https://www.nehs-digital.com

Politique

Cybersécurité: le ministère prépare un "plan d'accompagnement" des établissements de santé

0 256

PARIS (TICsanté) - Le ministère des solidarités et de la santé planche sur un "plan d'accompagnement" des établissements de santé dans le cadre de la nouvelle obligation de budgétisation de la cybersécurité et pour leur intégration à la liste des opérateurs de services essentiels (OSE), a fait savoir le 10 mars Caroline Le Gloan, ‎cheffe de bureau "systèmes d'information des acteurs de l'offre de soins" à la direction générale de l'offre de soins (DGOS), lors du salon Santexpo Live.

Les établissements de santé devront désormais consacrer "une part de 5 à 10% de leur budget informatique à la cybersécurité" pour bénéficier du soutien de l'Etat, ont annoncé le 22 février Olivier Véran et Cédric O, en marge d'un déplacement au centre hospitalier (CH) de Villefranche-sur-Saône.

Ce déplacement se déroulait quelques jours après les cyberattaques qui ont frappé les CH de Dax et de Villefranche-sur-Saône, survenues mi-février, rappelle-t-on. Les deux établissements avaient notamment été victimes du même rançongiciel, baptisé Ryuk.

Toujours pour renforcer la sécurité des hôpitaux, "d’ici trois mois", les 135 groupements hospitaliers de territoire (GHT) seront intégrés à la liste des opérateurs de services essentiels (OSE), ont aussi annoncé les deux ministres le 22 février.

Ce classement implique des règles de sécurité informatique plus strictes et la contrainte d’appliquer aux systèmes d’information les meilleures pratiques de cybersécurité.

"L'Agence nationale de la sécurité des systèmes d'information (Anssi) sera chargée de contrôler le bon respect de ces règles. Les agences régionales de santé (ARS) accompagneront les établissements pour les aider à se conformer à ces nouvelles obligations", apprenait-on alors.

Pour rappel, la loi du 26 février 2018 transposant la directive européenne 2016/1148 du 6 juillet 2016 établit la liste des "services essentiels au fonctionnement de la société ou de l'économie" devant faire l'objet de mesures spécifiques de sécurité informatique.

Un décret paru en mai 2018 citait déjà en annexe les services "concourant aux activités de prévention, de diagnostic ou de soins", "la réception et la régulation des appels" et "le service mobile d'urgence et de réanimation" dans le cadre de l'aide médicale d'urgence, ainsi que la "distribution pharmaceutique".

Interrogée par TICsanté, Caroline Le Gloan, ‎cheffe de bureau "systèmes d'information des acteurs de l'offre de soins" à la DGOS, est revenue le 10 mars sur la mise en œuvre de ces annonces, à l'occasion d'une intervention en visioconférence lors du salon Santexpo Live.

"Concernant l'attribution de 5 à 10% des budgets IT [informatique] à la cybersécurité, cela va être un engagement fort. Nous allons concevoir un plan d'accompagnement pour nous assurer que ce volet cybersécurité est bien intégré par les établissements de santé, au quotidien, et notamment pour faire face à la menace qui se multiplie par rançongiciels", a-t-elle expliqué.

"Nous sommes en train de concevoir ce plan d'accompagnement au ministère, avec l'Agence nationale de sécurité des systèmes d'information et l'objectif est de relancer le plan de cybersécurité, mis en œuvre depuis 2019 et de le renforcer", a-t-elle annoncé. "Les budgets informatiques ne sont pas extensibles, ils sont contraints et nous prenons cela en compte dans le plan d'accompagnement."

Concernant la désignation des GHT comme opérateurs de services essentiels, "là aussi, nous y travaillons", a affirmé à APMnews Caroline Le Gloan. "Il y a déjà un certain nombre d'établissements de santé désignés OSE, notamment les CHU, c'est un modèle que nous allons répliquer pour les 135 GHT."

Des interrogations d'ordre réglementaire subsistent toutefois sur ce volet, les GHT ne disposant pas de la personnalité morale juridique, rappelle-t-on.

Des réunions auront lieu "cette semaine", a fait savoir la cheffe de bureau de la DGOS, qui espère "faire rapidement des annonces et préciser les modalités de ce plan d'accompagnement".

"La cybersécurité doit aller au-delà de la bureautique"

Emmanuel Le Bohec, directeur commercial EMEA (Europe Middle East & Africa) de Claroty, société spécialisée dans la sécurité des environnements OT (Operational Technology) et des systèmes industriels, conseille d'emblée aux hôpitaux "d'éviter certaines erreurs".

"Il ne faut pas penser qu'à la bureautique. En matière de cybersécurité, la sécurité des infrastructures, des bâtiments est également importante. Au-delà de la bureautique, on peut prendre le contrôle des ascenseurs, des défibrillateurs, des pompes à insuline connectées, etc., lors d'une cyberattaque et l'environnement hospitalier n'est pas pensé pour la cybersécurité à l'origine", a-t-il expliqué à TICsanté le 16 mars.

"Quand la bureautique est bloquée, on peut encore accéder au papier et les médecins peuvent encore soigner, même si c'est plus compliqué, mais quand les équipements de radiothérapie sont inaccessibles, par exemple, l'impact est beaucoup plus important", a-t-il détaillé.

Se félicitant que "beaucoup d'investissements ont déjà été réalisés, notamment en matière de bureautique", il a ciblé une "priorité" pour les établissements de santé: le meilleur contrôle des tiers distants et les accès externes.

Pour le spécialiste cybersécurité, tous ces aspects doivent être pris en compte dans le plan d'accompagnement à la cybersécurité qui sera mis en œuvre par les pouvoirs publics.

"Le lien entre l'informatique et l'industriel doit se faire quand il y a une attaque par rançongiciel. Il faut remonter toute la chaîne. La cybersécurité est un véritable outil, qui va permettre à l'hôpital et aux soignants de continuer à travailler et de se focaliser sur leur activité."

Concernant l'intégration des GHT à la liste des OSE, Emmanuel Le Bohec a salué "une bonne décision".

"Il n'est jamais trop tard pour bien faire. Cette décision démontre la sensibilité des GHT et elle est importante car elle va permettre aux directeurs des systèmes d'information (DSI) de justifier des dépenses pour la sécurité informatique", a-t-il commenté.

Appelant à "faire évoluer le rôle" du responsable sécurité des systèmes d'information (RSSI) hospitaliers, "qui n'est pas qu'un empêcheur de tourner en rond", Emmanuel Le Bohec, a mis en avant son rôle essentiel pour veiller à la sécurité des données du SI et "faire le lien avec la direction".

Wassinia Zirar
Wassinia.Zirar@apmnews.com

http://www.computer-engineering.fr/

Politique

Cybersécurité à l'hôpital: lancement d'un appel à manifestation d'intérêt pour expérimenter des solutions innovantes

PARIS (TICsanté) - Un mois après la présentation par le président de la République de la stratégie française pour faire face à la menace cyber, le secrétaire d'Etat chargé de la transition numérique et des communications électroniques, Cédric O, a annoncé le 25 mars un appel à manifestation d'intérêt (AMI) relatif à l'axe "sécuriser les territoires", qui concerne notamment les établissements de santé.

0 188

En bref

Partenariat autour du numérique en santé entre les Hôpitaux Champagne Sud et l’université de technologie de Troyes

Les Hôpitaux Champagne Sud (HCS) ont noué un partenariat avec la chaire "Connected innovation" de l’université de technologie de Troyes, ont rapporté mi-mars les Hôpitaux Champagne Sud dans un communiqué.

0 210

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
7 + 3 =
http://www.canyon.fr/
https://mailchi.mp/groupepsih.com/hospivision-offre-resah

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • L'UniversitĂ© d'Ă©tĂ© de la e-santĂ© 2021

    Du 22/06/2021 au 23/06/2021

  • SIDO 2021

    Du 22/09/2021 au 23/09/2021

https://www.santexpo.com/exposer/participer-au-salon/?utm_campaign=TICSANTE&utm_source=SW&utm_medium=BAN&utm_salon=SE