhender les premiers bons réflexes en situation de crise cyber
  • mettre en place le plan de continuité et de reprise d’activité (PCA/PRA). 

L’instruction du 30 janvier 2023 rend obligatoire la réalisation annuelle d’un exercice de crise cyber dans les établissements de santé. L’extension dans les ESMS est annoncée pour 2025.  Dans cette perspective, l’ARS Occitanie a ciblé des établissements ESMS pilotes.  Un marché régional est dédié spécifiquement à cette démarche. 

Retours d’expériences d’un exercice de crise dans un établissement médico-social

L’association Résilience Occitanie (Réso) a réalisé un exercice de crise cybersécurité le 28 mai 2024. Une cellule de crise a été constitué au siège. 3 établissements et services sont été volontaires pour cet exercice : l’EAM Fond Peyré, l’EHPAD l’Albergue et l’ESAT/EA Château Blanc.

Le kit de l’ANS est contextualisé pour être parlant pour les équipes. Par exemple, pour cet exercice, le scénario a démarré sur un incident lié au Dossier Usager Informatisé, en plein déploiement à ce jour chez Réso. A l’issue de cet exercice, l’équipe de Réso s’est déclarée très motivée pour s’inscrire sur le kit intermédiaire l’année prochaine. L’association est également intéressée pourgénéraliser l’exercice pour tous leurs établissements et services médico-sociaux. Les exercices de crise sont réalisés par les prestataires dans le cadre du marché cybersécurité contractualisé par le GRADeS.

Le lendemain, c’était au tour de l’APAJH de l’Ariège (Association Pour Adultes et Jeunes Handicapés), qui a réuni sa cellule de crise cybersécurité au FAM de Saint Girons pour réaliser l’exercice. 

 

  

Les ateliers gestion de crise

Afin de renforcer l’animation régionale, le GRADeS a mis en place des ateliers « pré-requis » qui ont pour objectif d’accompagner les établissements de santé dans la mise en place de certains pré-requis ou étapes clés de la bonne gestion de la sécurité de leur système d’information.   

Ces ateliers sont organisés par thématique au sein de petits groupes (15 participants maximum) pour favoriser les échanges, susciter l’entraide et mettre en œuvre les éléments partagés entre les RSSI, RSI, DSI d’établissement sanitaire ou médico-social d’Occitanie : 

Quelques thématiques abordées : 

  • Anticiper les risques et se préparer à une crise 
  • Sécurité appliquée 
  • Programme CaRE : domaine 1 
  • Sensibilisation 
  • S’entrainer à réagir et communiquer lors d’une crise