Réservez votre badge visiteur pour la Paris Healthcare Week
29 au 31 mai 2018

Un événement

La cybersécurité, les hôpitaux attendus au tournant


La cybersécurité, les hôpitaux attendus au tournant

 Les établissements de soins sont déjà à un tournant en matière de sécurité informatique. A l’heure où les données de santé représentent plus que jamais une denrée convoitée et où la réglementation se fait de plus en plus contraignante, ils doivent en outre faire leur le progrès numérique, lui-même source de nouveaux périls potentiels dont il convient de se prémunir. Bref, rien n’est simple au pays du data.

 

Transformation numérique et service au patient

Les hôpitaux doivent concilier transformation numérique et service au patient. Ce qui, en creux, induit des contraintes très fortes en matière de cybersécurité : la protection des données personnelles des patients, la modernisation des Systèmes d’information (SI) et la mobilité impliquant notamment l’ouverture aux accès externes via l’Internet, la sécurisation des systèmes industriels et de l’Internet des objets.

Et ce, dans un environnement mouvant dans la mesure où les établissements sont caractérisés par la présence d’un très grand nombre d’intervenants, une variété d’applications et de systèmes informatiques et enfin, des personnels soignants soumis à des contraintes de mobilité. Le tout dans un contexte de mise en conformité au regard de réglementations de plus en plus contraignantes à l’image du tout récent RGPD (Règlement général sur la protection des données).

 

Les hôpitaux ont-ils les moyens ?

Problème : les hôpitaux n’ont pas les moyens d’honorer pleinement leurs obligations en la matière. « Beaucoup ont peu de ressources internes et, de surcroît, insuffisantes pour tout faire, confirme Jean-Noël de Galzain, Président et fondateur de WALLIX, éditeur de solutions en matière de cybersécurité. Quand ils n’ont pas, en sus, un retard important à rattraper en matière de cybersécurité. Or, les obligations légales auxquelles ils sont soumis induisent des investissements conséquents dans une période de disette budgétaire durable qui leur impose de rechercher des postes où faire des économies afin de gagner en compétitivité. »

En clair, plus le temps passe et plus la situation s’apparente à une course contre la montre : « La plupart des établissements de santé ont conscience des défis à relever en matière de cybersécurité en très peu de temps, avec énormément de contraintes liées à leurs systèmes existants. Ils ont des budgets limités pour prévenir les risques et déployer les outils de cybersécurité dont ils ont pourtant besoin. Or, il leur faut en plus, se préparer à déployer tout un ensemble d’objets connectés avec leur lot de risques supplémentaires dans un contexte où les utilisateurs internes (médecins, infirmiers, personnels soignants…) sont exigeants, et la réglementation plus contraignante. »

Le secteur de la santé est en l’un de ceux qui sont les plus exposés aux risques informatiques dans la mesure où la donnée de santé est celle qui a le plus de valeur sur les plates-formes de marché de données. Leur divulgation est facilitée par le fait qu’il n’y a pas de traçabilité sur le dark web – ou marché noir de la donnée – car il s’agit d’un Internet anonymisé.

 

Des solutions transverses et groupées

La révolution numérique à l’œuvre en milieu hospitalier nécessite des solutions de cybersécurité qui sécurisent à la fois les infrastructures en tant que telles mais aussi l’accès aux données. Par ailleurs, au vu du contexte économique contraint du secteur de la santé mais également de la variété des impératifs à satisfaire, la tendance actuelle va à des solutions le plus souvent transverses et groupées sous forme de packages commercialisés selon différentes modalités, par exemple en mode souscription, en mode hébergé, sous forme de service etc. Vu l’ampleur des chantiers, elles doivent être ergonomiques et aisées à intégrer dans les configurations déjà présentes dans les établissements avec un retour sur investissement rapide.

Dans cette optique, des sociétés, à l’image de WALLIX, ont mis au point des solutions qui permettent aux établissements de prévenir les risques informatiques et de se mettre en conformité avec la réglementation relative à l’accès aux données personnelles et aux systèmes sensibles. Et ce, en gérant tous les accès et mots de passe du système d’information. Il s’agit d’élever le niveau de sécurité et d’éviter les fuites de données fréquentes dans le secteur. Comment ? En traçant l’accès aux applications, en protégeant l’accès externe et celui des prestataires ainsi que, plus largement, l’accès distant au réseau, aux systèmes industriels et plus largement, au système d’information.

Autre option : protéger, dans le respect des réglementations, les applications des hébergeurs de données de santé afin d’être certain que ces derniers verrouillent de manière efficace l’accès à leur propre système. Par ailleurs, il est possible de compléter ce dispositif par un logiciel de chiffrement end to end, autrement dit, de de bout en bout, des données, que celles-ci transitent d’un équipement à un autre ou d’un utilisateur à un autre. Toute la mobilité et tous les flux transitant dans les applications sont ainsi chiffrés, ce qui évite que n’importe qui puisse avoir connaissance de données qui sont mises en lecture ou téléchargées et permet, par là même, de se conformer au RGPD.

Plus largement, c’est le rôle d’HEXATRUST, groupement de quarante-sept entreprises, de fédérer et de proposer un portefeuille de solutions de cybersécurité et de cloud de confiance. Des outils certifiés par l’Agence nationale de sécurité des systèmes d’information, gage de fiabilité. « Aujourd’hui, la composante cybersécurité doit être au cœur de tous les projets de modernisation des services publics et de la santé connectée. Avec la mise en route du Règlement général sur la protection des données (RGPD), le 25 mai 2018, la protection des données n’est plus une option mais une obligation : c’est le Privacy et le Security by design. Avec HEXATRUST nous sommes très fiers de rejoindre cette année le village UGAP », conclut Jean-Noël de Galzain, également Président et fondateur d’HEXATRUST.

Il sera possible de découvrir ces outils de manière approfondie lors de la prochaine Paris Healthcare Week, au village UGAP, ainsi que bien d’autres solutions destinées à accompagner les établissements à la fois dans la mutation informatique dans laquelle ils sont engagés mais aussi pour qu’ils soient en capacité de se conformer aux contraintes réglementaires.

Orientation non prise en charge

Pour une meilleure expérience,
veuillez tourner votre appareil en mode portrait.