Inscription | Identification
https://vieviewer.com/
https://www.sham.fr/vos-donnees?utm_source=site_web&utm_medium=banner&utm_campaign=banniere_gif_ticsante_octobre&utm_term=&utm_content=

Systèmes d'information

Sécurité informatique: publication d'un calendrier d'actions prioritaires pour les établissements de santé

05/12/2016 0 520

PARIS, 5 décembre 2016 (TICsanté) - Une instruction détaillant un calendrier d'actions prioritaires pour assurer la sécurité des systèmes d'information des établissements de santé a été mise en ligne le 1er décembre sur le site recensant les circulaires.

Ce "plan d'action SSI", élaboré par la délégation à la stratégie des systèmes d'information de santé (DSSIS) et le secrétariat général des ministères chargés des affaires sociales concerne "les établissements de santé, les laboratoires de biologie médicale, les centres de radiothérapie et les centres d'imagerie et de radiologie publics et privés".

La ministre des affaires sociales et de la santé, Marisol Touraine, avait annoncé la mise en oeuvre de ce plan le 3 octobre aux fédérations hospitalières, dans le cadre d'une réunion de travail portant sur la sécurisation des sites hospitaliers.

Il intervient quelques semaines après la publication d'un décret d'application de la loi du 26 janvier 2016 de "modernisation de notre système de santé", qui a renforcé le dispositif d'alerte en cas d'atteintes aux SI des établissements (voir dépêche du 19 septembre 2016).

En préambule de l'instruction, le ministère dresse un bref état des lieux sur les incidents liés à la sécurité des systèmes d'information, s'appuyant sur l'analyse de l'éditeur de logiciels d'antivirus Symantec selon lequel "la France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique", tandis que les attaques se concentrent sur "le domaine particulièrement sensible et rentable de la santé", notamment par le biais de "rançongiciels" (ransomware).

"Les incidents liés à la sécurité des systèmes d'information peuvent avoir un impact direct sur la sécurité des soins. Ils peuvent également avoir, comme ailleurs, un impact économique. Leur traitement est donc une priorité pour les pouvoirs publics et pour tous les producteurs de soins", souligne le ministère.

Des mesures Ă  mettre en oeuvre d'ici juin 2017 Ă  juin 2018

Après un rappel de la réglementation applicable, le ministère présente les objectifs du plan d'action, précise le rôle des agences régionales de santé (ARS), avant de détailler en annexe les mesures à mettre en place selon une échelle de priorité à trois niveaux en fonction de l'échéance retenue (niveau 1, six mois; niveau 2, 12 mois; niveau 3, 18 mois), soit d'ici début juin 2017 à juin 2018.

Niveau de priorité
Mesures
Priorité 1 (six mois)
  • prise en charge de la fonction sĂ©curitĂ© des systèmes d'information par la direction (Ă©ventuellement mutualisĂ©e dans un GHT)
  • mise en oeuvre d'une charte utilisateur
  • rĂ©alisation d'une cartographie des ressources informatiques (postes de travail, serveurs, Ă©quipements actifs, Ă©quipements biomĂ©dicaux)
  • Ă©tablissement d'une procĂ©dure de signalement et de traitement des incidents de sĂ©curitĂ© SI
  • Ă©quipement de tous les postes de travail par un antivirus
  • sĂ©curisation des comptes par mots de passe robustes et renouvelĂ©s pĂ©riodiquement
  • mise en oeuvre de sauvegardes rĂ©gulièrement testĂ©es
Priorité 2 (12 mois)
  • Ă©tablissement d'une procĂ©dure formelle d'apprĂ©ciation du risque avant toute mise en production d'un SI (homologation)
  • mise Ă  jour rĂ©gulière des systèmes d'exploitation
  • organisation du maintien en conditions de sĂ©curitĂ© de l'ensemble des systèmes numĂ©riques (mises Ă  jour des Ă©diteurs et constructeurs)
  • identification et protection de tous les accès Ă  internet et de tĂ©lĂ©maintenance
  • sĂ©curisation du wifi, sĂ©paration des rĂ©seaux professionnels et des rĂ©seaux invitĂ©s
  • mise en oeuvre d'une gestion des comptes utilisateurs avec profils et droits diffĂ©renciĂ©s (utilisateur, prestataire, administrateur)
  • identification des actions de formation SSI et actions de sensibilisation dans le plan de formation annuel des personnels
Priorité 3 (18 mois)
  • cloisonnement du rĂ©seau de la structure par grandes familles d'usage (administration, paie, plateau technique…) et par niveaux de sĂ©curitĂ© homogènes
  • dĂ©finition des modalitĂ©s d'enregistrement et d'analyse des traces d'accès
  • encadrement contractuel de tous les accès par des prestataires au rĂ©seau de la structure et vĂ©rification des clauses de rĂ©versibilitĂ©
  • rĂ©alisation et tenue Ă  jour d'une analyse de risque SI de la structure, avec dĂ©finition et mise en oeuvre du plan d'action associĂ©
  • engagement de la direction sur la rĂ©duction d'un nombre limitĂ© de risques chaque annĂ©e

Instruction n°SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en oeuvre du plan d'action sur la sécurité des systèmes d'information ("Plan d'action SSI") dans les établissements et services concernés

vg/eh/ab

La RĂ©daction
redaction@ticsante.com

http://www.computer-engineering.fr/

Systèmes d'information

Cybersécurité: Philippe Loudenot fait le point sur les vulnérabilités informatiques des structures de santé

PARIS (TICsanté) - Le fonctionnaire de sécurité des systèmes d'information (FSSI) du ministère des solidarités et de la santé, Philippe Loudenot, a énuméré les principales vulnérabilités des SI des établissements de santé lors d'un "Cybercamp santé" organisé le 5 février à Paris.

10/02/2020
0 934

Systèmes d'information

Cybersécurité: 18 incidents liés à des rançongiciels dans la santé traités par l'Anssi en 2019

PARIS (TICsanté) - L'Agence nationale de la sécurité des systèmes d'information (Anssi) a traité 18 incidents liés à des rançongiciels dans la santé en 2019, ce qui en fait le secteur le plus touché devant les collectivités territoriales (14 incidents), les services (7) et l'éducation (6), selon un rapport du centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) publié le 29 janvier.

30/01/2020
0 1359
https://protect-eu.mimecast.com/s/EyzrC76REFVjOJ3H8HYlT?domain=app.livestorm.co

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
4 + 4 =
http://www.canyon.fr/

Précédent

La start-up MesDocteurs signe un partenariat avec Allodocteurs.fr

Suivant

GHT: le guide méthodologique sur le système d'information convergent publié
https://openbi.org/

A ne pas manquer

https://www.mipih.fr/votre-projet-mipih/piloter-la-performance/desionnel2.html

Les offres APMjob.com

Toutes les offres d'emploi

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • WebconfĂ©rence "Les grandes tendances de la e-santĂ© en 2021"

    A partir du 26/01/2021

  • SANTEXPO LIVE (Ex-Paris Healthcare Week)

    Du 09/03/2021 au 11/03/2021

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021

Tous les événements