Les établissements étant "fortement dépendants de solutions informatisées", les SI sont "soumis au triple impératif de disponibilité, d’intégrité et de confidentialité", constate l'Anssi.
Ces SI "présentent une large surface d'attaque" du fait "d'infrastructures hétérogènes" et de "l’ouverture fréquente d’interconnexions destinées aux prestataires, équipementiers ou personnels".
"La rationalisation des moyens demandée aux établissements de santé ne permet pas toujours d’attribuer les capacités suffisantes à la sécurité des systèmes d’information", et "la gestion, au quotidien, de nombreuses situations critiques par le personnel ne facilite pas les efforts de sensibilisation".
"Des efforts constants sont ainsi nécessaires pour pouvoir maintenir le niveau de sécurité attendu de ces établissements, malgré les nombreuses contraintes métiers auxquelles ils sont soumis."
La "multiplicité de fonctions [des SI], exercées par des métiers différents, entraîne une grande variabilité des attendus et une addition des contraintes d’un grand nombre d’utilisateurs. L’affectation fréquente de postes à des fonctions plutôt qu’à des individus complique fortement la mise en place d’identification ...