Ce ne sont pas moins de 151 établissements, dont 127 hôpitaux et 24 structures d’hébergement médicalisées, qui ont répondu au questionnaire élaboré par le groupe de travail du CLUSIF – qui s’est une fois de plus appuyé sur quatorze thèmes* de la norme ISO 27002 : 2013 relative à la sécurité des systèmes d’information. Il a d’ailleurs élargi son périmètre par rapport à la précédente enquête : en 2014, celle-ci ne ciblait que les établissements de 200 lits et plus, en se concentrant sur les activités hospitalières. Elle porte désormais sur les établissements de 100 lits et plus, et s’intéresse également aux établissements d’hébergement médicalisé.
La fonction RSSI acquiert ses lettres de noblesse
Le profil des personnes interrogées a lui aussi évolué : 86% dépendent désormais de fonctions informatiques, 11% de fonctions managériales, et seulement 3% de fonctions techniques et de sécurité. « Ce sont les RSSI [Responsables de la sécurité des systèmes d’information – NDLR] qui ont majoritairement répondu à l’enquête, alors qu’en 2014 et 2010 les sondés étaient principalement des directeurs ou responsables SI/informatique. Ceci permet de penser qu’il y a une vraie professionnalisation de la fonction de gestion de la sécurité du SI avec plus d’expertise, plus de moyens et plus d’autonomie », se félicitent les auteurs. La fonction RSSI est d’ailleurs désormais attribuée dans 80% des établissements – et même 95% des institutions de plus de 1 000 lits –, et exercée à temps plein dans près d’un établissement sur deux. Les trois quarts des répondants parlent même « d’équipe RSSI », soit une augmentation de 30% par rapport à l’enquête précédente. Une évolution qui peut expliquer la généralisation des inventaires d’actifs dans 90% des cas, la mise en place de tableaux de bord dans 38% des institutions et l’élaboration d’un plan d’amélioration de la sécurité dans trois établissements sur quatre.
Une meilleure formalisation des politiques de sécurité
Le nombre d’établissements ayant formalisé leur Politique de Sécurité des Systèmes d’Information (PSSI) a lui aussi fait « un bond spectaculaire », passant de 50% en moyenne à plus de 90%. Ces politiques, qui s’appuient sur des normes et des référentiels pour 84% des répondants, sont largement diffusées, souvent à jour et massivement soutenues par la direction générale. L’évolution du contexte règlementaire n’y est certainement pas étrangère : les établissements de santé sont soumis à des textes spécifiques, comme les Politiques Générales de sécurité des systèmes d’information pour les Ministère chargés des affaires sociales (PGSSI-MCAS), les Politiques générales de sécurité des systèmes d’information de santé (PGSSI-S), le référentiel de certification élaboré par la Haute Autorité de Santé, la certification des comptes, etc.
Le Programme Hôpital Numérique (2012-2017) a également été moteur de ce changement, puisque plus de huit établissements sur dix estiment être en conformité avec ses exigences – « c’est trois fois plus qu’il y a 4 ans », note le CLUSIF. Sept établissements sur dix déclarent en outre mener entre un et cinq audits de sécurité par an. Cette tendance traduit par ailleurs les premiers impacts du Règlement général sur la protection des données (RGPD), même si seulement 56% des répondants jugeaient être prêts, du moins partiellement, au moment de l’enquête – qui a été menée moins de 6 mois avant son entrée en vigueur. Toutefois, « la marche à franchir reste haute », estiment les auteurs : il sera « délicat » pour le directeur des systèmes d’information, ou le RSSI placé sous son autorité, d’assumer le rôle de Délégué à la protection des données (DPO), dont la nomination est rendueindispensable par le RGPD. Il lui faut en effet pouvoir travailler « sans instructions » et veiller à ce que ses autres missions et tâches n’entraînent pas de « conflits d’intérêts ».
Le Programme Hôpital Numérique (2012-2017) a également été moteur de ce changement, puisque plus de huit établissements sur dix estiment être en conformité avec ses exigences – « c’est trois fois plus qu’il y a 4 ans », note le CLUSIF. Sept établissements sur dix déclarent en outre mener entre un et cinq audits de sécurité par an. Cette tendance traduit par ailleurs les premiers impacts du Règlement général sur la protection des données (RGPD), même si seulement 56% des répondants jugeaient être prêts, du moins partiellement, au moment de l’enquête – qui a été menée moins de 6 mois avant son entrée en vigueur. Toutefois, « la marche à franchir reste haute », estiment les auteurs : il sera « délicat » pour le directeur des systèmes d’information, ou le RSSI placé sous son autorité, d’assumer le rôle de Délégué à la protection des données (DPO), dont la nomination est rendueindispensable par le RGPD. Il lui faut en effet pouvoir travailler « sans instructions » et veiller à ce que ses autres missions et tâches n’entraînent pas de « conflits d’intérêts ».
Une sécurisation renforcée des usages
Parmi les autres enseignements de l’étude MIPS, les établissements de santé s’estiment incapables d’évaluer correctement les coûts liés à la sécurité des informations (81% des répondants), même si un tiers des répondants affirme que son budget Sécurité de l’information est en augmentation. En tout état de cause, l’enquête pointe « le manque de budget (pour 52% des répondants) et le manque de personnel qualifié (43%) comme les principaux freins à la conduite des missions de sécurité de l’information. Et là, il n’y a malheureusement pas d’amélioration par rapport à l’étude de 2014 ». Par ailleurs, seulement un tiers des établissements effectue une analyse de l’impact financier des incidents. Mais tous semblent « se donner les moyens » de collecter les incidents de façon plus exhaustive et d’être plus efficaces dans leur traitement. Cela dit, « les dépôts de plaintes et les signalements d’incidents graves restent faibles ».
L’étude met enfin en lumière la « très nette priorité » accordée à la protection des outils de mobilité par des systèmes de chiffrement, des pare-feux et des antivirus, afin de mieux prendre en compte les nouveaux usages nomades. Le filtrage des accès internet « explose », passant de 14% des établissements en 2010 à 75% en 2018. En revanche, l’interdiction d’accéder au SI depuis un poste extérieur non maîtrisé est en recul et concerne un établissement sur deux. Les interdictions frappant le BYOD (Bring your own device, ou l’utilisation des outils personnels dans un contexte professionnel) et les réseaux sociaux restent pour leurs parts stables. Les auteurs notent par ailleurs « une augmentation significative » du nombre d’établissements effectuant une veille en vulnérabilité, mais « ces vulnérabilités concernent un périmètre mal maîtrisé, en particulier le biomédical ». Ce sont autant de pistes d’amélioration avant la prochaine étude !
Plus d’informations : https://clusif.fr
*Politique de la sécurité de l’information, Organisation de la sécurité de l’information, Sécurité des ressources humaines, Gestion des actifs, Contrôle d’accès, Cryptographie, Sécurité physique et environnementale, Sécurité liée à l’exploitation, Sécurité des communications, Acquisition, développement et maintenance du système d’information, Relations avec les fournisseurs, Incidents de sécurité, Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité, Conformité.
L’étude met enfin en lumière la « très nette priorité » accordée à la protection des outils de mobilité par des systèmes de chiffrement, des pare-feux et des antivirus, afin de mieux prendre en compte les nouveaux usages nomades. Le filtrage des accès internet « explose », passant de 14% des établissements en 2010 à 75% en 2018. En revanche, l’interdiction d’accéder au SI depuis un poste extérieur non maîtrisé est en recul et concerne un établissement sur deux. Les interdictions frappant le BYOD (Bring your own device, ou l’utilisation des outils personnels dans un contexte professionnel) et les réseaux sociaux restent pour leurs parts stables. Les auteurs notent par ailleurs « une augmentation significative » du nombre d’établissements effectuant une veille en vulnérabilité, mais « ces vulnérabilités concernent un périmètre mal maîtrisé, en particulier le biomédical ». Ce sont autant de pistes d’amélioration avant la prochaine étude !
Plus d’informations : https://clusif.fr
*Politique de la sécurité de l’information, Organisation de la sécurité de l’information, Sécurité des ressources humaines, Gestion des actifs, Contrôle d’accès, Cryptographie, Sécurité physique et environnementale, Sécurité liée à l’exploitation, Sécurité des communications, Acquisition, développement et maintenance du système d’information, Relations avec les fournisseurs, Incidents de sécurité, Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité, Conformité.