Vous êtes dans : Accueil > Actualités > E-Santé >
Si la question a pu sembler longtemps secondaire, la cybersécurité est désormais devenue une priorité pour les établissements de santé dont la prise de conscience a été accentuée par la multiplication des cyberattaques ces derniers temps. Et si le risque cyber demeure exceptionnel, quand cela arrive, les dégâts sont immenses. Mieux vaut donc prévenir que guérir et anticiper sa stratégie de cybersécurité. Mais pour cela, les établissements de santé ont besoin de moyens, financiers comme humains.
Réservez votre badge visiteur gratuit
La cybersécurité est l’affaire de tous
L’enjeu de la mobilisation de tous les membres de l’hôpital
Face aux attaques qui se multiplient, les établissements doivent relever un défi de taille : celui de sécuriser des systèmes informatiques dans lesquels se trouvent plusieurs centaines d’applications métier et de logiciels différents qui communiquent entre eux.
Autre priorité : la prévention et la mobilisation de tous les effectifs autour de la question de la cybersécurité. « Dans les établissements, il y a beaucoup de turn-over entre les équipes, les internes, etc. Il est donc essentiel de refaire sans cesse de la pédagogie et de la sensibilisation car la sécurité informatique est l’affaire de tous, pas seulement celle des informaticiens, insiste Cécile Chevance. D’autant que les équipements et les appareils médicaux embarquent de plus en plus du numérique : ils sont donc également impliqués et cela multiplie les failles. La cybersécurité concerne donc tous les services et tout le personnel. Il faut également se méfier des réseaux sociaux et de ce que l’on y poste (codes d’accès affichés en arrière-plan, par exemple). Tout le monde est concerné ! »
Agir vaut toujours mieux que réagir
Repérer les failles pour mieux les colmater en amont des attaques
140 établissements (dont tous les établissements supports de GHT) ont été désignés opérateurs de services essentiels (OSE) pour assurer notamment une mission d’audit avec un objectif de 100 % d’audits de sécurité réalisés avec repérage des failles.
Par ailleurs, réaliser des entraînements type « plan blanc » orienté sur la cybersécurité permet de connaître et parfaire les procédures pour être opérationnel en cas d’attaque et de savoir les investissements à réaliser pour contrôler les éventuelles failles. Sur ce point, « il est important de viser des standards internationaux en termes de management de la sécurité des SI, recommande Nesrine Benyahia. Il ne suffit pas de s’en occuper de temps en temps : une vraie normalisation est nécessaire. D’autant que les hôpitaux connaissent bien les process de certification : il faut le faire d’un point de vue SI. C’est structurant, cela permet d’avoir des points de contrôle et d’être en amélioration continue ».
À tout cela s’ajoute la nécessité de mettre des pares-feux et une politique de mots de passe forts, de réaliser une veille technologique pour suivre les évolutions mais aussi de gérer tous les tiers (équipes, fournisseurs…), une importante source de risque . Il faut donc sensibiliser le personnel en permanence, rappeler les règles, et sanctionner en cas de non-respect car il y a une vraie responsabilité de l’hôpital. Il faut vraiment considérer la gestion des données comme étant du même ordre que la prise en charge : tout cela est un continuum ».
Donner les moyens nécessaires aux établissements
Un plan cybersécurité est en cours d’élaboration pour donner l’impulsion de départ
Mais encore faut-il avoir les moyens de mener cette stratégie. « Si les GHT permettent une certaine mutualisation et la possibilité de mettre en place un schéma directeur, cela reste des établissements physiquement distincts : il y a donc un important travail d’harmonisation des procédures et des manières de travailler », pointe Nesrine Benyahia. « Et tout cela demande des moyens financiers, matériels mais surtout des équipes étoffées, complète Cécile Chevance. Ces dernières années on a beaucoup recruté dans les grades et ces compétences pourraient être utilement orientées vers le cyber pour accompagner les hôpitaux pour consolider ce qui se fait déjà ».
Bien sûr, il va aussi falloir recruter dans les établissements notamment dans les établissements OSE pour constituer des départs de cybersécurité sur un territoire. Problème : « C’est malheureusement un secteur fort peu attractif, regrette Nesrine Benyahia. Il faut donner envie à des spécialistes expérimentés de travailler dans ce domaine à l’hôpital public ». « Pour cela, il faut des moyens et un accompagnement financiers pour les établissements, renchérit Cécile Chevance. Un plan Cybersécurité est en cours d’élaboration afin d’assurer un financement de départ mais il faut aussi des financements plus pérennes, seule solution pour pouvoir recruter ». Il faudra aussi accompagner les établissements plus petits qui n’ont pas les équipes ou des équipes réduites : eux aussi sont des cibles et leur taille ne doit pas les empêcher d’avoir un niveau de sécurité dans les règles de l’art.
« Mais ce qui nous est remonté par les DSI, c’est que le terrain n’a pas besoin qu’on leur dise quoi faire, conclut Cécil Chevance. Mais il leur faut les moyens de le faire et les aider à prioriser les actions car, en matière de cybersécurité, il y a beaucoup à faire. »
Les cyberattaques sont malheureusement devenues le quotidien dans le monde de la santé. Ce qui était annoncé il y a quelques années comme une menace est maintenant une réalité avérée. Le risque informatique est dorénavant un risque supplémentaire à gérer par les établissements. Ce qui explique la place prise aujourd’hui par les acteurs de la cybersécurité dans un rendez-vous comme SantExpo.
Les 10 règles d’or de l’Anssi pour se prémunir des cyberattaques
L’Agence nationale de la sécurité des systèmes d’information (Anssi) est un interlocuteur incontournable de la cybersécurité. Voir son site. : www.ssi.gouv.fr
Pour en savoir plus, découvrez l’article complet sur le blog de SantExpo : cliquez ici
Au programme
= > Les conférences
Mercredi 24 mai | 09h35-11h00 Pilotage par la donnée de santé et démocratie sanitaire : l’impossible équation ?
Les applications santé se multiplient chez les offreurs de soins, au niveau national avec mon espace santé et la plateforme de données de santé, mais aussi dans les applications santé/bien-être.
Mais le droit Européen et Français nous l’autorise-t-il ? Cela est-il compatible avec le respect de la vie privée ? Démocratie sanitaire et usage massif de données de santé personnelles sont-elles compatibles ?
= > Les Agoras
Mardi 23 mai
13h15 -14h00 | Agora E-santé : Hébergement des données de santé. La sécurisation n’est pas que technique : notre approche à 360° / GROUPE HISI
16h15-17h00 |Agora FHF : Cybersécurité : comment prévenir, agir et réagir / FHF
Mercredi 24 mai
11h15 -12h00 | Agora E-santé : Rennes et la Bretagne, la cybersécurité au service de la santé / DESTINATION RENNES
14h15-15h00 | Agora E-santé : Gouvernance des données et protection de la confidentialité des données patient à l'hôpital : l’exemple du GHU Paris Psychiatrie / CODOC
17h15 - 18h00 | Agora numérique : Cybersécurité : une réponse collective, déterminée et coordonnée pour faire face à la menace ! / ANS
Jeudi 25 mai
11h15-12h00 | Agora numérique : Assurer le service à l'usager face à une cybercrise / WELIOM
12h15-13h00 | Agora numérique : Cybersécurité des acteurs de Santé : les solutions existent ! / UGAP
Réservez votre badge visiteur gratuit
Les plus lus