https://vieviewer.com/

Systèmes d'information

Sécurité informatique: les établissements de santé et médico-sociaux toujours pas au niveau

0 388

(Par Raphaël MOREAUX, au 5e congrès annuel de l'Apssis)

LE MANS, 6 avril 2017 (TICsanté) - Les établissements de santé et du médico-social sont, au sein du périmètre du ministère de la santé, "le secteur le plus pauvre en matière de sécurité informatique", a déploré le mardi 4 avril Philippe Loudenot, fonctionnaire de la sécurité des systèmes d'information (FSSI) des ministères sociaux, lors du 5e congrès annuel de l'Association pour la promotion de la sécurité des systèmes d'information (Apssis).

Parmi les 3 "sous-secteurs" du ministère de la santé cités par le FSSI (organismes de sécurité sociale, agences de santé et établissements), les établissements de santé et médico-sociaux occupent "80% de notre temps", a déclaré Philippe Loudenot.

Il a souligné avec euphémisme "un niveau de sécurité qui fait preuve d'une grande marge de progression".

Rattaché au Haut fonctionnaire de défense et de sécurité auprès des ministères chargés des affaires sociales, le FSSI a indiqué avoir traité 1.341 incidents volontairement remontés au ministère par les établissements en 2016.

Un niveau équivalent d'incidents avaient été enregistrés en 2015 via la "chaîne d'alerte" mise en place par le ministère de la santé, rappelle-t-on (voir dépêche du 8 avril 2016). Signalés par les responsables informatiques des établissements, ces incidents ne représentent qu'une petite portion des attaques qui visent le secteur de la santé et du médico-social.

"Les cryptovirus attaquent quasiment chaque jour les systèmes d'information de santé", a regretté Philippe Loudenot. Les cryptovirus sont des virus informatiques de type "rançongiciels" (ramsomware). Ces programmes malveillants procèdent au chiffrement des données stockées sur un poste de travail ou un serveur, réclamant une rançon à l'utilisateur pour qu'il puisse à nouveau y avoir accès.

Le FSSI a également pointé les "mauvaises pratiques qui perdurent" et "font qu'on retrouve des dossiers médicaux sur internet".

Pour relever le niveau de sécurité informatique des établissements, Philippe Loudenot a insisté sur "l'acculturation des directions à avoir". Il a milité en ce sens pour un rattachement direct des postes de référent sécurité du système d'information (RSSI) à la direction générale des structures de soins, alors qu'ils sont en réalité le plus souvent intégrés à la direction du SI (DSI).

"La DSI a encore une vision très parcellaire des systèmes d'informations numériques qui composent un hôpital", a-t-il noté, faisant notamment référence aux appareils biomédicaux, peu intégrés au périmètre des DSI.

Le FSSI a relevé que la politique générale de sécurité des systèmes d'information de santé (PGSSI-S) prévoyait que le RSSI "puisse avoir un point de situation au moins 2 fois par an avec les directeurs centraux".

Profiter de la mutualisation au sein des GHT

Plusieurs actions ont été menées pour relever le niveau de sécurité des établissements de santé, a tenu à rappeler Philippe Loudenot. Il a notamment salué l'impact du programme Hôpital numérique qui a attribué des financements pour la transformation numérique des établissements en fonction de l'atteinte de certains pré-requis informatiques, notamment en matière de sécurité.

Il a également estimé que la création par la loi du 26 janvier 2016 des groupements hospitaliers de territoire (GHT), au sein desquels la fonction informatique doit être mutualisée, était "une bonne occasion de remettre à plat les systèmes et les procédures".

L'élaboration des schémas directeurs des systèmes d'information (SDSI) qui doivent planifier la "convergence" des SI prévue par le décret d'application de la loi relatif aux GHT doivent "donner lieu à des analyses de risque" afin de "voir comment monter le niveau de sécurité numérique", a-t-il poursuivi.

Philippe Loudenot a par ailleurs rappelé la publication d'une instruction en décembre 2016 détaillant un "plan d'action SSI" à engager selon un calendrier d'actions prioritaires afin d'assurer la sécurité des systèmes d'information de santé (voir dépêche du 5 décembre 2016).

En septembre 2016, un décret d'application de la loi de "modernisation de notre système de santé" a renforcé le dispositif d'alerte en cas d'atteintes aux SI des établissements et détaillé les catégories d'incidents devant faire l'objet d'un signalement à l'agence régionale de santé (ARS) compétente, rappelle-t-on (voir dépêche du 19 septembre 2016).

rm/eh/ab

La RĂ©daction
redaction@ticsante.com

http://www.computer-engineering.fr/

Systèmes d'information

Cybersécurité: 18 incidents liés à des rançongiciels dans la santé traités par l'Anssi en 2019

PARIS (TICsanté) - L'Agence nationale de la sécurité des systèmes d'information (Anssi) a traité 18 incidents liés à des rançongiciels dans la santé en 2019, ce qui en fait le secteur le plus touché devant les collectivités territoriales (14 incidents), les services (7) et l'éducation (6), selon un rapport du centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) publié le 29 janvier.

0 773

Systèmes d'information

Cyberattaque: le système d'information du CHU de Rouen "quasiment revenu à la normale"

ROUEN (TICsante) - Victime d’une cyberattaque la semaine dernière, le système d'information (SI) du CHU de Rouen était "quasiment revenu à la normale" mardi 26 novembre, a-t-on appris auprès de la direction de la communication de l'établissement.

0 410
https://www.lacharente.fr/boite-a-outils/emploi/medecin-generaliste/

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
8 + 7 =
http://www.canyon.fr/
https://www.groupepsih.com/decouvrez-hospivision/?utm_source=ticsante&utm_medium=banner&utm_campaign=Hospivison%20juin%2019

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • SIDO 2020

    Du 03/09/2020 au 04/09/2020

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 07/10/2020 au 09/10/2020

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021