https://www.nehs-digital.com

Systèmes d'information

Sécurité informatique: les établissements de santé et médico-sociaux toujours pas au niveau

0 668

(Par Raphaël MOREAUX, au 5e congrès annuel de l'Apssis)

LE MANS, 6 avril 2017 (TICsanté) - Les établissements de santé et du médico-social sont, au sein du périmètre du ministère de la santé, "le secteur le plus pauvre en matière de sécurité informatique", a déploré le mardi 4 avril Philippe Loudenot, fonctionnaire de la sécurité des systèmes d'information (FSSI) des ministères sociaux, lors du 5e congrès annuel de l'Association pour la promotion de la sécurité des systèmes d'information (Apssis).

Parmi les 3 "sous-secteurs" du ministère de la santé cités par le FSSI (organismes de sécurité sociale, agences de santé et établissements), les établissements de santé et médico-sociaux occupent "80% de notre temps", a déclaré Philippe Loudenot.

Il a souligné avec euphémisme "un niveau de sécurité qui fait preuve d'une grande marge de progression".

Rattaché au Haut fonctionnaire de défense et de sécurité auprès des ministères chargés des affaires sociales, le FSSI a indiqué avoir traité 1.341 incidents volontairement remontés au ministère par les établissements en 2016.

Un niveau équivalent d'incidents avaient été enregistrés en 2015 via la "chaîne d'alerte" mise en place par le ministère de la santé, rappelle-t-on (voir dépêche du 8 avril 2016). Signalés par les responsables informatiques des établissements, ces incidents ne représentent qu'une petite portion des attaques qui visent le secteur de la santé et du médico-social.

"Les cryptovirus attaquent quasiment chaque jour les systèmes d'information de santé", a regretté Philippe Loudenot. Les cryptovirus sont des virus informatiques de type "rançongiciels" (ramsomware). Ces programmes malveillants procèdent au chiffrement des données stockées sur un poste de travail ou un serveur, réclamant une rançon à l'utilisateur pour qu'il puisse à nouveau y avoir accès.

Le FSSI a également pointé les "mauvaises pratiques qui perdurent" et "font qu'on retrouve des dossiers médicaux sur internet".

Pour relever le niveau de sécurité informatique des établissements, Philippe Loudenot a insisté sur "l'acculturation des directions à avoir". Il a milité en ce sens pour un rattachement direct des postes de référent sécurité du système d'information (RSSI) à la direction générale des structures de soins, alors qu'ils sont en réalité le plus souvent intégrés à la direction du SI (DSI).

"La DSI a encore une vision très parcellaire des systèmes d'informations numériques qui composent un hôpital", a-t-il noté, faisant notamment référence aux appareils biomédicaux, peu intégrés au périmètre des DSI.

Le FSSI a relevé que la politique générale de sécurité des systèmes d'information de santé (PGSSI-S) prévoyait que le RSSI "puisse avoir un point de situation au moins 2 fois par an avec les directeurs centraux".

Profiter de la mutualisation au sein des GHT

Plusieurs actions ont été menées pour relever le niveau de sécurité des établissements de santé, a tenu à rappeler Philippe Loudenot. Il a notamment salué l'impact du programme Hôpital numérique qui a attribué des financements pour la transformation numérique des établissements en fonction de l'atteinte de certains pré-requis informatiques, notamment en matière de sécurité.

Il a également estimé que la création par la loi du 26 janvier 2016 des groupements hospitaliers de territoire (GHT), au sein desquels la fonction informatique doit être mutualisée, était "une bonne occasion de remettre à plat les systèmes et les procédures".

L'élaboration des schémas directeurs des systèmes d'information (SDSI) qui doivent planifier la "convergence" des SI prévue par le décret d'application de la loi relatif aux GHT doivent "donner lieu à des analyses de risque" afin de "voir comment monter le niveau de sécurité numérique", a-t-il poursuivi.

Philippe Loudenot a par ailleurs rappelé la publication d'une instruction en décembre 2016 détaillant un "plan d'action SSI" à engager selon un calendrier d'actions prioritaires afin d'assurer la sécurité des systèmes d'information de santé (voir dépêche du 5 décembre 2016).

En septembre 2016, un décret d'application de la loi de "modernisation de notre système de santé" a renforcé le dispositif d'alerte en cas d'atteintes aux SI des établissements et détaillé les catégories d'incidents devant faire l'objet d'un signalement à l'agence régionale de santé (ARS) compétente, rappelle-t-on (voir dépêche du 19 septembre 2016).

rm/eh/ab

La RĂ©daction
redaction@ticsante.com

http://www.computer-engineering.fr/

Systèmes d'information

Marc Perotto (Widip): "Dirigeants d'établissements sociaux et médico-sociaux, reprenez le pouvoir sur votre informatique!"

PARIS (TICsanté) - Directeur général de l'entreprise de services numériques Widip depuis dix ans, Marc Perotto est aux premières loges pour observer la difficile transformation numérique des établissements et services sociaux et médico-sociaux (ESMS), qu'il accompagne au quotidien. Pour TICsanté, il a présenté le 5 mai son dernier ouvrage, "ESMS: réussir votre transformation numérique", qu'il veut voir devenir un guide pratique pour ces structures.

0 385

Systèmes d'information

Sécurité informatique: 34 mises en danger de patients causées par des incidents en 2020 (ANS)

PARIS (TICsanté) - Un total de 34 mises en danger de patients ont été causées par des incidents de sécurité informatique en 2020, apprend-on dans le rapport annuel du CERT Santé publié la semaine dernière par l'Agence du numérique en santé (ANS).

0 430

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
6 + 9 =
http://www.canyon.fr/
https://mailchi.mp/groupepsih.com/hospivision-offre-resah

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • L'UniversitĂ© d'Ă©tĂ© de la e-santĂ© 2021

    Du 22/06/2021 au 23/06/2021

  • SIDO 2021

    Du 22/09/2021 au 23/09/2021

https://www.universite-esante.com/visiter/