Cybersécurité : REX du CHRU de Nancy sur son plan de continuité d’activité

Les établissements de santé ont été victimes de 422 cyberattaques en 2023, confirmant ainsi leur vulnérabilité croissante face aux menaces numériques. Cette réalité alarmante souligne la nécessité de renforcer la sécurité des systèmes d’information des établissements de santé. Bien que des investissements soient réalisés (à l’instar des 350 millions d’euros alloués dans le cadre du Ségur du numérique), pour moderniser les infrastructures et renforcer la cybersécurité, des mesures opérationnelles demeurent essentielles pour prévenir les attaques informatiques.
Le Plan de Continuité d’Activité (PCA) émerge comme une réponse stratégique et concrète face à cette menace croissante de défaillance informatique. Il s’agit d’un dispositif structuré permettant de maintenir les opérations vitales de l’établissement, même en période de crise. Le PCA définit l’organisation nécessaire pour garantir la continuité des services essentiels, anticipant divers scénarios de crise. Il permet de hiérarchiser les activités en fonction de leur importance, de maintenir les missions principales en mode dégradé et d’en orchestrer la reprise progressive.

En mars 2023, la direction générale du CHRU de Nancy a initié une réflexion autour de la définition d’un plan de continuité d’activité (PCA) adapté à l’ensemble de ses services. Ce PCA a vocation, à terme, à être déployé sur l’ensemble des établissements du GHT Sud Lorraine.

Soucieux de réaliser un déploiement rapide, le CHRU de Nancy a choisi d’être accompagné par Adopale, un cabinet de conseil spécialisé dans le secteur de la santé.
Un an après le lancement, les équipes du CHRU de Nancy et d’Adopale ont souhaité partager les différentes étapes méthodologiques mises en place, apporter leur prise de recul sur les écueils à éviter et identifier des bonnes pratiques afin d’enclencher sereinement un projet de cette envergure.

Initier un Plan de Continuité d’Activité (PCA) : responsabiliser les acteurs, cadrer le périmètre, et identifier des services pilotes

Définir les modalités de gouvernance du projet PCA

La responsabilité de mener ce projet a été confiée au Département de la Transformation Informatique et du Biomédicale (DTNIB) du CHRU de Nancy avec une volonté de mettre en place une gouvernance de projet resserrée.
Le pilotage stratégique a été assuré par le Chef de département du DTNIB, Jean Christophe CALVO accompagné de deux chefs de projets :

Le Dr Lionel NACE, directeur médical de crise et actuel chef de pôle des Urgences Réanimation Médicale qui a mis son expérience à disposition et a permis de mobiliser la communauté médicale ;
Ainsi que, Eric GUESNEY, adjoint honoraire au Chef du DTNIB nommé « chargé de mission PCA », afin de coordonner la démarche ;

Du côté du cabinet Adopale, une équipe de quatre personnes a été mobilisée pour assurer le déroulement de cette mission : Rémi SAURAT (associé), Maeva BERTHELIN (manager), Gwenaelle BOUHIER (manager) et Hortense de NICOLAY (consultante sénior).

Cette gouvernance resserrée côté CHRU a permis d’avoir une gestion de projet plus agile, d’être réactif et de s’adapter plus facilement aux modifications de périmètre et de méthodologie tout au long de la démarche.

Le portage de ce projet tend aujourd’hui à être rattaché à la Direction de la Qualité, en raison de la nature même du projet, axée sur l’identification et le traitement des risques affectant les organisations et les processus de soins. Cette recommandation est également soutenue par le programme CaRE (Cybersécurité Accélération et Résilience des Etablissements) initié par le ministère de la Santé et de la Prévention et adoptée au CHU de Lille dans le cadre d’une démarche similaire.

Démarrer avec un nombre limité de services

Le travail réalisé s’est concentré, dans un premier temps, sur une série de services identifiés comme prioritaires par les équipes du CHRU de Nancy soit en raison :

de leur activité qualifiée de « critique » : Réanimation, Urgences, Samu, Bloc opératoire, Laboratoire, Imagerie etc.
de leur impact sur les services de soins à travers la réalisation de missions supports : gestion des repas, distribution des médicaments, transport des patients etc.
de leur capacité à servir de modèle pour un déploiement dans un second temps à l’échelle de tout l’établissement : Neurologie, Pneumologie, Médecine Infantile etc.

Travailler sur un nombre restreint de services a notamment permis d’ajuster progressivement la méthodologie et les solutions retenues avant de procéder à un déploiement plus large.
C’est ainsi que le périmètre des services étudiés a été sensiblement agrandi : initialement, 16 services étaient inclus dans le périmètre (schéma n°1) et au fil des échanges, le périmètre a connu plusieurs évolutions pour atteindre au total 24 services prioritaires (schéma n°2).

Plusieurs raisons expliquent cette évolution du périmètre :

L’ajout du centre antipoison et toxicovigilance comme service critique
La nécessité de traiter les fonctions logistiques de manière indépendante afin de construire pour chaque service un plan de continuité d’activité mentionnant en détail les modalités de fonctionnement dégradées
L’implication du biomédical, afin d’anticiper les impacts sur les différents types d’équipements (Ex : est ce que les appareils d’imagerie seront fonctionnels ? idem pour la surveillance centralisée)
La nécessité de clarifier les alternatives possibles en termes de télécommunication dans l’hypothèse où le réseau ne pourrait plus permettre une communication par téléphone ou par mail. Pour répondre à cet enjeu, la DTINB a dû identifier plusieurs solutions opérationnelles

Il est crucial d’établir une stratégie de priorisation des services pour éviter les va-et-vient excessifs (par exemple, entre l’imagerie et le biomédical). Il peut être bénéfique de commencer par travailler avec les services support afin d’organiser leur activité avant de les aligner avec les besoins des services de soins.

Identifier des référents au sein de chaque service

Suite à la présentation du projet en CME et en Comité de Direction, un appel à candidature a été lancé dans chaque service pour identifier un référent médical et paramédical. Se sont portés volontaires les médecins / cadres ayant un attrait particulier pour les sujets organisationnels, la cybersécurité et se projetant dans les années à venir au CHRU, ainsi que ceux qui n’avaient pas de pair sur leur poste. (Ex : le cadre du SAMU qui est le seul représentant paramédical de ce service).
Leur mission : être les interlocuteurs privilégiés dans la conduite du projet et le relai d’information auprès du reste de l’équipe.
Si le rôle des référents a été essentiel dans la conduite de la démarche (participation au recueil des informations, identification et mobilisation des participants au groupe de travail) – il aurait été intéressant de cadrer précisément leurs tâches en formalisant par exemple dans une lettre de mission leur fonction, les attentes de la part de l’équipe projet, le temps nécessaire et la temporalité de la démarche etc.

2. Méthodologie de construction : les étapes clés dans l’élaboration du PCA

Soucieux d’intégrer les acteurs opérationnels à la démarche et conscients que le temps médical et paramédical est précieux, le CHRU de Nancy et le cabinet Adopale ont mis en œuvre une méthodologie basée sur un nombre de réunions restreint avec 3 temps d’échange au total. En contrepartie, un temps de préparation important est à prévoir en amont ainsi qu’un temps de formalisation en aval pour réaliser et homogénéiser les différents supports.

Structurer la méthodologie : du recueil d’information à la production du PCA

1ERE REUNION : IDENTIFIER LE NIVEAU DE MATURITE DE CHAQUE SERVICE ET SON BILAN D’IMPACT SUR L’ACTIVITE

Après une réunion de lancement du projet et l’envoi d’un questionnaire aux référents de chaque service, des entretiens ont été réalisés et ont concrètement permis d’identifier :

Des éléments techniques : recensement des logiciels et applications métier utilisés dans le service, modalités d’utilisation et niveau de dépendance aux outils SI etc.
Le degré de maturité de chaque service : Des procédures sont-elles déjà documentées ? Ont-ils connaissance d’une procédure de sauvegarde des données ? Un référent cybersécurité existe-il ?
Les ambitions de continuité d’activité de chaque service. Exemple : la Réanimation et l’Hématologie ont indiqué une ambition de prise en charge de 100% de leur activité car il n’y a pas de possibilité de recours sur le territoire pour prendre en charge les patients. Pour l’Obstétrique, l’ambition est de prendre en charge l’activité urgente uniquement car sans informatique le suivi des constantes mobilise un temps médical et soignant beaucoup plus important : priorité aux patientes obstétriques, aux IVG et aux patientes atteintes d’un cancer ; réalisation de péridurales uniquement en raison d’indications médicales ; et arrêt des déclenchements non urgents et de l’accueil de patientes transférées.

2EME ET 3EME REUNION : IDENTIFIER DES SOLUTIONS DE CONTINUITE D’ACTIVITE OPERATIONNELLES

Puis, deux itérations de groupes de travail ont réuni un nombre important d’acteurs de chaque service (médecins, cadres, IDE, AS, manipulateurs, secrétaires, agents logistiques, référent SI …) et ont permis de coconstruire les parades opérationnelles à mettre en place face à chaque risque encouru.

La première étape a consisté à identifier les processus prioritaires dans chaque service de soins :

A titre d’exemple, les processus suivants ont pu être identifiés : « L’appel d’urgence au gynécologue, pédiatre ou anesthésiste de garde » pour le service d’Obstétrique – Salle de Naissance ; « L’envoi d’une demande d’imagerie » ou « La récupération d’un résultat de biologie » pour les services de soins ou encore « La commande des gaz médicaux » pour la PUI.

Puis en face de chaque processus identifié comme « risqué », ont été listés :

Le logiciel et/ou le moyen de télécommunication impacté ou rendu indisponible en cas de cyberattaque (Ex : DPI, SGI, Mail, Téléphone…), Cela a permis par la suite de segmenter les solutions en fonction des scénarios : est-ce l’application métier qui est rendue indisponible ? est-ce le réseau de téléphonie ?
La parade à mettre en place en cas de défaillance du logiciel/moyen de télécommunication Concrètement, il s’agit de l’action qui va être réalisée pour que le processus puisse avoir lieu en cas de cyberattaque (Ex : Acheminement pédestre des prélèvements au laboratoire, prescription papier des examens d’imagerie…)
Les interfaces avec les autres services: est-ce que ce processus inclus un autre service ? Ex : PUI, Laboratoire, Gestion des lits … cela permet d’avoir un visuel sur les processus sur lesquels le service est autonome et ceux sur lesquels il y a des dépendances et donc un besoin de coordination
Les prérequis pour mettre en action cette parade: quels sont les outils/documents dont devra disposer le service ? Ex : avoir un classeur avec tous les documents permettant la prise en charge d’un patient (ordonnance, dossier médical vierge, étiquettes prénumérotées…)

Enfin les synthèses suivantes ont été réalisées pour chaque service, avec un recensement :

des besoin en outils de télécommunication (Ex : nombre d’adresses mails, de téléphones et ordinateurs communiquant hors réseau du CHRU)
des appareils biomédicaux critiques
de l’ensemble des documents utiles à la vie du service (Ex : Bons papiers de prescription d’imagerie, étiquettes patients prénumérotées, maquettes vierges de contrat de travail …)

Concrètement, une cartographie des processus prioritaires a été complétée pour chaque service comprenant au maximum une cinquantaine de lignes

Définir des livrables socles permettant une appropriation du contenu

A l’issue des groupes de travail, plusieurs livrables ont été produits (schéma n°4). A l’issue des groupes de travail, plusieurs livrables ont été produits (schéma n°3 et 4)

Une fiche synthèse par service : à destination de la direction, ce livrable permet de lister les principaux éléments de fonctionnement (exemple : logiciels utilisés) du service, de formaliser ses capacités d’accueil en cas de défaillance majeure, de préciser les principes d’organisation en mode dégradé etc.
Une cartographie des processus prioritaires: comme indiqué plus haut, ce livrable est un support opérationnel facilitant l’appropriation et la mise à jour par les différents services
Une fiche réflexe : permettant de lister pas à pas les actions à mettre en place en cas de défaillance informatique majeure (exemple : alerter et diffuser l’information dans le service, limiter la diffusion de l’attaque en débranchant tous les équipements connectés etc.)

Cela a permis de proposer à chaque niveau (stratégique et opérationnel) un livrable doté d’informations le concernant avec le juste niveau de détail.

3. Déployer la démarche : s’appuyer sur les contrats de pôle pour généraliser la mise en place d’un PCA

Initiée sur l’année 2023 grâce à l’accompagnement cadencé du cabinet Adopale, la généralisation des Plans de Continuité d’Activité à l’échelle de tous les services du CHRU et des établissements du GHT ne pourra se faire sans une prise de relai en interne. C’est pourquoi la direction a fait le choix de s’appuyer sur les pôles pour déployer cette démarche à grande échelle : début 2024, la définition de PCA a ainsi été intégrée dans les contrats de pôle. Cela a le double avantage de responsabiliser des acteurs terrains sur la problématique, mais aussi de valoriser le temps non négligeable passé sur ce projet.
Les trios de Pôle auront la charge de coordonner la mise en place et le maintien du Plan de Continuité pour l’ensemble des services inclus dans leur périmètre.
Pour ce faire, ils pourront nommer un binôme « médecin – cadre de santé » qui aura la responsabilité de piloter la démarche pour les services du Pôle en sensibilisant les équipes, en veillant à l’actualisation des cartographies et à la mise en œuvre des solutions opérationnelles identifiées (modèle de documents papiers, impression de certaines procédures…) précédemment.
Les pôles en collaboration avec la gouvernance projet auront également la responsabilité de vérifier l’efficacité du PCA en réalisant des exercices de test de manière régulière.

Au vu du périmètre, l’appui des pôles apparait comme essentiel dans le cadre du déploiement et du maintien de la démarche PCA.

Le mot du CHRU de Nancy

« Le développement d’un plan de continuité d’activité en milieu hospitalier, intégré à la démarche Plan Blanc, revêt une importance capitale pour assurer la résilience et la capacité d’adaptation face aux situations d’urgence. Le Centre Hospitalier Régional Universitaire (CHRU) reconnaît l’importance de cette démarche et s’engage à partager son retour d’expérience afin de contribuer à l’amélioration continue des pratiques dans le domaine.

En effet, cette initiative s’inscrit dans une dynamique de progrès national, où de nombreuses propositions méthodologiques émergent pour renforcer la préparation et la réactivité des établissements hospitaliers. En partageant nos connaissances, nos réussites et nos défis rencontrés lors de l’élaboration et de la mise en œuvre de notre plan de continuité d’activité, nous aspirons à catalyser le développement de bonnes pratiques et à favoriser une culture de collaboration et de partage au sein de la communauté hospitalière.

Nous sommes convaincus que cette démarche collaborative et ce partage d’expérience permettront d’œuvrer ensemble vers un objectif commun : renforcer la résilience des établissements hospitaliers face aux crises et assurer la continuité des soins pour garantir la sécurité et le bien-être des patients.

Le CHRU est fier de s’engager dans cette voie et reste ouvert à toute collaboration et échange avec les autres établissements hospitaliers, car ensemble, nous sommes plus forts pour faire face aux défis à venir et assurer la meilleure prise en charge possible des patients, même dans les circonstances les plus difficiles. »

L’Equipe du CHRU de NANCY

- Jean-Christophe CALVO, chef de département territorial de la transformation numérique et de l’ingénierie biomédicale
- Eric GUESNEY, Adjoint honoraire au chef de département territorial de la transformation numérique et de l’ingénierie biomédical, chargé de mission PCA
- Lionel NACE, Directeur médical de crise et chef de pôle des urgences réanimation médicale

L’équipe ADOPALE