Un service proposé par APM International
http://bit.ly/TIC-mobile-gratuit
https://global.agfahealthcare.com/france/
http://www.computer-engineering.fr
http://engage.nuance.fr/lettre-de-liaison-J-0?cid=7010W000001yqSLQAY&ls=website&rs=tiscante&offer=TAT_Compliance&ot=eBook
06/04/2017   Envoyer par mail Imprimer   Aucun commentaire
Pour commenter cette dépêche Identifiez-vous

Sécurité informatique: les établissements de santé et médico-sociaux toujours pas au niveau

(Par Raphaël MOREAUX, au 5e congrès annuel de l'Apssis)

LE MANS, 6 avril 2017 (TICsanté) - Les établissements de santé et du médico-social sont, au sein du périmètre du ministère de la santé, "le secteur le plus pauvre en matière de sécurité informatique", a déploré le mardi 4 avril Philippe Loudenot, fonctionnaire de la sécurité des systèmes d'information (FSSI) des ministères sociaux, lors du 5e congrès annuel de l'Association pour la promotion de la sécurité des systèmes d'information (Apssis).

Parmi les 3 "sous-secteurs" du ministère de la santé cités par le FSSI (organismes de sécurité sociale, agences de santé et établissements), les établissements de santé et médico-sociaux occupent "80% de notre temps", a déclaré Philippe Loudenot.

Il a souligné avec euphémisme "un niveau de sécurité qui fait preuve d'une grande marge de progression".

Rattaché au Haut fonctionnaire de défense et de sécurité auprès des ministères chargés des affaires sociales, le FSSI a indiqué avoir traité 1.341 incidents volontairement remontés au ministère par les établissements en 2016.

Un niveau équivalent d'incidents avaient été enregistrés en 2015 via la "chaîne d'alerte" mise en place par le ministère de la santé, rappelle-t-on (voir dépêche du 8 avril 2016). Signalés par les responsables informatiques des établissements, ces incidents ne représentent qu'une petite portion des attaques qui visent le secteur de la santé et du médico-social.

"Les cryptovirus attaquent quasiment chaque jour les systèmes d'information de santé", a regretté Philippe Loudenot. Les cryptovirus sont des virus informatiques de type "rançongiciels" (ramsomware). Ces programmes malveillants procèdent au chiffrement des données stockées sur un poste de travail ou un serveur, réclamant une rançon à l'utilisateur pour qu'il puisse à nouveau y avoir accès.

Le FSSI a également pointé les "mauvaises pratiques qui perdurent" et "font qu'on retrouve des dossiers médicaux sur internet".

Pour relever le niveau de sécurité informatique des établissements, Philippe Loudenot a insisté sur "l'acculturation des directions à avoir". Il a milité en ce sens pour un rattachement direct des postes de référent sécurité du système d'information (RSSI) à la direction générale des structures de soins, alors qu'ils sont en réalité le plus souvent intégrés à la direction du SI (DSI).

"La DSI a encore une vision très parcellaire des systèmes d'informations numériques qui composent un hôpital", a-t-il noté, faisant notamment référence aux appareils biomédicaux, peu intégrés au périmètre des DSI.

Le FSSI a relevé que la politique générale de sécurité des systèmes d'information de santé (PGSSI-S) prévoyait que le RSSI "puisse avoir un point de situation au moins 2 fois par an avec les directeurs centraux".

Profiter de la mutualisation au sein des GHT

Plusieurs actions ont été menées pour relever le niveau de sécurité des établissements de santé, a tenu à rappeler Philippe Loudenot. Il a notamment salué l'impact du programme Hôpital numérique qui a attribué des financements pour la transformation numérique des établissements en fonction de l'atteinte de certains pré-requis informatiques, notamment en matière de sécurité.

Il a également estimé que la création par la loi du 26 janvier 2016 des groupements hospitaliers de territoire (GHT), au sein desquels la fonction informatique doit être mutualisée, était "une bonne occasion de remettre à plat les systèmes et les procédures".

L'élaboration des schémas directeurs des systèmes d'information (SDSI) qui doivent planifier la "convergence" des SI prévue par le décret d'application de la loi relatif aux GHT doivent "donner lieu à des analyses de risque" afin de "voir comment monter le niveau de sécurité numérique", a-t-il poursuivi.

Philippe Loudenot a par ailleurs rappelé la publication d'une instruction en décembre 2016 détaillant un "plan d'action SSI" à engager selon un calendrier d'actions prioritaires afin d'assurer la sécurité des systèmes d'information de santé (voir dépêche du 5 décembre 2016).

En septembre 2016, un décret d'application de la loi de "modernisation de notre système de santé" a renforcé le dispositif d'alerte en cas d'atteintes aux SI des établissements et détaillé les catégories d'incidents devant faire l'objet d'un signalement à l'agence régionale de santé (ARS) compétente, rappelle-t-on (voir dépêche du 19 septembre 2016).

rm/eh/ab

Partagez cet article

http://www.canyon.fr/
Les dépêches liées à cette information
https://www.parishealthcareweek.com/visiter/obtenez-badge-visiteur/?utm_source=BAN&utm_medium=NL&utm_campaign=BUZZ%20MEDECIN?utm_source=BAN&utm_medium=WEB&utm_campaign=TIC
https://www.groupepsih.com/2018/04/18/paris-healthcare-week-groupe-psih-donne-rendez-stand-o48/?utm_source=website&utm_medium=banner&utm_campaign=phw2018
http://www.web100t.fr
http://www.ticsante.com/show.php?page=inscription
http://www.asipsante-event.fr
http://www.vieviewer.com/
http://www.axigate-france.fr/axigate-reflex/
Les offres




Les offres d'emploi
Agenda
Forum derm@to.connecté
Le 17/05/2018
Paris Healthcare Week 2018
Du 29/05/2018 au 31/05/2018
E-healthworld Monaco 2018
Du 31/05/2018 au 01/06/2018
Université d'été de l'e-santé
Du 03/07/2018 au 05/07/2018