La prise en compte de la SSI est relativement récente dans le secteur de la santé. Pourquoi ?
Jérôme Van Kemmel : Elle n’a pas toujours été un axe prioritaire pour le secteur de la santé, alors même que les différentes briques logicielles du processus de prise en charge du patient étaient progressivement informatisées. Les hôpitaux étant devenus des cibles de choix pour les cyber-pirates, un véritable levier législatif entre en scène à partir de 2016. En effet, la DGOS a publié la circulaire 309 relative à la mise en œuvre d’un plan d’action sur la SSI, tandis que les tutelles ont intégré les mécanismes de sécurité dans les indicateurs des établissements et les programmes de transition numérique. Enfin, le RGPD vient asseoir la sécurisation du SI autour de la donnée personnelle. C’est que l’enjeu est de taille : le système d’information, et par extension sa sécurisation physique et celle des données traitées, sont aujourd’hui au cœur du fonctionnement hospitalier !
Jérôme Van Kemmel : Elle n’a pas toujours été un axe prioritaire pour le secteur de la santé, alors même que les différentes briques logicielles du processus de prise en charge du patient étaient progressivement informatisées. Les hôpitaux étant devenus des cibles de choix pour les cyber-pirates, un véritable levier législatif entre en scène à partir de 2016. En effet, la DGOS a publié la circulaire 309 relative à la mise en œuvre d’un plan d’action sur la SSI, tandis que les tutelles ont intégré les mécanismes de sécurité dans les indicateurs des établissements et les programmes de transition numérique. Enfin, le RGPD vient asseoir la sécurisation du SI autour de la donnée personnelle. C’est que l’enjeu est de taille : le système d’information, et par extension sa sécurisation physique et celle des données traitées, sont aujourd’hui au cœur du fonctionnement hospitalier !
Pouvez-vous nous citer des incidents auxquels vous avez été confronté en 2018 ?
J’en retiendrai plus particulièrement quatre. D’abord, la non redondance des serveurs qui, en cas de panne, se traduit par l’indisponibilité et parfois la perte des données de santé, avec des risques majeurs pour le patient et des pertes financières liées à l’arrêt forcé de l’activité. Ensuite la non validation, en amont, du fonctionnement en mode dégradé dans les établissements disposant de serveurs redondés : les données du DPI et des logiciels métiers sont alors certes dupliquées mais incomplètes. Comment, dans ce cas, assurer la sécurité et la continuité des soins ? Troisième grand risque, le manque de formation des utilisateurs à la SSI, qui peuvent dès lors diffuser à leur insu un ransomware avec chiffrement des données et paralyser le SI. Enfin, le vol d’un matériel informatique dont les accès ne sont pas protégés et les données non chiffrées : des informations sensibles peuvent alors être divulguées à des personnes potentiellement malveillantes. Ainsi, si tous ces exemples constituent des incidents graves de sécurité soumis à déclaration auprès de l’ARS, le dernier cas de figure représente également une infraction RGPD et doit en outre être signalé à la CNIL.
J’en retiendrai plus particulièrement quatre. D’abord, la non redondance des serveurs qui, en cas de panne, se traduit par l’indisponibilité et parfois la perte des données de santé, avec des risques majeurs pour le patient et des pertes financières liées à l’arrêt forcé de l’activité. Ensuite la non validation, en amont, du fonctionnement en mode dégradé dans les établissements disposant de serveurs redondés : les données du DPI et des logiciels métiers sont alors certes dupliquées mais incomplètes. Comment, dans ce cas, assurer la sécurité et la continuité des soins ? Troisième grand risque, le manque de formation des utilisateurs à la SSI, qui peuvent dès lors diffuser à leur insu un ransomware avec chiffrement des données et paralyser le SI. Enfin, le vol d’un matériel informatique dont les accès ne sont pas protégés et les données non chiffrées : des informations sensibles peuvent alors être divulguées à des personnes potentiellement malveillantes. Ainsi, si tous ces exemples constituent des incidents graves de sécurité soumis à déclaration auprès de l’ARS, le dernier cas de figure représente également une infraction RGPD et doit en outre être signalé à la CNIL.
Dans ce contexte, quelles sont les prestations proposées par GPLExpert ?
Elles sont de plusieurs natures (accompagnement humain, infogérance, ingénierie, …), et s’articulent autour du pilotage et de la coordination du plan d’action SSI, sur la base d’une cartographie des risques informatiques et de la centralisation des remontées terrain. Nous pouvons alors organiser des sessions de formation à la SSI, sécuriser les infrastructures, serveurs et réseaux, y compris pour confiner des cyber-attaques potentielles, tester et valider le mode dégradé, assister à la mise en œuvre du RGPD, etc. Nous avons notamment une prestation externalisée de responsable de la SSI, visant à apprécier la pertinence de la politique de sécurité, à évaluer l’application effective des chartes informatiques et à proposer des axes d’amélioration ainsi qu'une prestation de Centre Opérationnel de Sécurité (SOC) pour anticiper et réduire les incidents de sécurité du SI. Rappelons que les prérequis identifiés par les tutelles sont les mêmes que ceux demandés par les sociétés d’assurance couvrant la perte d’activité liée aux événements informatiques graves. Leur atteinte est donc doublement stratégique !
Plus d'informations : https://gplexpert.com
Interview réalisée par Joyce Raymond dans le numéro 44 d'Hospitalia, magazine à consulter en intégralité ici
Elles sont de plusieurs natures (accompagnement humain, infogérance, ingénierie, …), et s’articulent autour du pilotage et de la coordination du plan d’action SSI, sur la base d’une cartographie des risques informatiques et de la centralisation des remontées terrain. Nous pouvons alors organiser des sessions de formation à la SSI, sécuriser les infrastructures, serveurs et réseaux, y compris pour confiner des cyber-attaques potentielles, tester et valider le mode dégradé, assister à la mise en œuvre du RGPD, etc. Nous avons notamment une prestation externalisée de responsable de la SSI, visant à apprécier la pertinence de la politique de sécurité, à évaluer l’application effective des chartes informatiques et à proposer des axes d’amélioration ainsi qu'une prestation de Centre Opérationnel de Sécurité (SOC) pour anticiper et réduire les incidents de sécurité du SI. Rappelons que les prérequis identifiés par les tutelles sont les mêmes que ceux demandés par les sociétés d’assurance couvrant la perte d’activité liée aux événements informatiques graves. Leur atteinte est donc doublement stratégique !
Plus d'informations : https://gplexpert.com
Interview réalisée par Joyce Raymond dans le numéro 44 d'Hospitalia, magazine à consulter en intégralité ici