https://www.nehs-digital.com

Systèmes d'information

L'Anssi fait le point sur les vulnérabilités des systèmes d'information des établissements de santé

0 301

PARIS (TICsanté) - L'Agence nationale de la sécurité des systèmes d'information (Anssi) brosse un portrait sévère des vulnérabilités des systèmes d'information (SI) des établissements de santé dans un rapport sur "l'état de la menace cyber sur les établissements de santé" daté du 22 février et dont TICsanté a obtenu copie.

Les établissements étant "fortement dépendants de solutions informatisées", les SI sont "soumis au triple impératif de disponibilité, d’intégrité et de confidentialité", constate l'Anssi.

Ces SI "présentent une large surface d'attaque" du fait "d'infrastructures hétérogènes" et de "l’ouverture fréquente d’interconnexions destinées aux prestataires, équipementiers ou personnels".

"La rationalisation des moyens demandée aux établissements de santé ne permet pas toujours d’attribuer les capacités suffisantes à la sécurité des systèmes d’information", et "la gestion, au quotidien, de nombreuses situations critiques par le personnel ne facilite pas les efforts de sensibilisation".

"Des efforts constants sont ainsi nécessaires pour pouvoir maintenir le niveau de sécurité attendu de ces établissements, malgré les nombreuses contraintes métiers auxquelles ils sont soumis."

La "multiplicité de fonctions [des SI], exercées par des métiers différents, entraîne une grande variabilité des attendus et une addition des contraintes d’un grand nombre d’utilisateurs. L’affectation fréquente de postes à des fonctions plutôt qu’à des individus complique fortement la mise en place d’identification systématique des utilisateurs par des mots de passe forts non réutilisés."

L'agence considère "particulièrement important d’identifier l’impact des interruptions de chacun des services afin d’être en mesure de déterminer les priorités en cas d’incident affectant de multiples services".

De même, "l’intégration de SI communs entre plusieurs sites peut encore compliquer la maîtrise de ces parcs informatiques", notamment dans le cas de groupements hospitaliers de territoires (GHT).

"L’attaque du CH d’Alberville-Moûtiers en décembre 2020 a ainsi affecté les deux [sites de l'établissement] de manière simultanée", indique-t-elle.

Le niveau de sécurité des logiciels volontairement diminué

"Dans certains cas, le niveau de sécurité des logiciels est volontairement diminué à l’installation pour en faciliter l’accès par le personnel soignant, ou pour en permettre la connexion à des SI ne disposant pas de fonctionnalités de cybersécurité compatibles", déplore l'agence.

"Les établissements de santé sont affectés par la multiplication des SI fantômes (Shadow IT), qui regroupent les logiciels, matériels et technologies de l’information déployées de manière autonome au sein d’une organisation sans l’implication du service informatique", ce qui "complique la cartographie, la maintenance, le suivi et finalement la maîtrise des systèmes d’information".

Les équipes chargées des SI "sont souvent trop restreintes pour gérer efficacement les parcs informatiques", et "les ressources allouées aux problématiques de sécurité des systèmes d’information ne permettent pas toujours de proposer des solutions sécurisées disposant d’une qualité de service suffisante pour décourager les utilisateurs de recourir à des services" installés sans l'approbation des équipes informatiques.

"Les connexions entre les SI hospitaliers et ceux des prestataires ne sont cependant pas toujours suffisamment sécurisées et l’accès par le prestataire aux données médicales n’est pas systématiquement soumis à un contrôle d’accès, comme le montrent des incidents signalés à l’Anssi", explique l'agence sans détailler ces incidents.

"Un grand nombre d’attaquants" exploitent les failles des "SI de prestataires ou des solutions d’infogérance à distance insuffisamment sécurisées", dont des groupes opérant des rançongiciels, met-elle en garde.

Par ailleurs, la connexion à internet des dispositifs médicaux (DM) "participe à la vulnérabilité globale des systèmes numériques des établissements de santé", leur sécurité n'étant "pas toujours suffisante".

"Un équipement connecté a ainsi été interrompu lors d’une opération cardiaque en 2016 par le déclenchement d’un logiciel antivirus sur le poste recevant les données de l’équipement. Ce type de dysfonctionnement pourrait à l’avenir être provoqué, directement ou indirectement, par une cyberattaque", avertit l'Anssi.

"Malgré les investissements consentis parfois conséquents, les DM reliés aux SI ne bénéficient pas toujours d’un suivi durable, notamment au niveau logiciel", la sécurité informatique étant "rarement un critère déterminant dans les processus de sélection".

"Il n’est pas rare que de tels dispositifs nécessitent d’être raccordés à des équipements obsolètes dont les vulnérabilités sont connues et souvent non corrigées", s'alarme l'agence.

"Les situations d’oligopole dans lesquelles se trouvent certains fabricants peuvent rendre particulièrement difficile la sélection de DM suffisamment sécurisés", ajoute-t-elle.

Le niveau de risque global est "élevé"

L'Anssi a étudié "l’exposition aux attaques de certains établissements de santé français engagés dans la lutte contre la pandémie de Covid-19", dont le détail n'est pas indiqué, en mars 2020.

Elle a constaté "plusieurs vulnérabilités importantes" qui "mettent en danger immédiat l’ensemble des ressources", et conclu à un "niveau de risque global élevé" sur ces établissements.

Ce niveau de risque s'explique par "des problèmes critiques sur la configuration des annuaires, une obsolescence généralisée du parc informatique, une grande hétérogénéité des systèmes, un manque de moyens et de ressources alloués aux sujets de la cybersécurité, un manque de maturité des éditeurs de logiciels et des intégrateurs qui interviennent auprès des établissements de santé, en termes de cybersécurité".

"De plus, de nombreux services et composants obsolètes sont exposés sur internet, notamment dans les structures de taille importante, ce qui faciliterait la primo-infection dans le cadre d’une cyberattaque, augmentant d’autant le niveau de risque estimé", ajoute-t-elle.

"Des accompagnements par l’agence ainsi que des efforts de la part des établissements ont permis la mise en place de premières actions" qui "ont conduit à un renforcement de la sécurité des SI suivis". Cependant, "ces efforts doivent se poursuivre pour atteindre un niveau de sécurité satisfaisant".

LĂ©o Caravagna
leo.caravagna@apmnews.com

http://www.computer-engineering.fr/

Systèmes d'information

MĂ©dico-social: l'Anap et l'ATIH changent de rĂ´les par rapport au tableau de bord de la performance

PARIS (TICsanté) - "La totalité de la gestion des campagnes annuelles" du tableau de bord de la performance que doivent remplir les établissements et services médico-sociaux (ESMS) est désormais confiée à l’Agence technique de l’information sur l’hospitalisation (ATIH), et non plus à l'Agence nationale d'appui à la performance des établissements de santé et médico-sociaux (Anap), ont annoncé les deux agences dans un communiqué commun fin mars.

Systèmes d'information

Un arrêté autorise l'expérimentation du Répertoire partagé des professionnels intervenant dans le système de santé élargi

PARIS (TICsanté) - Un arrêté publié fin mars au Journal officiel autorise l'Agence du numérique en santé (ANS) à conduire l'expérimentation du Répertoire partagé des professionnels intervenant dans le système de santé élargi (RPPS+) pendant 18 mois.

0 115

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
9 + 8 =
http://www.canyon.fr/
https://mailchi.mp/groupepsih.com/hospivision-offre-resah

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • L'UniversitĂ© d'Ă©tĂ© de la e-santĂ© 2021

    Du 22/06/2021 au 23/06/2021

  • SIDO 2021

    Du 22/09/2021 au 23/09/2021

https://www.santexpo.com/exposer/participer-au-salon/?utm_campaign=TICSANTE&utm_source=SW&utm_medium=BAN&utm_salon=SE