Face à l’augmentation des cyberattaques dans le secteur de la santé, le CHU de Toulouse a engagé une démarche proactive pour renforcer sa cyber-résilience. Englobé dans un projet de continuité d’activité (SMCA), cet engagement s’est traduit notamment par la mise en place de plusieurs exercices de crise cybersécurité et une approche méthodique pour sensibiliser et former ses équipes.

Dans cet échange, Thierry Veauvy, Responsable de la Sécurité des Systèmes d’Information du CHU de Toulouse, revient sur les raisons de cette démarche, l’apport de Weliom et les enseignements tirés de ces exercices.

Pourquoi avoir mis en place des exercices de crise au CHU de Toulouse ?

T.V. : « La multiplication des cyberattaques contre les établissements de santé ces dernières années et leur médiatisation ont fortement contribué à une prise de conscience accrue des professionnels de santé sur cet enjeu. La culture de la cybersécurité est encore largement « réactive » dans notre secteur d’activité, pourtant, nous savons que la proactivité est essentielle pour se préparer aux incidents.

Dès 2022, nous avons initié cette démarche avec un premier exercice de crise, qui a été un réel déclencheur : il a permis aux professionnels de réaliser concrètement les risques encourus et d’identifier les axes d’amélioration. L’objectif est triple : s’améliorer en termes de réponse à un incident cyber, aller plus loin en sensibilisant et responsabilisant l’ensemble des services et répondre aux exigences réglementaires. »

Pourquoi avoir choisi de travailler avec Weliom ?

T.V. : « Au-delà de son expertise en cybersécurité, Weliom possède une véritable connaissance des métiers de la santé. Je peux positionner un consultant face à un neurochirurgien, un responsable de service ou tout autre personnel, qu’il soit technique, administratif ou médical, en étant sûr que l’échange sera fluide et pertinent. C’est un atout majeur.

De plus, Weliom ne se contente pas d’appliquer des méthodologies standardisées : chaque exercice est personnalisé, ils sont presque conçus sur mesure pour correspondre à notre réalité opérationnelle. Cette personnalisation permet d’optimiser l’apprentissage et l’engagement des participants. L’expérience vécue lors de ces exercices est primordiale pour une adhésion pleine et entière, et les acteurs sont aujourd’hui très demandeurs de les réitérer. La Direction Générale, en tant que sponsor principal, a d’ailleurs décidé d’augmenter leur fréquence. »

Comment s’est déroulé l’exercice de crise ?

Le dernier exercice s’est tenu sur deux sites distincts :

• Une cellule de crise décisionnelle (22 personnes) avec un animateur et un observateur.
• Une cellule de crise technique (6 personnes) intégrant un encadrement dédié avec un animateur et un observateur. À noter que les équipes opérationnelles ont joué le jeu à travers des groupes supports à la cellule de crise technique.

T.V. : « Nous avons organisé une simulation réaliste en impliquant autant les équipes techniques que la gouvernance institutionnelle. Ce type d’exercice permet de révéler des problèmes concrets de coordination et de communication. Par exemple, la déformation de l’information lors de sa transmission entre les différents acteurs.

Un des enseignements de l’exercice est que certaines solutions envisagées, de prime abord, peuvent s’éloigner des réalités opérationnelles de notre établissement. Ces simulations permettent justement d’identifier ces écarts et d’ajuster nos approches dans un cadre sécurisé, afin d’être mieux préparés en cas d’incident réel. »

Quels bénéfices concrets avez-vous tirés de ces exercices ?

T.V. : « Chaque exercice permet d’ancrer les bons réflexes. Nous avons clairement observé une montée en compétence des équipes, avec une meilleure appréhension des menaces et une réduction du stress face à une potentielle cyberattaque.

Nous avons aussi constaté des progrès techniques concrets, même si certains éléments ont parfois tendance à se relâcher avec le temps. C’est pourquoi la régularité de ces exercices est cruciale. »

Quels sont les prochains défis pour le CHU de Toulouse ?

T.V. : « En 2025, nous allons organiser deux nouveaux exercices de crise. Nos objectifs sont :

1. Élargir la base des participants pour inclure un plus grand nombre d’acteurs clés.
2. Faire en sorte que ces exercices développent des réflexes durables au sein des équipes.

Nous allons également tester des scénarios encore plus spécifiques, en adaptant le niveau de difficulté et les enjeux en fonction des acteurs impliqués.

Enfin, nous devons garder à l’esprit que ces exercices ne sont pas une fin en soi, mais un moteur pour notre Plan de Continuité et de Reprise d’Activité (PCRA). Leur impact est bien plus fort lorsqu’ils sont vécus, plutôt qu’à travers une simple sensibilisation théorique. Il faut donc maintenir cette dynamique et éviter « l’effet des 100 jours », où les bonnes pratiques s’effacent progressivement après l’exercice. »

Quels axes d’amélioration voyez-vous pour Weliom ?

T.V. : « Weliom doit poursuivre son travail d’adaptation, car les exercices deviennent de plus en plus complexes et ambitieux. L’un des défis sera de mobiliser davantage de ressources locales pour assurer un accompagnement optimal sur des formats plus longs, d’une demi-journée, voire d’une journée. »

Grâce à la mise en place régulière d’exercices de crise, le CHU de Toulouse renforce progressivement sa posture face aux cybermenaces. Ces simulations permettent de tester les dispositifs en place, d’identifier les axes d’amélioration et de développer une véritable culture de la cybersécurité au sein de l’établissement.

Si la cybersécurité est un défi permanent, l’approche proactive du CHU de Toulouse démontre qu’avec une préparation adaptée et un accompagnement structuré, il est possible d’anticiper les menaces et de renforcer durablement la résilience des équipes.