https://inovelan.fr/santnetbox/

Systèmes d'information

Sécurité informatique: les établissements de santé et médico-sociaux toujours pas au niveau

0 74

(Par Raphaël MOREAUX, au 5e congrès annuel de l'Apssis)

LE MANS, 6 avril 2017 (TICsanté) - Les établissements de santé et du médico-social sont, au sein du périmètre du ministère de la santé, "le secteur le plus pauvre en matière de sécurité informatique", a déploré le mardi 4 avril Philippe Loudenot, fonctionnaire de la sécurité des systèmes d'information (FSSI) des ministères sociaux, lors du 5e congrès annuel de l'Association pour la promotion de la sécurité des systèmes d'information (Apssis).

Parmi les 3 "sous-secteurs" du ministère de la santé cités par le FSSI (organismes de sécurité sociale, agences de santé et établissements), les établissements de santé et médico-sociaux occupent "80% de notre temps", a déclaré Philippe Loudenot.

Il a souligné avec euphémisme "un niveau de sécurité qui fait preuve d'une grande marge de progression".

Rattaché au Haut fonctionnaire de défense et de sécurité auprès des ministères chargés des affaires sociales, le FSSI a indiqué avoir traité 1.341 incidents volontairement remontés au ministère par les établissements en 2016.

Un niveau équivalent d'incidents avaient été enregistrés en 2015 via la "chaîne d'alerte" mise en place par le ministère de la santé, rappelle-t-on (voir dépêche du 8 avril 2016). Signalés par les responsables informatiques des établissements, ces incidents ne représentent qu'une petite portion des attaques qui visent le secteur de la santé et du médico-social.

"Les cryptovirus attaquent quasiment chaque jour les systèmes d'information de santé", a regretté Philippe Loudenot. Les cryptovirus sont des virus informatiques de type "rançongiciels" (ramsomware). Ces programmes malveillants procèdent au chiffrement des données stockées sur un poste de travail ou un serveur, réclamant une rançon à l'utilisateur pour qu'il puisse à nouveau y avoir accès.

Le FSSI a également pointé les "mauvaises pratiques qui perdurent" et "font qu'on retrouve des dossiers médicaux sur internet".

Pour relever le niveau de sécurité informatique des établissements, Philippe Loudenot a insisté sur "l'acculturation des directions à avoir". Il a milité en ce sens pour un rattachement direct des postes de référent sécurité du système d'information (RSSI) à la direction générale des structures de soins, alors qu'ils sont en réalité le plus souvent intégrés à la direction du SI (DSI).

"La DSI a encore une vision très parcellaire des systèmes d'informations numériques qui composent un hôpital", a-t-il noté, faisant notamment référence aux appareils biomédicaux, peu intégrés au périmètre des DSI.

Le FSSI a relevé que la politique générale de sécurité des systèmes d'information de santé (PGSSI-S) prévoyait que le RSSI "puisse avoir un point de situation au moins 2 fois par an avec les directeurs centraux".

Profiter de la mutualisation au sein des GHT

Plusieurs actions ont été menées pour relever le niveau de sécurité des établissements de santé, a tenu à rappeler Philippe Loudenot. Il a notamment salué l'impact du programme Hôpital numérique qui a attribué des financements pour la transformation numérique des établissements en fonction de l'atteinte de certains pré-requis informatiques, notamment en matière de sécurité.

Il a également estimé que la création par la loi du 26 janvier 2016 des groupements hospitaliers de territoire (GHT), au sein desquels la fonction informatique doit être mutualisée, était "une bonne occasion de remettre à plat les systèmes et les procédures".

L'élaboration des schémas directeurs des systèmes d'information (SDSI) qui doivent planifier la "convergence" des SI prévue par le décret d'application de la loi relatif aux GHT doivent "donner lieu à des analyses de risque" afin de "voir comment monter le niveau de sécurité numérique", a-t-il poursuivi.

Philippe Loudenot a par ailleurs rappelé la publication d'une instruction en décembre 2016 détaillant un "plan d'action SSI" à engager selon un calendrier d'actions prioritaires afin d'assurer la sécurité des systèmes d'information de santé (voir dépêche du 5 décembre 2016).

En septembre 2016, un décret d'application de la loi de "modernisation de notre système de santé" a renforcé le dispositif d'alerte en cas d'atteintes aux SI des établissements et détaillé les catégories d'incidents devant faire l'objet d'un signalement à l'agence régionale de santé (ARS) compétente, rappelle-t-on (voir dépêche du 19 septembre 2016).

rm/eh/ab

La Rédaction
redaction@ticsante.com

http://www.computer-engineering.fr/

En bref

L'Ugap choisit le groupe Prisme pour le suivi et la sécurisation des biens et des personnes

Le groupe Prisme a remporté pour 4 ans un marché de solutions de traçabilité, de suivi et de sécurisation des biens et des personnes, proposé par l'Union des groupements d'achats publics (Ugap).

0 189

En bref

Un "escape game" pour sensibiliser à la cybersécurité dans les Pays de la Loire

Le groupement de coopération sanitaire (GCS) e-santé Pays de la Loire a présenté le 20 novembre à Angers un jeu d'évasion développé avec Orange Cyberdéfense, visant à sensibiliser les structures de santé de la région à la sécurité numérique.

0 246

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
3 + 5 =
http://www.canyon.fr/
https://www.groupepsih.com/
http://www.corwin.eu/logiciel-sante.html?utm_source=ticsante&utm_medium=banniere&utm_campaign=fevrier2019

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • Hacking Health Camp 2019

    Du 22/03/2019 au 24/03/2019

  • 7ème Congrès national de l'Apssis

    Du 02/04/2019 au 04/04/2019

  • Congrès Pro Digital Health

    Du 04/04/2019 au 05/04/2019

  • 2e Forum Derm@to Connecté

    Le 17/05/2019

  • Paris Healthcare Week 2019

    Du 21/05/2019 au 23/05/2019

  • 59èmes Journées d'études et de formation de l'IHF

    Du 05/06/2019 au 07/06/2019