Thomas Breton, Fondateur GPLExpert
Promouvoir la cyber-sécurité dans les établissements de santé, pour une sécurité maximale des organisations et des usagers.
CHARGÉS DE RENDRE LES ORGANISATIONS PLUS PERFORMANTES ET EFFICIENTES, LES SYSTEMES D’INFORMATION DOIVENT SANS CESSE SE RÉINVENTER TOUT EN MAINTENANT LA SÉCURITÉ INFORMATIQUE À SON NIVEAU D’EXCELLENCE.
Compte tenu de l’omniprésence et le recours grandissant aux nouvelles technologies dans toutes les strates de la société, les établissements de santé se trouvent eux aussi confrontés à une mutation conséquente de leurs modes de fonctionnement. Les gouvernements successifs ont désormais pour objectif de favoriser la transition numérique dans le domaine de la santé afin de développer des modes de gestion plus performants. Aussi bien d’un point de vue économique qu’au niveau de la qualité des soins.
Cette évolution visant à la réduction des coûts, à l’amélioration continue de la qualité et au développement de nouveaux usages vient donner un tout nouveau visage à un système de santé, aujourd’hui à bout de souffle.
Ainsi les missions confiées aux systèmes d’information sont toujours plus nombreuses, renforçant leur position stratégique au cœur des établissements. Ce positionnement contribue d’ailleurs au fait qu’ils soient massivement visés par différents types d’attaques informatiques de grandes ampleurs.
En effet, il a bien été intégré par les cyber malveillants que ces systèmes détenaient des informations fondamentales au fonctionnement des structures de santé. Leur dysfonctionnement pouvant conduire à de graves conséquences, les attaques viennent à se développer afin de nuire et extorquer des sommes considérables aux structures mal préparées et mal protégées.
Quelques chiffres … La rançon de la gloire ou comment les systèmes d’information de santé deviennent la cible privilégiée des cybermalveillants.
478 incidents jugés graves ou critiques ont été déclarés en seulement deux ans aux Agences Régionales de Santé par les établissements de santé, selon l’ASIP Santé (Agence des Systèmes d’Information partagés de Santé).
Environ 27 incidents « graves et critiques » sont ainsi déclarés chaque mois sur le dispositif ACSS (Accompagnement Cybersécurité des Structures de Santé) depuis sa mise en place en octobre 2017.
L’ASIP Santé précise que 12 % des incidents déclarés entraînent une mise en danger potentielle du patient.
L’avènement des rançongiciels (ou ransomware) a irrémédiablement changé la donne en matière de cybermalveillance. Les attaques sont désormais professionnalisées à l’extrême et le rythme s’intensifie un peu plus chaque jour. Ainsi au cours de l’été 2019, plusieurs établissements de santé français et groupements hospitaliers ont vu leur système d’information partiellement ou totalement paralysé.
Une fois le système d’information atteint, les organisations de santé ne doivent alors leur salut qu’à leur PCA (Plan de continuité d’Activité) et PRA (Plan de Reprise d’Activité).
La politique de sécurité du système d’information comme socle de défense
Il est aujourd’hui essentiel de pouvoir apporter aux patients et aux professionnels de santé des garanties élevées et uniformes en termes de confidentialité et de sécurité des données traitées par les systèmes d’information de santé.
La formalisation d’une PSSI (Politique de sécurité des systèmes d’information) répond alors à cette exigence.
Les composantes de la PSSI
Le périmètre de sécurité du SI doit comprendre l’ensemble des systèmes d’information ainsi que toutes les infrastructures techniques d’une structure. Cela concerne donc :
- Le SI médical, administratif et technique,
- Les infrastructures techniques, réseaux et télécommunications,
- La sécurité physique des bâtiments où sont hébergées les infrastructures du SI (en interne et/ou chez un hébergeur),
- La sécurité logique telle que les droits d’accès, les habilitations, etc.
- Les solutions de mobilité (postes portables, tablettes, etc.),
- La sécurité liée aux aspects humains, organisationnels, juridiques et assurantiels.
L’application de la PSSI doit aboutir à un espace de confiance partagé garantissant un niveau de protection adapté pour tous.
Le cycle d’amélioration continue de la sécurité du SI :
Témoignage de Michael TAULEIGNE, Responsable informatique pour Les Cliniques du Gard, ayant bénéficié d’un audit de sécurité organisationnelle et technique et d’un audit du système d’information
« L’expertise de GPLExpert nous a permis de mettre en évidence certaines faiblesses dans la gestion de notre SI tout en nous apportant de réelles solutions pour les corriger. Leur expérience et leur professionnalisme, que ce soit en termes de conseil, de gestion ou de propositions, se sont démontrés très bénéfiques à nos établissements »
Interview de Damien RIBEIRO, Responsable Sécurité du Système d’Information chez GPLExpert
« La sécurité ne doit plus être une option ni un nouveau projet à venir. Elle ne doit plus être un tabou ni un terme effrayant. La sécurité doit être un enjeu permanent à prendre en considération dans la mise en œuvre de chaque action et projet.
Pour y parvenir, la direction doit faire preuve de leadership et affirmer son engagement en faveur d’un management de la sécurité de l’information adapté à l’établissement. Il s’agit textuellement de l’une des premières mesures (chapitre 5.1) de la norme internationale ISO/IEC 27001 relative au management de la sécurité des systèmes d’information, mais aussi un des nombreux prérequis du programme HOP’EN.
Le soutien de la direction est indispensable pour la mise à disposition des ressources adéquates, la sensibilisation du personnel ainsi que la mise en œuvre des mesures organisationnelles et techniques pour faire face aux attaques quotidiennes. »
Interview de Jérôme VAN KEMMEL, Directeur de projets Système d’Information
« La mise en œuvre d’une PSSI doit être menée sous la forme d’un projet global. La démarche à adopter consiste à établir un référentiel logiciel et matériel de l’établissement, un organigramme des acteurs internes et externes, croisés avec une analyse des risques du système d’information.
Le référentiel SSI de l’établissement sera constitué du schéma directeur, des actions de formation aux bonnes pratiques, et d’une analyse des risques préalables fournissant les éléments permettant d’effectuer et de justifier les choix de sécurité édictés dans la PSSI. Autrement dit, la PSSI vient légitimer les actions préventives et curatives, tout en permettant de garantir une cohérence avec le contexte et la réalité de chaque établissement.
La méthode consistera à élaborer une politique de sécurité comprenant des éléments stratégiques ainsi que des règles de sécurité permettant d’assurer la fiabilité du système d’information.
La validation successive des différentes phases vise à faciliter l’implication de la DSI dans son rôle de conseil et de pilote, mais aussi de conforter l’importance des missions du RSSI (responsable de la sécurité) et du DPO (délégué à la protection des données personnelles). Sous l’impulsion primordiale des directions générales, sans oublier l’adhésion de tous les intervenants. Le trio DSI-RSSI-DPO sera alors la clé de voute d’une PSSI efficiente, cohérente, et appliquée par l’ensemble des utilisateurs du SI. »
Témoignage de Didier BATY, Directeur des systèmes d’information du Groupe Saint-Gatien ayant bénéficié d’un accompagnement des DPO de chacun des établissements
« La culture autour de la protection des données de santé a toujours été une priorité pour le Groupe Saint Gatien.
Nous avions déjà initié, dans le cadre du respect et de la maitrise des données de nos patients, un suivi CNIL depuis la mise en production de nos premiers dossiers patients.
Dès le mois de mai 2018, nous avons fait le choix d’aller plus vite en engageant un accompagnement de nos équipes en termes de gestion de données de santé.
Notre choix s’est porté vers GPLExpert qui a assuré un transfert de compétences auprès de nos “DPO sites” afin de les acculturer à la bonne prise en charge et à la bonne compréhension du Règlement général sur la protection des données (RGPD).
Nous allons souffler notre première bougie et constatons que ce règlement autour des données sensibles fait maintenant partie de nos réflexes au quotidien.
La prise de conscience impulsée a contribué à consolider l’accès et l’usage des données personnelles notamment en lien avec l’arrivée de nos portails patients accessibles et donc visibles depuis nos sites internet.
Notre souhait est d’aller aujourd’hui encore plus loin avec un programme de sécurité annuel mêlant un accompagnement RSSI, des sensibilisations et des audits réguliers. »
La sensibilisation du personnel comme levier (d’avant-garde) de la cybersécurité
Le personnel est particulièrement exposé aux cyberattaques, les directions se doivent ainsi de leur fournir les outils et les connaissances nécessaires pour se prémunir de ces menaces afin de réduire la surface d’attaque. Le constat est souvent le même : une seule négligence et c’est l’ensemble de votre SI qui est mis à mal. L’intérêt de sensibiliser ses collaborateurs à ce type d’intrusions trouve alors tout son sens.
GPLExpert a élaboré une formation spécifique à destination du personnel des établissements de santé afin de réduire leur vulnérabilité.
Interview de Jérôme VAN KEMMEL, Directeur de projets Système d’Information
« L’ensemble du personnel d’un établissement de santé a, à sa disposition, de nombreux outils informatiques tant matériels que logiciels. Les directions ont aujourd’hui conscience que certains professionnels ne maitrisent pas les fondamentaux dans l’utilisation de ces outils notamment en termes de règles de sécurité. En effet, l’homme est bien souvent la première cause des infections du fait d’une méconnaissance des risques et du manque de formation. Les menaces actuelles de crypto virus demandent donc à ce que le personnel de l’établissement soit informé des risques encourus et formé aux notions de base de l’informatique et de sa sécurité. L’instruction N°SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en œuvre du plan d’action sur la sécurité des systèmes d’information (“Plan d’action SSI”) dans les établissements et services concernés, place comme priorité n° 2 la mise en œuvre d’actions de formation SSI et l’inscription d’au moins une action de sensibilisation à la SSI dans le plan de formation annuel à destination du personnel de la structure. Ainsi la formation GPLExpert a été spécialement conçue dans le but de répondre à cette règlementation. »
Objectifs principaux de la formation :
- Acquérir les notions de base et bonnes pratiques de la sécurité informatique
- Connaitre les menaces liées à l’utilisation du matériel informatique
Description de la formation
- Comprendre quels sont les types de menaces et risques associés qui planent sur les établissements de santé
- Identifier et modéliser les menaces
- Connaitre les règles essentielles de la sécurité informatique
- Appréhender les aspects légaux et responsabilités
- Connaitre le périmètre de la sécurité menée en interne à travers la PSSI
- Adopter les règles d’hygiène informatique
Témoignage de Julien MEILLIER, Responsable informatique de la Clinique CRF PASORI, ayant bénéficié d’une formation de sensibilisation à la sécurité informatique
Quand avez-vous pris conscience du besoin de formation à la sécurité informatique de votre personnel ?
« En constatant l’augmentation du nombre de cyberattaques et en sachant que la plus grosse des failles est souvent représentée par l’utilisateur lui-même n’étant pas averti des bonnes pratiques en termes de sécurité informatique. Un virus téléchargé par un utilisateur ne connaissant pas la provenance d’un mail et de sa pièce jointe peut complètement stopper la production d’un établissement. En tant que responsable informatique, on se rend alors compte de l’importance qu’il y a de sensibiliser les utilisateurs aux bonnes pratiques.
Quels sont pour vous les points forts de cette formation ?
“Permettre de diminuer les risques liés à une mauvaise utilisation du matériel informatique me semble être le point fort de cette formation. Personnellement, j’ai moins d’alertes de virus ou fichiers ‘suspects’ sur mon serveur d’administration des antivirus.
À présent, les utilisateurs me contactent lorsqu’ils ont un doute concernant la provenance d’un mail, d’une URL non sécurisée, etc. Cette formation a permis à chacun de comprendre quel intérêt il y a à redoubler de vigilance, tant au sein de la sphère professionnelle que personnelle.”
Quel retour utilisateur avez-vous eu concernant la formation animée par GPLExpert ?
“Au départ cette formation n’enchantait pas grand monde, mais tous ont finalement cerné quels étaient les enjeux de la sécurité informatique. Lors de la formation, la participation ainsi que les interrogations ont été nombreuses et cela continue encore aujourd’hui à travers l’appel du service informatique. Même si certains aspects peuvent paraitre complexes, des choses très simples ont pu être vite mises en œuvre. Par exemple, le personnel a réellement intégré l’importance de modifier son mot de passe régulièrement et de faire en sorte que celui-ci soit fiable.”
Avez-vous observé des changements de comportement de vos utilisateurs après cette formation ?
“Oui, je remarque plus de prudence et d’attention. L’ouverture des PJ, l’utilisation de clé USB et l’importance de me contacter en cas de doute sont aujourd’hui devenues des habitudes.”
Grâce à l’ensemble de tous ces constats, la formation des utilisateurs, l’audit des failles de sécurité menant à un plan d’action et la rédaction d’une politique de sécurité éprouvée et respectée par tous les utilisateurs internes et externes du SI, seront alors la clé de voute d’une sécurité optimale des données de votre système d’information dans son entier.
