https://vieviewer.com/
https://www.sham.fr/vos-donnees?utm_source=site_web&utm_medium=banner&utm_campaign=banniere_gif_ticsante_octobre&utm_term=&utm_content=

Systèmes d'information

Le pilotage de la sécurité informatique du secteur de la santé en pleine mue

0 394

(Par Raphaël MOREAUX)

PARIS, 2 octobre 2017 (TICsanté) - L'obligation faite aux établissements de santé de signaler les incidents informatiques à leur tutelle à compter du 1er octobre et la création d'un comité de maîtrise des risques numériques dans les ministères sociaux marquent "une prise de conscience de plus en plus forte" de la sécurité informatique, ont témoigné auprès de TICsanté leur directrice informatique, Hélène Brisset, et le fonctionnaire de la sécurité des systèmes d'information (FSSI), Philippe Loudenot.

"Il y a une vraie augmentation de la menace informatique avec des attaques de plus en plus ciblées. Nous faisons en sorte de nous tenir prêts pour sortir intacts de ces attaques, ou pour en limiter l'impact", a assuré Hélène Brisset, faisant notamment référence à l'attaque au rançongiciel qui a paralysé des dizaines d'hôpitaux britanniques en mai (voir dépêche du 16 mai 2017).

La stratégie de gestion du risque informatique dans la santé a connu d'importants changements ces derniers mois, sous l'effet de plusieurs textes législatifs et réglementaires, rappelle-t-on.

Un décret d'application de la loi de modernisation de notre système de santé publié en septembre 2016 a rendu obligatoire la déclaration des incidents les plus graves affectant les systèmes d'information des établissements et services de santé (laboratoires de biologie médicale, centres de radiothérapie, etc.) aux agences régionales de santé (ARS) (voir dépêche du 19 septembre 2016).

"Ce nouveau mécanisme de signalement prendra effet le [dimanche] 1er octobre et constitue une grosse nouveauté. Nous sommes le seul secteur ministériel, hormis les télécommunications, à avoir cette exigence aujourd'hui", a fait valoir Philippe Loudenot.

Il existait déjà un mécanisme de remontée des incidents touchant les établissements de santé, mais il fonctionnait sur la base du volontariat, a rappelé le FSSI. Il a indiqué à TICsanté avoir reçu 1.341 signalements d'incidents via ce canal en 2016.

Mais ce dispositif a rapidement été confronté au manque de moyens de l'administration pour traiter les incidents. "Nous sommes trois dans mon service pour gérer l'ensemble des incidents du monde de la santé, du travail, des sports et d'une partie de l'éducation nationale. Au niveau santé, cela représente déjà des milliers d'établissements. Il n'était pas raisonnable de continuer comme ça", a expliqué Philippe Loudenot.

"Industrialiser" la remontée d'incidents

Dorénavant, la remontée des incidents informatiques se fera directement depuis le portail de signalement des évènements indésirables (voir dépêche du 15 mars 2017), sur lequel a été créé un formulaire spécifique pour les attaques contre les systèmes d'information.

Une cellule de l'Agence des systèmes d'information partagés de santé (Asip santé) sera chargée d'aider les établissements à répondre aux incidents jugés "graves et significatifs" (voir dépêche du 8 juin 2017).

"Nous allons aussi travailler en étroite collaboration avec l'Anssi [Agence nationale de la sécurité des systèmes d'information] dans les cas les plus graves, et avec l'ANSM [Agence nationale de sécurité du médicament et des produits de santé] sur la sécurité des dispositifs médicaux", a détaillé Philippe Loudenot.

Cette "industrialisation" de la remontée d'informations sur les attaques informatiques va permettre au ministère de "capitaliser sur ces incidents pour affiner nos fiches d'informations et de bonnes pratiques", a-t-il poursuivi.

Elle permettra aussi de venir en appui des établissements de santé, "notamment des plus petites structures qui n'ont pas d'informaticien" afin de "discuter d'une seule voix vis-à-vis des fournisseurs" de logiciels pour les amener à mettre à jour leurs outils.

Textes européens et plan d'action national

Le FSSI a également noté que d'autres textes allaient avoir un impact sur la gestion de la sécurité informatique, à l'instar du règlement européen relatif à la protection des données personnelles qui entrera en vigueur le 25 mai 2018 (voir dépêche du 13 mai 2016) et de la directive européenne NIS (Network and Information Security) qui définit les établissements de santé comme des "opérateurs de services essentiels" (voir dépêche du 23 août 2016).

La transposition de la directive dans le droit français fait actuellement l'objet de travaux à l'Anssi, a indiqué Philippe Loudenot.

A l'échelle nationale, une instruction de la délégation à la stratégie des systèmes d'information de santé (DSSIS) publiée fin 2016 a détaillé un calendrier d'actions prioritaires pour assurer la sécurité informatique des établissements et structures de santé (voir dépêche du 5 décembre 2016).

Les laboratoires d'analyse font partie des secteurs "les plus pro-actifs" pour mettre en oeuvre ce plan d'action, a constaté le FSSI, chargé du suivi de ce plan d'action avec les ARS. "Une des difficultés porte aujourd'hui sur la dette technique des structures qui ont un parc applicatif ancien, beaucoup plus cher à entretenir", a-t-il ajouté.

Une instruction a par ailleurs précisé les mesures à mettre en oeuvre par les établissements et services sociaux et médico-sociaux (ESMS) en matière de sécurité, notamment informatique (voir dépêche du 16 août 2017).

Une stratégie pour les administrations centrales et déconcentrées

Dernier acte de l'évolution de la gestion de la sécurité informatique en santé: la création, par un arrêté publié le 15 septembre 2017, d'un comité de maîtrise des risques numériques au sein du secrétariat général des ministères sociaux (voir dépêche du 20 septembre 2017).

La première réunion de ce comité a eu lieu mardi 26 septembre. La DSI des ministères sociaux, Hélène Brisset, et le haut fonctionnaire adjoint de défense et de sécurité des ministères, Arnaud Martin, copilotent ce comité.

Le périmètre couvert concerne uniquement les systèmes d'information des administrations centrales et déconcentrées des ministères sociaux. "Il s'agit de faire progressivement monter le niveau de sécurité de l'informatique mise à disposition en interne", a expliqué Philippe Loudenot, qui fait aussi partie du comité.

Les directions administratives du ministère de la santé (DGOS, DGS, DSS etc.) sont donc directement visées.

Du côté des ARS, dont un représentant prend part aux réunions du comité de maîtrise des risques numériques, cela concerne essentiellement les outils informatiques mis à disposition de l'ensemble des agences par le ministère de la santé, et non pas les projets locaux, ou les systèmes d'information ouverts vers les professionnels de santé, hospitaliers ou de ville.

L'ordre du jour de la première réunion du comité comprenait le lancement d'une cartographie des risques des systèmes concernés, et la revue des "principales actions stratégiques à mettre en place côté directions métiers et DSI", a expliqué Hélène Brisset à TICsanté.

"Quelles sont les applications critiques ? Les points des fragilitĂ©s ? Et quelles sont les prioritĂ©s Ă  traiter ?", a-t-elle rĂ©sumĂ©, jugeant "qu'un vĂ©ritable mouvement de fond a Ă©tĂ© amorcĂ©" sur la sĂ©curitĂ© informatique en santĂ©.

rm/eh/ab

La RĂ©daction
redaction@ticsante.com

http://www.computer-engineering.fr/

En bref

Jérémie Vallet nommé sous-directeur des projets et services numériques auprès de la DNum

Chef du bureau "qualité, performance et systèmes d'information" au sein de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) à Bercy, depuis juillet 2016, Jérémie Vallet est nommé sous-directeur des projets et services numériques au sein de la direction du numérique (DNum) des ministères sociaux, a-t-on appris dans un arrêté publié au Journal officiel le 16 mai.

0 716

En bref

Nathalie Cuvillier nommée cheffe de service, adjointe à la directrice du numérique des ministères sociaux

Cheffe de service, adjointe au directeur des sports du ministère des sports depuis 2017, Nathalie Cuvillier a été nommée cheffe de service, adjointe à la directrice du numérique des ministères sociaux, Hélène Brisset, le 31 mars dans un arrêté du Journal officiel.

0 651

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
3 + 7 =
http://www.canyon.fr/
https://openbi.org/

Les offres APMjob.com

https://www.dedalus-france.fr/

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • HDI Day

    Le 18/11/2020

  • SantExpo Live (ex-Paris Healthcare Week)

    Du 15/12/2020 au 17/12/2020

  • Consumer Electronics Show (CES) 2021

    Du 11/01/2021 au 14/01/2021

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021