Bloc opératoire paralysé, SIH indisponible, urgences saturées, appels des médias et de l’ARS qui s’enchaînent…
C’est ce que vivent de plus en plus de CHU, centres hospitaliers et GHT lors d’attaques informatiques majeures.
Plans, procédures et PCA/PRA sont indispensables, mais le jour où la crise éclate, une question domine :
Les équipes ont-elles déjà vécu ce type de situation, même “pour de faux” ?
C’est exactement le rôle d’un exercice de gestion de crise cyber à l’hôpital :
faire vivre une crise réaliste, dans un cadre sécurisé, pour que la prochaine ne soit plus une découverte.
Pourquoi un exercice de gestion de crise est indispensable pour un hôpital ?
Mieux coordonner les acteurs en situation de tension
Direction, DSI, RSSI, direction des soins, chefs de pôle, DIM, communication, biomédical, logistique…
En temps normal, chacun connaît son périmètre. En crise, tout le monde se retrouve autour de la même table.
Un exercice permet de tester la réactivité de la cellule de crise, clarifier qui décide de quoi, fluidifier les échanges entre métiers et DSI.
Valider les plans et modes dégradés :
Un plan blanc, un PCA/PRA ou des procédures cyber ne valent que s’ils sont connus, compris, applicables sous stress.
L’exercice met donc en lumière les fiches réflexe introuvables, les numéros obsolètes ainsi que les modes dégradés impraticables dans un service de soins.
Réduire l’impact d’une vraie attaque
En s’étant entraînées, les équipes prennent plus rapidement les bonnes décisions, ce qui permet de mieux maintenir les soins en mode dégradé et de limiter les conséquences médicales, organisationnelles et médiatiques d’une attaque pour l’hôpital.
La démarche Phishia, pensée pour les hôpitaux
Phishia a structuré ses exercices autour de quatre phases, adaptées au contexte hospitalier (CHU, CH, GHT).
Phase 1 – Cadrage et conception de l’exercice
Objectif : définir un exercice utile, réaliste et aligné sur les enjeux de l’établissement.
Mise en place d’un groupe projet : direction, DSI/RSSI, direction des soins, qualité/gestion des risques, communication, etc.
Définition des objectifs :
- tester la gestion d’un rançongiciel chiffrant le SIH,
- éprouver le passage en mode dégradé aux urgences,
- valider la communication avec l’ARS et les médias, etc.
Pendant cette phase, Phishia apporte son retour d’expérience sur les incidents réellement rencontrés dans les hôpitaux pour proposer un scénario crédible, ni trop simple ni paralysant.
Phase 2 – Préparation du scénario et des supports
Objectif : construire une crise immersive mais totalement maîtrisée.
Nous rédigeons d’abord un scénario cohérent (par exemple : phishing ciblé → compromission de compte → chiffrement → impact sur les services critiques), puis nous préparons les principales “injections” : mails fictifs (direction, ARS, presse, patients), quelques appels simulés et messages de prestataires ou d’hébergeurs.
Nous produisons enfin les supports essentiels : guide des joueurs, consignes pour les animateurs et grille d’observation.
Tout est préparé pour que, le jour J, l’exercice se déroule sans toucher au SI de production : zéro risque technique pour l’hôpital.
Phase 3 – Conduite de l’exercice avec la cellule de crise hospitalière
Objectif : mettre la cellule de crise dans des conditions aussi proches que possible d’une vraie attaque.
Les rôles :
- Joueurs :
Direction générale, direction médicale, direction des soins, DSI, RSSI, DIM, communication, services critiques, etc.
Ils reçoivent les informations au fil de l’eau et prennent des décisions comme en situation réelle.
- Animateurs Phishia :
Incarner les acteurs externes : ARS, ANSSI, CERT, prestataires, journalistes, patients, etc.
Piloter le déroulé, ajuster le rythme, injecter les informations au bon moment.
- Observateurs :
Noter les réactions, blocages, bonnes pratiques.
Ne participent pas aux décisions.
Le déroulé :
- Création d’une cellule de crise hospitalière (salle, outils, comptes rendus).
- Lancement du scénario : premiers signaux faibles, alertes techniques, appels des services cliniques…
- Montée en pression progressive : les équipes doivent décider de la bascule en mode dégradé, procéder à des arbitrages médicaux, prioriser les applications à restaurer et orchestrer la communication interne comme externe.
Pendant toute la séance, les animateurs Phishia rythment la crise, et les observateurs consignent de façon neutre ce qui se passe réellement.
Phase 4 – Retour d’expérience et plan d’amélioration
On commence par un débriefing à chaud pour recueillir les ressentis des participants : ce qui a bien fonctionné, ce qui a bloqué, et les principaux points de friction.
Puis Phishia mène une analyse à froid du déroulé (cellule de crise, décisions, coordination, mode dégradé) au regard des bonnes pratiques nationales. Cette analyse aboutit à un plan d’action priorisé : mise à jour des procédures, PCA/PRA et plan blanc, amélioration des annuaires et fiches réflexe, et renforcement de la préparation des équipes (sensibilisation, formations ciblées).
L’objectif est clair : qu’après l’exercice, votre hôpital soit significativement mieux préparé qu’avan
Ce que Phishia apporte concrètement à votre hôpital
Vision terrain des crises cyber hospitalières
Nos scénarios sont nourris par des retours d’expérience réels du secteur santé.
Approche pluridisciplinaire
Nous impliquons autant les soignants et la direction que la DSI/RSSI : la crise n’est pas qu’un sujet technique.
Pédagogie et sécurité
L’exercice bouscule les habitudes mais se déroule dans un cadre sécurisé, sans risque pour le SI ni pour les soins en cours.
Lien avec vos autres chantiers
Les enseignements nourrissent directement vos travaux sur le PCA/PRA, la réponse à incident, le programme CaRE, la sensibilisation, etc.
Envie de tester votre cellule de crise avant la prochaine attaque ?
Un exercice bien construit représente quelques heures mobilisées…
Mais le jour où la vraie crise arrive, ces heures peuvent faire la différence entre un hôpital débordé et un hôpital qui garde la maîtrise.
Vous souhaitez :
- organiser un premier exercice de crise cyber dans votre hôpital
- professionnaliser une cellule de crise déjà existante
- bâtir un programme annuel d’exercices à l’échelle d’un GHT
Phishia peut concevoir avec vous un scénario sur mesure, adapté à votre taille, votre organisation et votre niveau de maturité.
