https://global.agfahealthcare.com/france/systemes-informations/hexalis/
http://vieviewer.com/

Systèmes d'information

Sécurité informatique: publication d'un calendrier d'actions prioritaires pour les établissements de santé

0 119

PARIS, 5 décembre 2016 (TICsanté) - Une instruction détaillant un calendrier d'actions prioritaires pour assurer la sécurité des systèmes d'information des établissements de santé a été mise en ligne le 1er décembre sur le site recensant les circulaires.

Ce "plan d'action SSI", élaboré par la délégation à la stratégie des systèmes d'information de santé (DSSIS) et le secrétariat général des ministères chargés des affaires sociales concerne "les établissements de santé, les laboratoires de biologie médicale, les centres de radiothérapie et les centres d'imagerie et de radiologie publics et privés".

La ministre des affaires sociales et de la santé, Marisol Touraine, avait annoncé la mise en oeuvre de ce plan le 3 octobre aux fédérations hospitalières, dans le cadre d'une réunion de travail portant sur la sécurisation des sites hospitaliers.

Il intervient quelques semaines après la publication d'un décret d'application de la loi du 26 janvier 2016 de "modernisation de notre système de santé", qui a renforcé le dispositif d'alerte en cas d'atteintes aux SI des établissements (voir dépêche du 19 septembre 2016).

En préambule de l'instruction, le ministère dresse un bref état des lieux sur les incidents liés à la sécurité des systèmes d'information, s'appuyant sur l'analyse de l'éditeur de logiciels d'antivirus Symantec selon lequel "la France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique", tandis que les attaques se concentrent sur "le domaine particulièrement sensible et rentable de la santé", notamment par le biais de "rançongiciels" (ransomware).

"Les incidents liés à la sécurité des systèmes d'information peuvent avoir un impact direct sur la sécurité des soins. Ils peuvent également avoir, comme ailleurs, un impact économique. Leur traitement est donc une priorité pour les pouvoirs publics et pour tous les producteurs de soins", souligne le ministère.

Des mesures à mettre en oeuvre d'ici juin 2017 à juin 2018

Après un rappel de la réglementation applicable, le ministère présente les objectifs du plan d'action, précise le rôle des agences régionales de santé (ARS), avant de détailler en annexe les mesures à mettre en place selon une échelle de priorité à trois niveaux en fonction de l'échéance retenue (niveau 1, six mois; niveau 2, 12 mois; niveau 3, 18 mois), soit d'ici début juin 2017 à juin 2018.

Niveau de priorité
Mesures
Priorité 1 (six mois)
  • prise en charge de la fonction sécurité des systèmes d'information par la direction (éventuellement mutualisée dans un GHT)
  • mise en oeuvre d'une charte utilisateur
  • réalisation d'une cartographie des ressources informatiques (postes de travail, serveurs, équipements actifs, équipements biomédicaux)
  • établissement d'une procédure de signalement et de traitement des incidents de sécurité SI
  • équipement de tous les postes de travail par un antivirus
  • sécurisation des comptes par mots de passe robustes et renouvelés périodiquement
  • mise en oeuvre de sauvegardes régulièrement testées
Priorité 2 (12 mois)
  • établissement d'une procédure formelle d'appréciation du risque avant toute mise en production d'un SI (homologation)
  • mise à jour régulière des systèmes d'exploitation
  • organisation du maintien en conditions de sécurité de l'ensemble des systèmes numériques (mises à jour des éditeurs et constructeurs)
  • identification et protection de tous les accès à internet et de télémaintenance
  • sécurisation du wifi, séparation des réseaux professionnels et des réseaux invités
  • mise en oeuvre d'une gestion des comptes utilisateurs avec profils et droits différenciés (utilisateur, prestataire, administrateur)
  • identification des actions de formation SSI et actions de sensibilisation dans le plan de formation annuel des personnels
Priorité 3 (18 mois)
  • cloisonnement du réseau de la structure par grandes familles d'usage (administration, paie, plateau technique…) et par niveaux de sécurité homogènes
  • définition des modalités d'enregistrement et d'analyse des traces d'accès
  • encadrement contractuel de tous les accès par des prestataires au réseau de la structure et vérification des clauses de réversibilité
  • réalisation et tenue à jour d'une analyse de risque SI de la structure, avec définition et mise en oeuvre du plan d'action associé
  • engagement de la direction sur la réduction d'un nombre limité de risques chaque année

Instruction n°SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en oeuvre du plan d'action sur la sécurité des systèmes d'information ("Plan d'action SSI") dans les établissements et services concernés

vg/eh/ab

La Rédaction
redaction@ticsante.com

http://www.computer-engineering.fr/

En bref

L'Ugap choisit le groupe Prisme pour le suivi et la sécurisation des biens et des personnes

Le groupe Prisme a remporté pour 4 ans un marché de solutions de traçabilité, de suivi et de sécurisation des biens et des personnes, proposé par l'Union des groupements d'achats publics (Ugap).

0 293

En bref

Un "escape game" pour sensibiliser à la cybersécurité dans les Pays de la Loire

Le groupement de coopération sanitaire (GCS) e-santé Pays de la Loire a présenté le 20 novembre à Angers un jeu d'évasion développé avec Orange Cyberdéfense, visant à sensibiliser les structures de santé de la région à la sécurité numérique.

0 370
https://digital-solutions2.konicaminolta.fr/FR-20190521-TDS-0-MLT-EVT-HVF-0-01-Page-de-contact-HIT.html?utm_medium=email&utm_campaign=FR-20190521-TDS-0-MLT-EVT-HVF-0-salon-HIT-2019&utm_source=Event&utm_term=&utm_content=contact

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
6 + 6 =
http://www.canyon.fr/
https://www.groupepsih.com/
https://mipih.fr/
https://www.nuance.com/fr-fr/healthcare/events/parishealthcareweek2019.html?cid=7010W000002O459QAC&cn=EHM-IP-20190320-PHW19&ls=Inbound%20Inquiry&rs=TICSANTE

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • 59es Journées d'études et de formation de l'IHF

    Du 05/06/2019 au 07/06/2019

  • Cercle Anap "Le numérique en santé"

    Le 13/06/2019

  • 10es Rencontres ac@DM

    Du 13/06/2019 au 14/06/2019

  • Université d'été de la e-santé 2019

    Du 02/07/2019 au 04/07/2019

  • Université des déserts médicaux et numériques

    Du 20/09/2019 au 21/09/2019