Les articles WELIOM
L’UNION HOSPITALIÈRE DE CORNOUAILLE STRUCTURE SON PROGRAMME DE SÉCURITÉ INFORMATIQUE AVEC LE PROGRAMME FRANCE RELANCE DE L’ANSSI
On sait les RSSI bretons très actifs, et l’ARS et le GRADeS mobilisés sur la cybersécurité. La Journée SSI organisée en 2021 par Arnaud MEUNIER, RSSI de l’Union Hospitalière de Cornouaille (UHC) dont l’établissement support est le CH Cornouaille à Quimper, avait permis de réunir et d’informer largement les acteurs et de coordonner les forces autour d’une gouvernance alignée et d’un plan projet conforme aux récentes obligations de sécurité et de conformité numérique.
Impulsé par l’ANSSI, le volet France Relance dédié à la cyber sécurité des SI de santé prévoyait 25 millions d’euros pour accompagner le plan de sécurité des établissements de santé OSE (opérateurs de services essentiels). Le CH de Cornouaille s’est inscrit dans la démarche, accompagné par WELIOM.
Retour sur l’expérience avec Arnaud MEUNIER, RSSI du GHT UHC
Pourquoi le CH CORNOUAILLE s’est-il engagé dans le volet France Relance cyber piloté par l’ANSSI ?
Arnaud MEUNIER : Tout établissement de santé est preneur d’un audit à 360° de ses niveaux techniques et organisationnels de sécurité. C’est un levier important du programme de sécurité, une obligation dans le cadre de plusieurs certifications ou référentiels, et un moyen de pouvoir se comparer. Le programme France relance de l’ANSSI coïncidait avec les besoins du CH, tant par son volet financement que par le modèle d’accompagnement qu’il proposait, avec le prestataire accompagnateur « contrôleur » et le prestataire de terrain, pilote de l’audit initial.
Le processus décliné par l’ANSSI a l’avantage d’embarquer les métiers, la DSIN et tous ses chefs de services, mais aussi la direction générale. C’est un carburant essentiel aux actions de sécurité !
Préalablement au « parcours cyber » et à son enveloppe financière, qu’est-ce que l’audit initial vous a apporté ?
A.M. : Cet audit a permis de mesurer notre niveau de cyber résilience et donc d’objectiver notre exposition aux principales menaces cyber dont le rançongiciel.
Son volet organisationnel a interrogé notre gouvernance et a permis de finaliser celle-ci. Celui-ci a également révélé nos forces et nos faiblesses, ce qui donne lieu à des mises à jour de notre plan d’action SSI. Autre conséquence, un recalage de la stratégie SSI autour de l’axe « réponse à incidents de sécurité » parmi les 5 grands axes de la SSI : la prévention, la protection, la détection et la réponse aux incidents de sécurité, la résilience et la gouvernance, à laquelle est associée la conformité.
Comment WELIOM vous a accompagné durant cet audit ? Quelle a été leur valeur ajoutée ?
A.M. : Nous avons retenu l’offre de WELIOM, par ailleurs partenaire historique de l’UHC sur plusieurs dossiers SI et SSI, et connaissant, de fait, notre environnement. La capacité des consultants à vulgariser les sujets cyber auprès du management et des métiers, notamment lors de la phase clé de la restitution aux directeurs, s’est avérée un point fort. Kevin DELMOTTE, notre consultant référent, s’est emparé de la mission avec engagement et ténacité. La mission a été délivrée à temps et avec le niveau de qualité souhaité. C’est très agréable et courant chez WELIOM.
Quelle est la suite des opérations ?
A.M. : Le plan de sécurisation a permis de structurer la feuille de route SSI pour 2023 et au-delà. Nos actions sont coordonnées avec le SDSI ambitieux de l’UHC, qui prévoit de grosses opérations sur les composants centraux du SI. C’est un moment privilégié pour renforcer notre sécurité. Le suivi des 23 mesures de la directive NIS (et bientôt NIS II) sur nos SIE est un gros chantier, qu’il faut coordonner avec les projets transverses de notre feuille de route. Nous organisons également le mercredi 28 juin prochain un retour d’expérience inédit, par des médecins, pour des médecins, sur la cyberattaque d’un Hôpital en 2021 !
lire
lire
lire