La 27001, une base solide de gouvernance de la sécurité informatique
L’évolution des traitements de l’information et les transformations numériques dans la sphère santé et médico-sociales entraînent une mutation de culture de la sécurité de l’information.
Les interactions entre les professionnels de santé sont très nombreuses et elles deviennent de plus en plus fréquentes avec des sociétés qui ne sont pas des professionnels de santé, notamment avec les startups impliquées dans les objets connectés ou applications dédiées à la santé.
Ces équipements contiennent un nombre très important de données de santé et la plupart du temps des données personnelles sensibles.
De par ces multiples interactions et l’ouverture des systèmes d’information, les établissements de santé deviennent des cibles potentielles d’attaques informatiques. Elles sont de plus en plus présentent et peuvent déstabiliser les organisations et impacter leurs activités.
Les nouvelles réglementations, notamment avec la mise en application du nouveau règlement européen sur la protection des données personnelles (RGPD), ont accru les besoins de prise en compte de la sécurité de l’information dès la conception et ont permis de changer le regard des praticiens sur l’aspect de la sécurité de l’information.
La protection à 100 % n’existe pas, même pour de grands groupes, qui ont depuis des années pris très au sérieux la sécurité informatique. Chaque semaine, la presse se fait le relais d’incidents de sécurité de l’information dans des sociétés de premier plan. Récemment un hôpital portugais a été condamné pour non-respect du RGPD et pour des mesures de protection qui ont été défaillantes.
Face aux enjeux de la Cybersécurité, la sécurité de l’information doit être considérée comme une composante essentielle du système d’information dès sa conception pour anticiper les attaques et avoir la capacité d’y apporter une réponse.
Pour réussir leur transition digitale, les établissements de santé et leurs services informatiques vont devoir revoir leurs politiques de protection de l’information.
Les responsables de traitements imposent aux prestataires d’héberger leurs données de santé dans des centres de donnée certifiée HDS (Hébergeur de Données de Santé) dans la majorité des projets pour garantir la sécurité des données. La sécurité de la donnée doit être globale, c’est-à-dire s’appliquer de la collecte au stockage. La partie collecte et gestion de la donnée n’est pas toujours prise en compte, comment imposer la norme HDS quand l’ensemble du traitement ne bénéficie d’aucune normalisation ?
Pendant des années, la sécurité de l’information a été mise en œuvre à partir de solutions techniques sans identifier les risques réels et adapter les mesures de protection aux scénarios de menaces.
La gouvernance de la sécurité des systèmes d’information est la pierre angulaire d’une sécurité efficace. Les directions doivent s’inscrire dans une démarche globale de gouvernance de la sécurité.
C’est dans ce contexte que la norme ISO 27001 apporte une réponse intéressante sur le plan de la gouvernance, de l’humain et des mesures techniques.
Les objectifs de la norme ISO 27001 sont d’assurer une sécurité efficace de l’information et réduire les risques sur les actifs de l’organisation en les protégeant dans leur intégrité, confidentialité, disponibilité contre les menaces et les vulnérabilités.
La norme ISO 27001 est basée sur une évaluation permanente du risque de la Sécurité de l’information et du traitement du risque, elle adopte un modèle de processus fondé sur le PDCA (Plan – Do – Check – Act).
S’engager dans une démarche ISO 27001, c’est proposer une réelle réponse à la sécurité de l’information en impliquant l’ensemble des acteurs de l’organisation. Un des enjeux de la démarche est d’avoir un objectif précis en matière de sécurité de l’information et de pouvoir s’appuyer sur un référentiel d’exigences, il n’est plus possible d’arrêter le projet si la certification est programmée.
L’aspect humain est un élément essentiel, les professionnels de santé ne sont pas des informaticiens, trop souvent la sécurité n’a pas été intégrée dans les systèmes d’information. C’est encore le cas dans de nombreux établissements.
La norme ISO 27001 a des exigences très fortes, avec pour objectif de placer l’humain au centre du SMSI (Système de Management de la Sécurité de l’Information). La démarche se fonde sur l’appréciation du risque et sur les niveaux d’acceptation du risque définis par l’organisme pour traiter et gérer efficacement les risques.
L’ensemble du SMSI intègre des politiques, procédures, lignes directrices, des ressources et activités associées, gouvernées globalement dans le but de protéger les actifs de l’organisation.
L’approche a pour objectif d’établir, mettre en œuvre, exploiter, surveiller, réexaminer, maintenir et améliorer la sécurité de l’information continuellement.
La démarche peut paraître au départ fastidieuse à mettre en œuvre, mais bien préparés beaucoup d’établissement de santé peuvent réaliser cette conduite de changement.
L’importance de la certification demeure, mais l’engagement dans la démarche pour progresser sur le chemin de la sécurité de l’information est essentiel.
Alban Caouren
Consultant en cybersécurité au sein du cabinet de conseil Inotyko
Le cabinet Inotyko a pour cœur de métier le conseil, l’audit et la formation dans la gouvernance des systèmes d’information.
Inotyko est présent dans des environnements et secteurs très variés, cette expérience permet d’apporter des réponses spécifiques et pragmatiques.
Profil Alban Caouren :
https://www.linkedin.com/in/albancaouren/
