Systèmes d'information

Sécurité informatique: publication d'un calendrier d'actions prioritaires pour les établissements de santé

05/12/2016 0 439

PARIS, 5 décembre 2016 (TICsanté) - Une instruction détaillant un calendrier d'actions prioritaires pour assurer la sécurité des systèmes d'information des établissements de santé a été mise en ligne le 1er décembre sur le site recensant les circulaires.

Ce "plan d'action SSI", élaboré par la délégation à la stratégie des systèmes d'information de santé (DSSIS) et le secrétariat général des ministères chargés des affaires sociales concerne "les établissements de santé, les laboratoires de biologie médicale, les centres de radiothérapie et les centres d'imagerie et de radiologie publics et privés".

La ministre des affaires sociales et de la santé, Marisol Touraine, avait annoncé la mise en oeuvre de ce plan le 3 octobre aux fédérations hospitalières, dans le cadre d'une réunion de travail portant sur la sécurisation des sites hospitaliers.

Il intervient quelques semaines après la publication d'un décret d'application de la loi du 26 janvier 2016 de "modernisation de notre système de santé", qui a renforcé le dispositif d'alerte en cas d'atteintes aux SI des établissements (voir dépêche du 19 septembre 2016).

En préambule de l'instruction, le ministère dresse un bref état des lieux sur les incidents liés à la sécurité des systèmes d'information, s'appuyant sur l'analyse de l'éditeur de logiciels d'antivirus Symantec selon lequel "la France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique", tandis que les attaques se concentrent sur "le domaine particulièrement sensible et rentable de la santé", notamment par le biais de "rançongiciels" (ransomware).

"Les incidents liés à la sécurité des systèmes d'information peuvent avoir un impact direct sur la sécurité des soins. Ils peuvent également avoir, comme ailleurs, un impact économique. Leur traitement est donc une priorité pour les pouvoirs publics et pour tous les producteurs de soins", souligne le ministère.

Des mesures à mettre en oeuvre d'ici juin 2017 à juin 2018

Après un rappel de la réglementation applicable, le ministère présente les objectifs du plan d'action, précise le rôle des agences régionales de santé (ARS), avant de détailler en annexe les mesures à mettre en place selon une échelle de priorité à trois niveaux en fonction de l'échéance retenue (niveau 1, six mois; niveau 2, 12 mois; niveau 3, 18 mois), soit d'ici début juin 2017 à juin 2018.

Niveau de priorité	Mesures
Priorité 1 (six mois)	prise en charge de la fonction sécurité des systèmes d'information par la direction (éventuellement mutualisée dans un GHT) mise en oeuvre d'une charte utilisateur réalisation d'une cartographie des ressources informatiques (postes de travail, serveurs, équipements actifs, équipements biomédicaux) établissement d'une procédure de signalement et de traitement des incidents de sécurité SI équipement de tous les postes de travail par un antivirus sécurisation des comptes par mots de passe robustes et renouvelés périodiquement mise en oeuvre de sauvegardes régulièrement testées
Priorité 2 (12 mois)	établissement d'une procédure formelle d'appréciation du risque avant toute mise en production d'un SI (homologation) mise à jour régulière des systèmes d'exploitation organisation du maintien en conditions de sécurité de l'ensemble des systèmes numériques (mises à jour des éditeurs et constructeurs) identification et protection de tous les accès à internet et de télémaintenance sécurisation du wifi, séparation des réseaux professionnels et des réseaux invités mise en oeuvre d'une gestion des comptes utilisateurs avec profils et droits différenciés (utilisateur, prestataire, administrateur) identification des actions de formation SSI et actions de sensibilisation dans le plan de formation annuel des personnels
Priorité 3 (18 mois)	cloisonnement du réseau de la structure par grandes familles d'usage (administration, paie, plateau technique…) et par niveaux de sécurité homogènes définition des modalités d'enregistrement et d'analyse des traces d'accès encadrement contractuel de tous les accès par des prestataires au réseau de la structure et vérification des clauses de réversibilité réalisation et tenue à jour d'une analyse de risque SI de la structure, avec définition et mise en oeuvre du plan d'action associé engagement de la direction sur la réduction d'un nombre limité de risques chaque année

Instruction n°SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en oeuvre du plan d'action sur la sécurité des systèmes d'information ("Plan d'action SSI") dans les établissements et services concernés

vg/eh/ab

La Rédaction
redaction@ticsante.com

Systèmes d'information

Cybersécurité: 693 incidents déclarés par les structures de santé depuis deux ans

PARIS (TICsanté) - L'Agence des systèmes d'information partagés de santé (Asip santé) a recensé 693 incidents déclarés par les structures sanitaires depuis la mise en place d'un nouveau dispositif de signalement, en octobre 2017, a-t-elle indiqué le 2 décembre à TICsanté.

02/12/2019

0 616

Acteurs

Cybersécurité: priorité à la formation et à la sensibilisation des acteurs de santé

PARIS (TICsanté) - En matière de cybersécurité, "il faut former et sensibiliser les acteurs de santé à la sécurité des données, et provoquer un changement culturel", a prôné Gilles Castéran, directeur exécutif d'Accenture Security France, lors d'une table ronde organisée par le think tank Renaissance numérique et l'éditeur de logiciels antivirus Kaspersky le 25 octobre.