Une opération de maintenance est prévue vendredi 14 Aout 2020 entre 12h30 et 13h00. L'accès au site sera interrompu durant cette période. Nous vous remercions pour votre compréhension.

https://vieviewer.com/

Systèmes d'information

Sécurité informatique: publication d'un calendrier d'actions prioritaires pour les établissements de santé

0 399

PARIS, 5 décembre 2016 (TICsanté) - Une instruction détaillant un calendrier d'actions prioritaires pour assurer la sécurité des systèmes d'information des établissements de santé a été mise en ligne le 1er décembre sur le site recensant les circulaires.

Ce "plan d'action SSI", élaboré par la délégation à la stratégie des systèmes d'information de santé (DSSIS) et le secrétariat général des ministères chargés des affaires sociales concerne "les établissements de santé, les laboratoires de biologie médicale, les centres de radiothérapie et les centres d'imagerie et de radiologie publics et privés".

La ministre des affaires sociales et de la santé, Marisol Touraine, avait annoncé la mise en oeuvre de ce plan le 3 octobre aux fédérations hospitalières, dans le cadre d'une réunion de travail portant sur la sécurisation des sites hospitaliers.

Il intervient quelques semaines après la publication d'un décret d'application de la loi du 26 janvier 2016 de "modernisation de notre système de santé", qui a renforcé le dispositif d'alerte en cas d'atteintes aux SI des établissements (voir dépêche du 19 septembre 2016).

En préambule de l'instruction, le ministère dresse un bref état des lieux sur les incidents liés à la sécurité des systèmes d'information, s'appuyant sur l'analyse de l'éditeur de logiciels d'antivirus Symantec selon lequel "la France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique", tandis que les attaques se concentrent sur "le domaine particulièrement sensible et rentable de la santé", notamment par le biais de "rançongiciels" (ransomware).

"Les incidents liés à la sécurité des systèmes d'information peuvent avoir un impact direct sur la sécurité des soins. Ils peuvent également avoir, comme ailleurs, un impact économique. Leur traitement est donc une priorité pour les pouvoirs publics et pour tous les producteurs de soins", souligne le ministère.

Des mesures Ă  mettre en oeuvre d'ici juin 2017 Ă  juin 2018

Après un rappel de la réglementation applicable, le ministère présente les objectifs du plan d'action, précise le rôle des agences régionales de santé (ARS), avant de détailler en annexe les mesures à mettre en place selon une échelle de priorité à trois niveaux en fonction de l'échéance retenue (niveau 1, six mois; niveau 2, 12 mois; niveau 3, 18 mois), soit d'ici début juin 2017 à juin 2018.

Niveau de priorité
Mesures
Priorité 1 (six mois)
  • prise en charge de la fonction sĂ©curitĂ© des systèmes d'information par la direction (Ă©ventuellement mutualisĂ©e dans un GHT)
  • mise en oeuvre d'une charte utilisateur
  • rĂ©alisation d'une cartographie des ressources informatiques (postes de travail, serveurs, Ă©quipements actifs, Ă©quipements biomĂ©dicaux)
  • Ă©tablissement d'une procĂ©dure de signalement et de traitement des incidents de sĂ©curitĂ© SI
  • Ă©quipement de tous les postes de travail par un antivirus
  • sĂ©curisation des comptes par mots de passe robustes et renouvelĂ©s pĂ©riodiquement
  • mise en oeuvre de sauvegardes rĂ©gulièrement testĂ©es
Priorité 2 (12 mois)
  • Ă©tablissement d'une procĂ©dure formelle d'apprĂ©ciation du risque avant toute mise en production d'un SI (homologation)
  • mise Ă  jour rĂ©gulière des systèmes d'exploitation
  • organisation du maintien en conditions de sĂ©curitĂ© de l'ensemble des systèmes numĂ©riques (mises Ă  jour des Ă©diteurs et constructeurs)
  • identification et protection de tous les accès Ă  internet et de tĂ©lĂ©maintenance
  • sĂ©curisation du wifi, sĂ©paration des rĂ©seaux professionnels et des rĂ©seaux invitĂ©s
  • mise en oeuvre d'une gestion des comptes utilisateurs avec profils et droits diffĂ©renciĂ©s (utilisateur, prestataire, administrateur)
  • identification des actions de formation SSI et actions de sensibilisation dans le plan de formation annuel des personnels
Priorité 3 (18 mois)
  • cloisonnement du rĂ©seau de la structure par grandes familles d'usage (administration, paie, plateau technique…) et par niveaux de sĂ©curitĂ© homogènes
  • dĂ©finition des modalitĂ©s d'enregistrement et d'analyse des traces d'accès
  • encadrement contractuel de tous les accès par des prestataires au rĂ©seau de la structure et vĂ©rification des clauses de rĂ©versibilitĂ©
  • rĂ©alisation et tenue Ă  jour d'une analyse de risque SI de la structure, avec dĂ©finition et mise en oeuvre du plan d'action associĂ©
  • engagement de la direction sur la rĂ©duction d'un nombre limitĂ© de risques chaque annĂ©e

Instruction n°SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en oeuvre du plan d'action sur la sécurité des systèmes d'information ("Plan d'action SSI") dans les établissements et services concernés

vg/eh/ab

La RĂ©daction
redaction@ticsante.com

http://www.computer-engineering.fr/

Systèmes d'information

Nantes: l'hôpital du Confluent ciblé par une série d'attaques informatiques

NANTES (TICsanté) - L’Hôpital privé du Confluent de Nantes a été touché par quatre attaques informatiques entre le 14 mai et le 9 juillet 2019 "sous la forme d'une campagne de mails frauduleux adressés aux salariés du groupe et notamment à destination des utilisateurs d'Apicrypt", a expliqué à TICsanté Rémi Menanteau, directeur adjoint des systèmes d’information et responsable sécurité des systèmes d’information (RSSI) du groupe Confluent.

0 1485

Systèmes d'information

Le groupe Ramsay-Générale de santé victime d'une cyberattaque

PARIS (TICsanté) - Ramsay-Générale de santé (RGdS) a fait l'objet depuis le 10 août d'une cyberattaque qui touche ses 120 établissements de santé en France, a appris APMnews (site du groupe APM International dont fait partie TICsanté), auprès du groupe de cliniques.

0 814

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
4 + 2 =
http://www.canyon.fr/
https://openbi.org/

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • VPH 2020

    Du 24/08/2020 au 28/08/2020

  • SIDO 2020

    Du 03/09/2020 au 04/09/2020

  • JournĂ©e En avant la e-santĂ© 2020

    Le 22/09/2020

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 07/10/2020 au 09/10/2020

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021

https://vph2020.sciencesconf.org