2628

Mai

2020

Paris Expo
Porte de Versailles
Hall 1

3 jours dédiés aux acteurs de la Santé

État des lieux de la sécurité des systèmes d’information dans les établissements de santé français en 2018


L’étude Menaces informatiques et pratiques de sécurité en France (MIPS) réalisée par le CLUSIF tous les deux ans fait référence par la taille et la représentativité de ses échantillons. L’édition 2018, présentée le 26 juin et consultable sur le site internet du CLUSIF, faisait notamment le bilan des pratiques dans les établissements de santé de plus de 100 lits. 151 établissements, dont 127 hôpitaux et 24 structures d’hébergement médicalisé, ont répondu au questionnaire élaboré par un groupe de travail du CLUSIF en s’appuyant, par souci d’exhaustivité, sur quatorze thèmes de la norme ISO 27002:2013 :

Clusif : sécurité des SI, norme ISO 27002:2013

L’étude MIPS permet de mesurer l’évolution de la sécurité des systèmes d’information de santé tous les quatre ans. Quels principaux enseignements pouvons-nous tirer des réponses au questionnaire ? 

Une conformité aux obligations légales et réglementaires en phase de consolidation

67% des établissements de santé sont soumis à des lois ou règlements spécifiques telles que les politiques de sécurité des systèmes d’information pour les ministères chargés des affaires sociales (PSSI-MCAS), les politiques générales de sécurité des systèmes d’information de santé (PGSSI-S), la certification des comptes, etc.

Le Programme Hôpital Numérique, instauré à partir de 2012, a ainsi été un véritable moteur du changement puisque plus de huit établissements sur dix estiment être en conformité avec ses exigences. Le Règlement Général sur la Protection des Données (RGPD) aura sans doute à terme les mêmes effets mais seuls 56% des établissements jugeaient être prêts à son adoption au moment où ils ont été interrogés (entre début janvier et mi-mars 2018).

Les contrôles de sécurité du système d’information ont par ailleurs fortement progressé avec le développement d’audits : sept établissements sur dix déclarent mener en moyenne un à cinq audits par an.

Des politiques de sécurité de plus en plus structurées

92% des établissements déclarent avoir une politique de sécurité des systèmes d’information (PSSI). Leur formalisation a donc connu une croissance spectaculaire puisqu’ils n’étaient que 50% en 2014. Ces politiques, pilotées en s’appuyant sur des normes et des référentiels pour 84% des institutions, sont largement diffusées, souvent à jour et massivement soutenues par la direction générale.

En parallèle, la fonction RSSI a connu une forte croissance puisqu’elle est attribuée dans 80% des établissements, à temps plein dans un organisme sur deux. Une équipe en charge de la sécurité des systèmes d’information a même été constituée dans 70% des établissements, ce qui explique la généralisation de l’inventaire des actifs dans 90% des cas, la mise en place de tableaux de bord dans 38% des institutions et l’élaboration d’un plan d’amélioration de la sécurité dans trois établissements sur quatre. En revanche, seulement un tiers des organismes ont réalisé une évaluation formelle en s’appuyant sur une méthode comme EBIOS, ISO 27005, MEHARI…

Clusif : inventaire des actifs de l'établissement

Tous les établissements ont mis en place des politiques de sécurité destinées à la gestion des ressources humaines en diffusant tout d’abord largement leur charte d’utilisation du système d’information. Trois institutions sur cinq ont également élaboré un programme de sensibilisation à la sécurité des systèmes d’information grâce à la publication d’articles dans l’intranet ou le journal interne, l’envoi d’emails, etc. Des procédures formelles de gestion des accès à privilèges et des règles de constitution et de péremption des mots de passe ont de plus été mises en place dans 70% et 87% des organismes, respectivement. Enfin, 80% des établissements disposent d’une politique de gestion des départs et s’assurent de la modification des droits d’accès des utilisateurs et de la restitution du matériel appartenant à l’établissement en cas de départ ou de mutation d’un collaborateur. Seule la cryptographie reste encore sous-exploitée.

Clusif : Technologies/approches de sécurisation en matière de contrôle d’accès logique

Une attention croissante à la sécurisation des usages

La sécurité physique et environnementale des établissements de santé est une préoccupation constante qui explique que le corps médical endosse de plus en plus la responsabilité de la sécurité physique des dossiers médicaux et que les salles machine sont surveillées grâce à un système de détection incendie, de la vidéo-surveillance et un contrôle d’accès par badge.

Clusif : Responsabilité de la sécurité physique du dossier du patient

La sécurisation des communications est aussi un enjeu important à l’origine de la croissance phénoménale du filtrage systématique des accès web dans 75% des établissements contre 14% en 2010. L’interdiction du Bring Your Own Device (BYOD) et des réseaux sociaux dans 77% et 44% des institutions, respectivement, est quant à elle restée stable. La protection des outils de mobilité par des systèmes de chiffrement, des pare-feux, des antivirus est devenue une priorité qui témoigne de la transformation des habitudes des travailleurs. L’interdiction d’accéder au SI depuis un poste extérieur non maîtrisé est en revanche en recul et concerne un établissement sur deux.

Clusif ; Management de la sécurité des réseaux

L’utilisation croissante de services de Cloud dans 25% des établissements pose de nouveaux défis aux responsables de la sécurité des systèmes d’information. Seuls 49% des institutions utilisent des réseaux privés et rares sont celles qui ont mis en place un règlement intérieur sur la politique d’utilisation du Cloud. 42% des établissements ont cependant eu recours à des spécialistes de l’hébergement de données de santé pour externaliser tout ou partie de leur système d’information et réalisent un suivi régulier du fournisseur à l’aide d’indicateurs de sécurité pour la moitié et d’audits pour 30% d’entre eux.

Des moyens accrus pour la gestion des risques et des incidents mais des impacts encore mal évalués

Près de neuf établissements de santé sur dix réalisent des veilles permanentes sur les vulnérabilités et les solutions de sécurité de l’information existantes, 81% font un inventaire des risques et la mise en place de systèmes de détection et de prévention des intrusions a connu une forte croissance. Les vulnérabilités concernent par contre un périmètre mal maîtrisé, en particulier le biomédical, et seul un établissement sur deux formalise des procédures de déploiement de correctifs de sécurité.

57% des établissements de santé ont désormais une cellule dédiée à la gestion des incidents, ce qui a permis d’améliorer leur collecte et de les traiter plus efficacement : 75% des incidents sont résolus en moins de 24h. Les incidents rapportés concernent surtout l’indisponibilité de services causée par des pannes internes, des infections par virus pour 42% des organismes et des attaques informatiques (fraude informatique, sabotage physique, attaque logique ciblée, divulgations, actes de chantage ou d’extorsion) dans moins d’un établissement sur dix. Les vols et les pertes de services essentiels qui touchent respectivement 27% et 17% des établissements sont en forte diminution.

La gestion de la continuité de l’activité s’est développée avec la mise en place de dispositifs dédiés dans 52% des institutions. La fréquence des tests de plans de continuité est en progression mais seuls 19% des établissements de santé prennent en compte le cas de l’indisponibilité d’un fournisseur essentiel.

La gestion postérieure à l’incident est le parent pauvre de la sécurité : seuls 11% des établissements ont déposé plainte et peu notifient les incidents graves sur le portail de signalement des événements sanitaires indésirables. Par ailleurs, seul un tiers des institutions analysent l’impact financier des incidents. Un quart seulement des établissements ont enfin souscrit une police d’assurance permettant d’engager une démarche d’analyse de la valeur des informations perdues, altérées ou volées

La sécurité des systèmes d’information des établissements de santé de plus de 100 lits est désormais assurée par des équipes dédiées qui ont mis en place des procédures internes, des actions de sensibilisation, des plans d’analyse et de réduction des risques et des politiques de gestion des incidents répondant aux exigences légales et réglementaires. Les budgets alloués à la sécurité des systèmes d’information sont en croissance dans un tiers des établissements mais ils restent insuffisants selon 52% des répondants, ce qui, avec l’absence de personnel qualifié, reste le principal frein à l’amélioration des politiques de sécurité. Une meilleure connaissance de la législation est également un axe de progrès important pour améliorer la gestion des conséquences des incidents pour les établissements.

  • Ne ratez pas l’intervention de Stéphane MONEGER, responsable du système d’information du Centre hospitalier de Brive, qui fera le bilan des menaces et pratiques de sécurité dans les établissements de santé de plus de 100 lits le mercredi 22 mai de 9h15 à 10h lors du Salon International Santé et Innovation de la Fédération hospitalière de France rassemblant HopitalExpo, GerontHandicapExpo et Salon HIT (with Paris Healthcare Week)
  • Le rapport et la conférence MIPS 2018 sont accessibles sur le site du CLUSIF : https://clusif.fr/conferences/etudes-menaces-informatiques-pratiques-de-securite-edition-2018/

 

Réservez votre badge visiteur gratuit, en cliquant ici

Orientation non prise en charge

Pour une meilleure expérience,
veuillez tourner votre appareil en mode portrait.