Un cadre de confiance
pour décrypter les enjeux stratégiques de la sécurité numérique

La sécurité des systèmes d’information des établissements de santé

Email this to someoneShare on LinkedInTweet about this on Twitter

Cet événement est passé ! Il a eu lieu le 11/04/2018 à Paris.

Présentation

Le CyberCercle a reçu le 11 avril 2018, autour de la parution de son ouvrage La sécurité des systèmes d’information des établissements de santé , Cédric CARTAU, Responsable de la Sécurité des Systèmes d’Information du CHU de Nantes, vice-président de l’APSSIS, et également chargé de cours à l’Ecole des hautes études en santé publique, et Philippe LOUDENOT, FSSI des ministères sociaux et administrateur du CESIN.

Retrouvez le podcast de l’épisode #175 de No Limit Secu consacré à la sécurité des systèmes d’information de Santé, avec Cédric CARTAU

En mai 2017, le ransomware WannaCry a bloqué plus de 300 000 ordinateurs à travers le monde. Le système de santé britannique NHS fait partie des principales victimes de cette attaque. Des milliers de consultations, examens et interventions chirurgicales ont du être annulés dans plus de 40 établissements en raison du blocage des terminaux.

En mars 2016, le virus Locky a bloqué l’accès à près de 10 000 fichiers (soit près de 3% du contenu du SI de l’établissement) d’un hôpital de Boulogne-sur-Mer. En février de la même année, un hôpital californien a payé l’équivalent de 17 000 dollars en bitcoins pour avoir, de nouveau accès à son système informatique. MedStar Health, un système informatique qui gère une dizaine d’hôpitaux dans le Maryland aux États-Unis, a également été contraint de désactiver son réseau suite à une attaque informatique. Et la liste des établissements de santé victimes d’une cyberattaque ne cesse de prendre de l’ampleur.

Transformation numérique et surface de vulnérabilité

La transformation numérique touche tous les secteurs, toutes les organisations, tant publiques que privées et les établissements de santé ne font pas exception. Avec l’omniprésence des objets connectés dans les hôpitaux et l’augmentation de la masse numérisée de données confidentielles des patients, les enjeux de cybersécurité du monde hospitalier et du milieu de la Santé sont plus que jamais d’actualité. Si le développement rapide de l’usage des technologies constitue un facteur d’amélioration de la qualité des soins, il s’accompagne d’un accroissement significatif de la surface de vulnérabilité, des menaces et des risques d’atteinte aux informations de l’hôpital comme de ses patients. A la menace grandissante des techniques de piratage de plus en plus perfectionnées s’ajoutent les risques sécuritaires inhérents à une santé qui se digitalise. La sécurisation des systèmes d’information (SI) des établissements de santé devient de facto une préoccupation majeure.

« Il faut que les directeurs prennent conscience du risque et que ce soit eux qui impulsent le changement sans quoi toute action dans le domaine est vouée à l’échec ».

Philippe LOUDENOT, FSSI des ministères sociaux

 

Les évolutions récentes

Dans ce contexte, la mise en place du dispositif de signalement des incidents graves de sécurité des SI de certaines structures de santé, instauré par la Loi de modernisation de notre système de santé du 26 janvier 2016 (Article L.1111-8-2 Code de santé publique), est un excellent signe en matière de cybersécurité. Depuis le 1er octobre 2017, les établissements et organismes de santé concernés par le nouveau dispositif de signalement doivent ainsi déclarer les incidents de sécurité auxquels ils sont confrontés via un « portail de signalement des évènements sanitaires indésirables ».

Les structures de santé peuvent se faire accompagner par l’ASIP Santé, logiquement chargée de la mise en œuvre du dispositif de signalement. A cette fin, l’ASIP Santé a créé en son sein une Cellule Accompagnement Cybersécurité des Structures de Santé (Cellule ACSS) dédiée au traitement des incidents.

Les hôpitaux consacrent encore très peu de ressources financières et physiques à leur sécurité informatique : à peine 6% de leur budget en 2016, contre 16% en moyenne pour l’industrie, selon une étude de Symantec. Mais la prise de conscience est réelle. 

 

Pour aller plus loin

Episode #175 des podcasts de No Limit Secu consacré à la sécurité des systèmes d’information de Santé, avec Cédric CARTAU

2017 Healthcare Internet Security Threat Report – Symantec

Mémento de cybersécurité à l’usage du directeur d’établissement de santé – Connaitre vos risques pour mieux y faire face

Portail de signalement des évènements sanitaires indésirables

Portail d’Accompagnement Cybersécurité des Structures de Santé

Agence française de la Santé Numérique

Direction générale de l’offre de soins – Ministère des solidarités et de la Santé

Le programme Hôpital Numérique

Participants

Cédric CARTAU, RSSI, CHU de Nantes
Philippe LOUDENOT, FSSI, Ministère des Affaires sociales, de la Santé et des Droits des femmes

Email this to someoneShare on LinkedInTweet about this on Twitter