http://www.computer-engineering.fr
06/07/2018   Envoyer par mail Imprimer   Aucun commentaire
Pour commenter cette dépêche Identifiez-vous

Des progrès dans la sécurité informatique des établissements de santé (enquête Clusif)

PARIS, 6 juillet 2018 (TICsanté) - La prise en compte de la cybersécurité progresse dans les établissements de santé, avec près de 92% des structures ayant formalisé une politique de sécurité du système d'information (PSSI) et "une croissance forte" de la fonction de responsable de la sécurité informatique (RSSI), montre une enquête du Club de la sécurité de l'information français (Clusif) publiée le 26 juin.

Réalisée tous les deux ans auprès d'acteurs de secteurs d'activités variés, l'enquête du Clusif intitulée "Menaces informatiques et pratiques de sécurité en France" (Mips) comprend en 2018 un volet consacré aux hôpitaux publics et structures d'hébergement médicalisé de plus de 100 lits.

La précédente étude du Club sur le secteur de la santé remonte à 2014 et comprenait uniquement les établissements hospitaliers de plus de 200 lits, rappelle-t-on.

Parmi les résultats de l'édition 2018 de l'enquête, menée auprès de 127 hôpitaux et 24 structures d'hébergement médicalisé, le Clusif souligne une "croissance spectaculaire" du nombre d'établissements ayant formalisé leur PSSI, passé de 50% en 2014 à 92% cette année.

"Beaucoup d'établissements ont effectué un inventaire au moins partiel de leurs risques, et ont déduit un plan de réduction de ces risques", poursuit le Clusif.

Pour gérer le risque informatique, la fonction de RSSI "devient un 'vrai métier' exercé à temps plein dans presque un établissement sur deux", un chiffre qui a doublé en quatre ans, note le Club dans son enquête.

On note aussi que 60% des établissements ont mis en place un programme de sensibilisation à la sécurité de l'information auprès des professionnels, contre seulement 30% en 2014.

Cette prise en compte de la cybersécurité se traduit dans les budgets des établissements de santé. Pour un tiers des structures interrogées dans l'enquête du Clusif, le budget pour la sécurité de l'information est en augmentation.

Cependant, les marges de progrès du secteur de la santé sur la cybersécurité restent importantes. Les outils cryptographiques sont "largement sous-exploités" avec une part moyenne de 40% des établissements ayant recours à ces procédés de protection des données personnelles.

"Il faut noter que le secteur de la santé a un taux d'appropriation de la cryptographie supérieur de 10 points à celui des entreprises", note toutefois le Clusif.

Par ailleurs, 81% des répondants à l'enquête se disent incapables de bien évaluer les coûts liés à la sécurité informatique, et seulement un tiers des établissements font une analyse de l'impact financier des incidents.

Les freins à la conduite des missions de sécurité du système d'information restent les mêmes que ceux observés en 2014 avec un manque de budget cité par 52% des répondants, et un manque de personnel qualifié (43%).

Protection des outils en mobilité

L'enquête du Clusif constate "une très nette priorité à la protection des outils de mobilité" dans les établissements de santé, en lien avec des usages de plus en plus nomades.

Elle se concrétise par une hausse du recours aux outils de chiffrement sur les dispositifs mobiles (de 4% en 2014 à 12% en 2018), et par le développement des pare-feux sur ces outils (de 11% à 31%).

Le Clusif note une "augmentation significative" du nombre d'établissements de santé effectuant de la veille en vulnérabilité, même si seule la moitié des répondants formalise des procédures de déploiement de correctifs de sécurité.

Il observe également une "explosion" des pratiques de filtrage des accès internet, qui concernaient environ 14% des établissements en 2010, contre 75% en 2018.

Virus informatiques et pannes internes comme principaux incidents

Dans la partie de son enquête consacrée à la gestion des incidents informatiques, le Clusif souligne que les deux principaux types d'incidents touchant les établissements sont les infections par virus et les pannes d'origine interne entraînant l'indisponibilité du système d'information, toutes deux rencontrées par environ 40% des répondants.

Le Clusif s'étonne d'une telle proportion des pannes d'origine interne "étant donné la fiabilité des architectures virtualisées". Cela pourrait s'expliquer par une mauvaise gestion des changements de logiciels, de matériels et d'organisation.

On relève que, malgré une augmentation continue ces dernières années, la part des actes de chantage ou d'extorsion informatique reste limitée à 5% des répondants, alors que les incidents liés aux erreurs de conception ou de mise en oeuvre des logiciels ou aux erreurs d'utilisation de ces derniers sont une réalité pour un tiers des établissements.

Le Clusif salue cependant un "recul global de la sinistralité" et du nombre d'incidents informatiques affectant le secteur de la santé, avec en moyenne "deux à trois fois moins d'incidents qu'en 2014", soit environ deux incidents par an et par établissement.

Parmi ces incidents, une part de 75% est résolue en moins de 24h, et 16% entre 24h et trois jours.

Enquête 2018 "Menaces informatiques et pratiques de sécurité en France" du Clusif

rm/nc

Partagez cet article

Les dépêches liées à cette information
https://www.groupepsih.com/
http://www.web100t.fr
http://www.ticsante.com/show.php?page=inscription