http://www.computer-engineering.fr
16/08/2017   Envoyer par mail Imprimer   Aucun commentaire
Pour commenter cette dépêche Identifiez-vous

Médico-social: une circulaire détaille les actions "essentielles" pour sécuriser le système d'information des établissements

PARIS, 16 août 2017 (TICsanté) - Une instruction mise en ligne fin juillet sur le site circulaire.legifrance.gouv.fr précise les mesures dont l'application s'avère "essentielle" pour assurer la sécurité des systèmes d'information (SI) des établissements et services sociaux et médico-sociaux (ESSMS) "dans un contexte marqué par la recrudescence des malveillances informatiques".

L'instruction datée du 4 juillet vise à "développer une politique globale de sécurité" des ESSMS. "Dans ce cadre, avant la fin de l'année 2017, chaque directeur d'ESSMS devra, en fonction des spécificités de sa structure (taille, environnement, configuration des locaux, type de population prise en charge…), soit actualiser son règlement de fonctionnement afin d'y intégrer les mesures de sécurité adéquates, soit élaborer une fiche de sécurité qui sera annexée au règlement de fonctionnement", précise-t-elle.

L'annexe n°1 de l'instruction détaille parmi "les lignes directrices pour l'élaboration d'une fiche de sécurité" les mesures spécifiques à la sécurité des SI des ESSMS.

Elle rappelle que "les cyberattaques menées contre des systèmes d'information insuffisamment protégés entraînent des conséquences financières, de temps passé et de gêne professionnelle très élevées", et cite notamment l'exemple des ramsomwares, ou rançongiciels, logiciels informatiques malveillants chiffrant et bloquant les fichiers contenus sur un ordinateur et exigeant une rançon en l'échange de la clé de déchiffrement.

"La transformation numérique rapide du secteur social et médico-social nécessite de tenir compte de ces nouveaux risques", est-il souligné.

Pour se prémunir des attaques, l'annexe liste une série de mesures de sécurité à mettre en place, parmi lesquelles figurent:

  • la mise à jour régulière des logiciels
  • l'équipement des ordinateurs en logiciels antivirus et leur protection par un pare-feu
  • la sauvegarde des informations, au minimum hebdomadaire, avec une conservation des sauvegardes mensuelles sur 12 mois glissants, et la conservation d'une copie sécurisée dans un lieu différent
  • le verrouillage des sessions de travail sur ordinateur de façon automatique au bout d'un temps d'inactivité, à adapter à l'organisation du travail
  • le recours à des mots de passe individuels, changés régulièrement, d'au moins 10 caractères mêlant chiffres, lettres et caractères spéciaux
  • l'élaboration d'une mode de fonctionnement dégradé dans le cadre du plan de continuité d'activité
  • la sensibilisation des personnels aux bonnes pratiques d'hygiène informatique
  • la mise en oeuvre, à destination des personnels, d'une "politique d'utilisation acceptable" concernant la navigation sur internet (messageries électroniques, salons de discussion, réseaux sociaux, sites marchands, sites de téléchargement, etc.)

La circulaire cite plusieurs guides et référentiels à consulter pour la mise en oeuvre de mesures de sécurité informatique dans les ESSMS, parmi lesquels les guides de bonnes pratiques et d'hygiène informatique publiés par l'Agence nationale de la sécurité des systèmes d'information (Anssi) (voir brève du 1er janvier 2017).

Elle renvoie également à la politique générale de sécurité des systèmes d'information de santé (PGSSI-S), à l'arrêté du 1er octobre 2015 portant approbation de la politique de sécurité des systèmes d'information pour les ministères chargés des affaires sociales (PSSI MCAS) (voir dépêche du 19 octobre 2015) et à l'instruction du 14 octobre 2016 relative à la mise en oeuvre du plan d'action SSI (voir dépêche du 5 décembre 2016).

Instruction n°SG/HFDS/DGCS/2017/219 du 4 juillet 2017 relative aux mesures de sécurisation dans les établissements et services sociaux et médico-sociaux

rm/ab

Partagez cet article

Les dépêches liées à cette information
https://www.groupepsih.com/
http://www.web100t.fr
http://www.ticsante.com/show.php?page=inscription