Un service proposé par APM International
http://bit.ly/TIC-mobile-gratuit
https://global.agfahealthcare.com/france/
http://www.computer-engineering.fr
http://engage.nuance.fr/lettre-de-liaison-J-0?cid=7010W000001yqSLQAY&ls=website&rs=tiscante&offer=TAT_Compliance&ot=eBook
02/10/2017   Envoyer par mail Imprimer   Aucun commentaire
Pour commenter cette dépêche Identifiez-vous

Le pilotage de la sécurité informatique du secteur de la santé en pleine mue

(Par Raphaël MOREAUX)

PARIS, 2 octobre 2017 (TICsanté) - L'obligation faite aux établissements de santé de signaler les incidents informatiques à leur tutelle à compter du 1er octobre et la création d'un comité de maîtrise des risques numériques dans les ministères sociaux marquent "une prise de conscience de plus en plus forte" de la sécurité informatique, ont témoigné auprès de TICsanté leur directrice informatique, Hélène Brisset, et le fonctionnaire de la sécurité des systèmes d'information (FSSI), Philippe Loudenot.

"Il y a une vraie augmentation de la menace informatique avec des attaques de plus en plus ciblées. Nous faisons en sorte de nous tenir prêts pour sortir intacts de ces attaques, ou pour en limiter l'impact", a assuré Hélène Brisset, faisant notamment référence à l'attaque au rançongiciel qui a paralysé des dizaines d'hôpitaux britanniques en mai (voir dépêche du 16 mai 2017).

La stratégie de gestion du risque informatique dans la santé a connu d'importants changements ces derniers mois, sous l'effet de plusieurs textes législatifs et réglementaires, rappelle-t-on.

Un décret d'application de la loi de modernisation de notre système de santé publié en septembre 2016 a rendu obligatoire la déclaration des incidents les plus graves affectant les systèmes d'information des établissements et services de santé (laboratoires de biologie médicale, centres de radiothérapie, etc.) aux agences régionales de santé (ARS) (voir dépêche du 19 septembre 2016).

"Ce nouveau mécanisme de signalement prendra effet le [dimanche] 1er octobre et constitue une grosse nouveauté. Nous sommes le seul secteur ministériel, hormis les télécommunications, à avoir cette exigence aujourd'hui", a fait valoir Philippe Loudenot.

Il existait déjà un mécanisme de remontée des incidents touchant les établissements de santé, mais il fonctionnait sur la base du volontariat, a rappelé le FSSI. Il a indiqué à TICsanté avoir reçu 1.341 signalements d'incidents via ce canal en 2016.

Mais ce dispositif a rapidement été confronté au manque de moyens de l'administration pour traiter les incidents. "Nous sommes trois dans mon service pour gérer l'ensemble des incidents du monde de la santé, du travail, des sports et d'une partie de l'éducation nationale. Au niveau santé, cela représente déjà des milliers d'établissements. Il n'était pas raisonnable de continuer comme ça", a expliqué Philippe Loudenot.

"Industrialiser" la remontée d'incidents

Dorénavant, la remontée des incidents informatiques se fera directement depuis le portail de signalement des évènements indésirables (voir dépêche du 15 mars 2017), sur lequel a été créé un formulaire spécifique pour les attaques contre les systèmes d'information.

Une cellule de l'Agence des systèmes d'information partagés de santé (Asip santé) sera chargée d'aider les établissements à répondre aux incidents jugés "graves et significatifs" (voir dépêche du 8 juin 2017).

"Nous allons aussi travailler en étroite collaboration avec l'Anssi [Agence nationale de la sécurité des systèmes d'information] dans les cas les plus graves, et avec l'ANSM [Agence nationale de sécurité du médicament et des produits de santé] sur la sécurité des dispositifs médicaux", a détaillé Philippe Loudenot.

Cette "industrialisation" de la remontée d'informations sur les attaques informatiques va permettre au ministère de "capitaliser sur ces incidents pour affiner nos fiches d'informations et de bonnes pratiques", a-t-il poursuivi.

Elle permettra aussi de venir en appui des établissements de santé, "notamment des plus petites structures qui n'ont pas d'informaticien" afin de "discuter d'une seule voix vis-à-vis des fournisseurs" de logiciels pour les amener à mettre à jour leurs outils.

Textes européens et plan d'action national

Le FSSI a également noté que d'autres textes allaient avoir un impact sur la gestion de la sécurité informatique, à l'instar du règlement européen relatif à la protection des données personnelles qui entrera en vigueur le 25 mai 2018 (voir dépêche du 13 mai 2016) et de la directive européenne NIS (Network and Information Security) qui définit les établissements de santé comme des "opérateurs de services essentiels" (voir dépêche du 23 août 2016).

La transposition de la directive dans le droit français fait actuellement l'objet de travaux à l'Anssi, a indiqué Philippe Loudenot.

A l'échelle nationale, une instruction de la délégation à la stratégie des systèmes d'information de santé (DSSIS) publiée fin 2016 a détaillé un calendrier d'actions prioritaires pour assurer la sécurité informatique des établissements et structures de santé (voir dépêche du 5 décembre 2016).

Les laboratoires d'analyse font partie des secteurs "les plus pro-actifs" pour mettre en oeuvre ce plan d'action, a constaté le FSSI, chargé du suivi de ce plan d'action avec les ARS. "Une des difficultés porte aujourd'hui sur la dette technique des structures qui ont un parc applicatif ancien, beaucoup plus cher à entretenir", a-t-il ajouté.

Une instruction a par ailleurs précisé les mesures à mettre en oeuvre par les établissements et services sociaux et médico-sociaux (ESMS) en matière de sécurité, notamment informatique (voir dépêche du 16 août 2017).

Une stratégie pour les administrations centrales et déconcentrées

Dernier acte de l'évolution de la gestion de la sécurité informatique en santé: la création, par un arrêté publié le 15 septembre 2017, d'un comité de maîtrise des risques numériques au sein du secrétariat général des ministères sociaux (voir dépêche du 20 septembre 2017).

La première réunion de ce comité a eu lieu mardi 26 septembre. La DSI des ministères sociaux, Hélène Brisset, et le haut fonctionnaire adjoint de défense et de sécurité des ministères, Arnaud Martin, copilotent ce comité.

Le périmètre couvert concerne uniquement les systèmes d'information des administrations centrales et déconcentrées des ministères sociaux. "Il s'agit de faire progressivement monter le niveau de sécurité de l'informatique mise à disposition en interne", a expliqué Philippe Loudenot, qui fait aussi partie du comité.

Les directions administratives du ministère de la santé (DGOS, DGS, DSS etc.) sont donc directement visées.

Du côté des ARS, dont un représentant prend part aux réunions du comité de maîtrise des risques numériques, cela concerne essentiellement les outils informatiques mis à disposition de l'ensemble des agences par le ministère de la santé, et non pas les projets locaux, ou les systèmes d'information ouverts vers les professionnels de santé, hospitaliers ou de ville.

L'ordre du jour de la première réunion du comité comprenait le lancement d'une cartographie des risques des systèmes concernés, et la revue des "principales actions stratégiques à mettre en place côté directions métiers et DSI", a expliqué Hélène Brisset à TICsanté.

"Quelles sont les applications critiques ? Les points des fragilités ? Et quelles sont les priorités à traiter ?", a-t-elle résumé, jugeant "qu'un véritable mouvement de fond a été amorcé" sur la sécurité informatique en santé.

rm/eh/ab

Partagez cet article

http://www.canyon.fr/
Les dépêches liées à cette information
https://www.parishealthcareweek.com/visiter/obtenez-badge-visiteur/?utm_source=BAN&utm_medium=NL&utm_campaign=BUZZ%20MEDECIN?utm_source=BAN&utm_medium=WEB&utm_campaign=TIC
https://www.groupepsih.com/2018/04/18/paris-healthcare-week-groupe-psih-donne-rendez-stand-o48/?utm_source=website&utm_medium=banner&utm_campaign=phw2018
http://www.web100t.fr
http://www.ticsante.com/show.php?page=inscription
http://www.asipsante-event.fr
http://www.vieviewer.com/
http://www.axigate-france.fr/axigate-reflex/
Les offres




Les offres d'emploi
Agenda
Forum derm@to.connecté
Le 17/05/2018
Paris Healthcare Week 2018
Du 29/05/2018 au 31/05/2018
E-healthworld Monaco 2018
Du 31/05/2018 au 01/06/2018
Université d'été de l'e-santé
Du 03/07/2018 au 05/07/2018