Un service proposé par APM International
https://www.groupepsih.com/nous-rejoindre/?utm_source=ticsante&utm_medium=banner&utm_campaign=recrutement
https://www.enovacom.fr/enovacom-patient-server-identifiant-patient-unique-etablissements-dun-ght.html?utm_source=ticsante&utm_medium=banner
http://www.computer-engineering.fr
http://engage.nuance.fr/lettre-de-liaison-J-0?cid=7010W000001yqSLQAY&ls=website&rs=tiscante&offer=TAT_Compliance&ot=eBook
28/03/2017   Envoyer par mail Imprimer   Aucun commentaire
Pour commenter cette dépêche Identifiez-vous

GHT: une "vraie chance" pour la sécurité des systèmes d'information hospitaliers (Apssis)

DUNEAU (Sarthe), 28 mars 2017 (TICsanté) - La mutualisation de l'informatique au sein des groupements hospitaliers de territoire (GHT) constitue "une vraie chance" pour les établissements de "réellement disposer" d'un responsable de la sécurité des systèmes d'information (RSSI), a observé Vincent Trely, président de l'Association pour la promotion de la sécurité des systèmes d'information en santé (Apssis), dans un entretien accordé à TICsanté.

A quelques jours du 5ème congrès annuel de l'Apssis qui aura lieu du mardi 4 au jeudi 6 avril au Mans, Vincent Trely s'est dit "optimiste" sur la montée en compétence des établissements de santé face aux risques d'attaques informatiques.

Le programme Hôpital numérique "a donné une impulsion" au sujet en exigeant des hôpitaux qu'ils se dotent d'une politique de sécurité des systèmes d'information (PSSI) et d'un référent sécurité, a-t-il estimé.

Il a pointé les avantages de la mutualisation des compétences dans les GHT. "On part d'une réalité où pour 1.200 établissements, on avait une trentaine de RSSI, principalement positionnés dans les CHU. Avec 135 GHT, on ouvre la possibilité d'avoir autant de RSSI qui rayonnent depuis l'établissement support et apportent un soutien aux parties du GHT", a-t-il observé.

"C'est peut-être inutile et trop cher pour un hôpital de 250 lits d'avoir un RSSI à temps plein: la mutualisation a du sens", a-t-il ajouté.

Vincent Trely a insisté sur l'importance du positionnement hiérarchique du RSSI "qui doit garder une forme d'indépendance" tout en ayant "la légitimité pour faire appliquer les règles de sécurité informatique".

La première conférence du congrès annuel de l'Apssis portera le 4 avril sur cette question du positionnement et des "réalités opérationnelles du RSSI de GHT". Les interventions du fonctionnaire de sécurité des SI (FSSI) des ministères sociaux, Philippe Loudenot, et des RSSI du CH Saint-Flour (Cantal), du GHT Armor et du groupement de coopération sanitaire francilien Sesan (GCS Sesan) y sont annoncées.

Vers un "quinquennat de la maturité"

Pour Vincent Trely, le quinquennat de la période 2012-2017 a été "celui de la découverte et de la professionnalisation", sur les enjeux de sécurité des SI de santé. Celui qui s'ouvre en 2017 doit être "celui de la maturité", a-t-il défendu.

"Il y a eu une montée en compétences des équipes hospitalières et des éditeurs antiviraux sur les cryptovirus qui ont fait beaucoup de mal depuis 2015 à tout l'écosystème santé", a-t-il relevé.

Ces programmes également appelés "rançongiciels" (ramsomwares) procèdent au chiffrement des données stockées sur un poste de travail ou un serveur, réclamant une rançon à l'utilisateur pour qu'il puisse à nouveau y avoir accès (voir dépêche du 8 avril 2016).

"En cinq ans, tous les établissements se dont dotés de documents de politique de sécurité des SI, plus ou moins avancés, et les autorités comme la Haute autorité de santé ont intégré beaucoup de critères de sécurité dans leurs audits et certifications", a poursuivi Vincent Trelly.

L'encadrement réglementaire a lui aussi évolué, avec la mise en place d'un processus de remontée des incidents informatiques aux agences régionales de santé (ARS) et aux administrations centrales (voir dépêche du 19 septembre 2016).

Selon Vincent Trely, ce décret devrait être précisé d'ici la fin de l'année 2017 par un autre texte, et une plateforme de déclaration des incidents devrait être développée.

Pression sur le management

Ces évolutions règlementaires et la multiplication des exemples d'attaques informatiques contre des établissements de santé "a fait monter la pression sur les corps intermédiaires et managériaux", a estimé le président de l'Apssis.

Il a reconnu qu'il restait "à développer davantage la culture du numérique" et à "transformer les mentalités", tout en soulignant "une prise de conscience", notamment du corps médical qui "intègre de plus en plus les règles de sécurité informatique".

L'engagement des directions générales et des présidences de commission médicale d'établissement (CME)est "indispensable" pour une "réelle prise en compte du sujet sécurité", a-t-il appuyé. Il s'est félicité sur ce point de la présence "exceptionnelle" au 5ème congrès de l'Apssis de deux directions générales de CHU (Yann Bubien du CHU d'Angers et Véronique Anatole-Touzet du CHU de Rennes).

Un soutien d'autant plus indispensable que la donnée de santé n'a jamais été aussi valorisée sur le "Dark web" (partie du web invisible depuis les moteurs de recherche classique), avec un cours du dossier médical "aux alentours de 60 euros en ce moment", a indiqué Vincent Trelly.

Il a observé qu'on pouvait trouver sur ces réseaux parallèles "de plus en plus de documents à vendre: des arrêts maladie, des transcriptions médicamenteuses ou des bases de données de patients".

Consulter le programme du 5ème congrès de l'Apssis

Partagez cet article

Les dépêches liées à cette information
http://www.web100t.fr
https://global.agfahealthcare.com/france/recrutement/
http://www.ticsante.com/show.php?page=inscription