https://vieviewer.com/

Systèmes d'information

La sécurité informatique des hôpitaux nécessite une gouvernance "renforcée"

0 275

(Par Raphaël MOREAUX, au 5e congrès annuel de l'Apssis)

LE MANS, 7 avril 2017 (APMnews) - Plusieurs directeurs généraux de centres hospitaliers et de CHU ont témoigné le 5 avril de l'importance de mettre en place une gouvernance "renforcée" et un plan d'actions pour la sécurité informatique au sein des établissements de santé, à l'occasion du 5e congrès annuel de l'Association pour la sécurité des systèmes d'information de santé (Apssis).

Le directeur du CH de Moulins-Yzeure, Pierre Thépot, la directrice générale (DG) du CHU de Rennes, Véronique Anatole-Touzet, et le DG du CHU d'Angers, Yann Bubien, ont tous souligné la nécessaire sensibilisation des directions générales et des équipes médicales des établissements à la question de la sécurité informatique.

"Comme la sécurité des biens, des personnes ou la sécurité incendie, la sécurité informatique doit être inscrite dans le projet global de sécurité des établissements", a soutenu Yann Bubien, estimant qu'une meilleure prise en compte du sujet était "affaire de conviction, de génération et d'action".

Pour permettre cette "prise de conscience" par les équipes travaillant au sein d'un établissement, Pierre Thépot a insisté sur la nécessité d'"institutionnaliser" la question en mettant en place "un système de gouvernance" et un rendez-vous "au moins biannuel entre le responsable de la sécurité des systèmes d'information (RSSI) et la direction générale".

"La première chose Ă  faire en tant que directeur gĂ©nĂ©ral c'est de voir la vĂ©ritĂ© en face et de faire le point avec le RSSI: quelles attaques visent le système d'information et quelles sont les vulnĂ©rabilitĂ©s du système ?", a-t-il poursuivi.

Il a également défendu la mise en place de chartes à faire signer par les personnels au sein des groupements hospitaliers de territoire (GHT) pour les sensibiliser aux meilleurs comportements en matière de sécurité informatique.

Pour la DG du CHU de Rennes, Véronique Anatole-Touzet, "la sécurité informatique fait partie de nos responsabilités managériales", et les directions générales doivent en faire "une priorité stratégique" du fait de ses multiples enjeux en termes de qualité des soins, de recherche, et d'image de l'hôpital dans un contexte où le numérique prend une place croissante dans les établissements de santé.

Cela veut dire pour elle "avoir une organisation dédiée" au sujet avec des "ressources identifiées et connues de tous en interne et en externe". Cela passe également par la réalisation d'un état des lieux de la sécurité avec l'élaboration d'une "cartographie des risques" et la création d'un plan d'actions.

Au CHU de Rennes, "59 actions ont été identifiées autour de 8 chantiers et associées à des risques majeurs ou mineurs pour la sécurité", a-t-elle témoigné.
Professionnels de santé à sensibiliser

Les directions générales ont aussi "un rôle particulier" à jouer "vis-à-vis de la communauté médicale", a ajouté Véronique Anatole-Touzet. Car les professionnels de santé sont souvent les plus difficiles à convaincre de respecter certains processus de sécurité.

Yann Bubien a confirmé cette impression en disant avoir été "surpris" lors de son arrivée au CHU d'Angers il y a 6 ans par "la résistance au changement du corps médical". D'où l'intérêt d'associer la présidence de la commission médicale d'établissement (CME) à la gouvernance de la sécurité.

C'est ce qui a été fait à Angers avec la mise en place d'un "groupe de pilotage stratégique" de la sécurité associant le président de CME, la direction générale, des médecins et des agents de la direction du système d'information (DSI).

"On se réunit 4 fois par an pour analyser tous les sujets, tous les problèmes et mettre en pratique nos décisions, le tout sous le contrôle d'un jeune médecin qui a beaucoup d'appétence pour le sujet et réussit à faire passer des choses auprès des agents", a détaillé Yann Bubien.

Systèmes de plus en plus ouverts

Reste que la sécurité informatique n'est qu'un des éléments de l'éventail des missions et responsabilités de la direction générale d'établissement. "Nous sommes confrontés à beaucoup de contraintes en termes de réduction des dépenses et de développement de notre attractivité", a souligné Pierre Thépot.

Pour Yann Bubien, la sécurité est "d'abord affaire de pratique d'organisation et de stratégie de conviction avant d'être une affaire de moyens, même s'il ne faut pas les négliger".

Le DG du CHU d'Angers a souligné les enjeux posés actuellement par l'ouverture des hôpitaux à d'autres établissements de santé, aux cliniques privées et à la médecine de ville. "Nous sommes sous une double injonction où l'on nous demande de nous ouvrir tout en nous disant d'assurer une sécurité extrême et renforcée qui induit plutôt l'inverse", a-t-il relevé.

Les établissements de santé et du médico-social restent des cibles de choix pour les pirates informatiques, avec plus de 1.300 attaques remontées volontairement au ministère de la santé en 2016, rappelle-t-on (voir dépêche du 6 avril 2017).

rm/ab

La RĂ©daction
redaction@ticsante.com

http://www.computer-engineering.fr/

Systèmes d'information

Cybersécurité: 18 incidents liés à des rançongiciels dans la santé traités par l'Anssi en 2019

PARIS (TICsanté) - L'Agence nationale de la sécurité des systèmes d'information (Anssi) a traité 18 incidents liés à des rançongiciels dans la santé en 2019, ce qui en fait le secteur le plus touché devant les collectivités territoriales (14 incidents), les services (7) et l'éducation (6), selon un rapport du centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) publié le 29 janvier.

0 985

Systèmes d'information

Cyberattaque: le système d'information du CHU de Rouen "quasiment revenu à la normale"

ROUEN (TICsante) - Victime d’une cyberattaque la semaine dernière, le système d'information (SI) du CHU de Rouen était "quasiment revenu à la normale" mardi 26 novembre, a-t-on appris auprès de la direction de la communication de l'établissement.

0 520

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
9 + 2 =
http://www.canyon.fr/
https://openbi.org/

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • VPH 2020

    Du 24/08/2020 au 28/08/2020

  • SIDO 2020

    Du 03/09/2020 au 04/09/2020

  • JournĂ©e En avant la e-santĂ© 2020

    Le 22/09/2020

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 07/10/2020 au 09/10/2020

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021

https://vph2020.sciencesconf.org