2123

Mai

2019

Paris Expo
Porte de Versailles
Hall 7.2/7.3

3 jours dédiés aux acteurs de la Santé

Quand la sécurité des systèmes d’information devient un sujet majeur


Le développement des Technologies de l’information et de la communication (Tic), des dossiers informatisés, des objets connectés ou encore, du partage de données conduisent les établissements hospitaliers à mettre en œuvre une sécurité renforcée de leurs Systèmes d’information (SI). Le Graal ? L’application de la norme ISO 27001.

« Le périmètre de la sécurité des Systèmes d’information (SI) est relativement large », rappelle Philippe Tourron, Responsable de la sécurité des systèmes d’information (RSSI) et délégué adjoint à la Protection des données personnelles à l’Assistance Publique-Hôpitaux de Marseille (AP-HM). Historiquement, les SI hospitaliers étaient appréhendés dans le cadre des applications médicales de gestion des données de santé. « Le Directeur des SI (DSI) assurait la sécurité concernant l’informatisation des prescriptions, des dossiers patients informatisés, l’imagerie, les données de radiologie ou de biologie médicale », précise Philippe Tourron. Mais l’informatique s’est aussi développée dans le secteur médicotechnique avec notamment les dispositifs médicaux, la radiologie, les scanners dont la part informatique était auparavant embarquée et autonome. « Ce périmètre était géré par des professionnels autres que le DSI, comme les techniciens ou les ingénieurs du domaine médicotechnique », indique-t-il. Idem pour ce qui est de la gestion des dispositifs techniques comme l’électricité de l’établissement.

« De trois mondes isolés à un système interconnecté »

Or, depuis une dizaine d’années, ces trois champs ont partie liée à l’intérieur et à l’extérieur de l’hôpital. « La mise en relation de ces composantes est une réalité de tous les jours pour les établissements hospitaliers, confirme le RSSI de l’AP-HM. Nous sommes passés de trois mondes isolés à un système interconnecté où les risques sont importants. En termes de sécurité, il faut parvenir à les faire cohabiter. »

Pour aborder cette sécurité, les établissements hospitaliers n’ont d’autre choix que d’élaborer une stratégie. « Il existe une norme de management pour la gestion de la sécurité informatique, la norme ISO 27001 qui permet de mettre en place des démarches cohérentes pour prendre en compte la sécurité. » Philippe Tourron l’a proposée en 2011 à l’AP-HM. « Au sein de notre organisation de sécurité du système d’information, nous avons alors mis en place des correspondants sécurité pour chacun des trois domaines mais aussi pour tous les acteurs du SI (achat, juridique, qualité etc.) », explique-t-il. Coordonnés par le RSSI, ils travaillent ensemble, détectent des risques et proposent des mesures de sécurité afin d’assurer la sécurité des données.

Les établissements audités par un cabinet externe

« Cette stratégie ISO 27001 est la plus adaptée aujourd’hui car pour héberger les données de santé, une certification de l’Asip Santé est nécessaire et elle s’appuie sur la norme ISO 27001 », détaille Philippe Tourron. Pour être certifiés au regard de cette norme, les établissements doivent être audités par un cabinet externe. Afin de s’y préparer, ils peuvent faire appel à des consultants spécialisés. Mais le RSSI, qui a un rôle de chef d’orchestre, doit être en capacité d’appliquer cette norme et d’analyser les risques pour préparer son établissement à anticiper mais aussi à gérer des crises liées aux systèmes d’information. Il doit donc bien la connaître ou être lui-même certifié. Cela atteste de sa capacité à analyser les risques et à mettre en œuvre des mesures pour les endiguer et ainsi protéger les patients et le personnel. L’entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai 2018 renforce ce besoin d’une analyse de risque globale.

Les salons HopitalExpo, GerontHandicapExpo et le Salon HIT, qui se tiendront du 21 au 23 mai, seront l’occasion de découvrir tout un ensemble de solutions de sécurisation des SI hospitaliers au regard des normes en vigueur.

Trois types de risques

Les établissements hospitaliers peuvent être confrontés à trois types de risques :

– Des attaques contre la disponibilité des données. Faciles à mettre en œuvre par les hackers, elles ont directement trait à la propension des individus à cliquer ou non sur une pièce-jointe reçue par email. « C’est un risque auquel toute structure peut être confrontée, souligne Philippe Tourron. La protection passe par une capacité à détecter ce risque avant qu’il n’arrive, par la mise en œuvre de sauvegardes pour récupérer les données ou encore, par une sensibilisation des utilisateurs. » Cette disponibilité peut aussi être mise à mal avec une coupure de courant. « Généralement, chaque hôpital a des dispositifs de secours qui permettent de fonctionner en mode dégradé », précise-t-il.

– La confidentialité. Elle concerne la fuite des données et le vol d’informations. La protection consiste à assurer une authentification élevée des professionnels pour accéder aux données, notamment au moyen de la Carte professionnelle de santé (CPS) et d’un code à usage unique.

– L’intégrité de la donnée, par exemple en cas d’attribution des résultats d’analyses à un mauvais patient avec les conséquences que cela peut engendrer en termes de prise en charge. Ceci peut résulter d’une erreur de maintenance mais aussi d’une cyberattaque. Là, des mesures de détection sont nécessaires pour limiter et tracer les actions à risque.

 

Soyez alerté de l’ouverture des inscriptions visiteurs, en cliquant ici

Orientation non prise en charge

Pour une meilleure expérience,
veuillez tourner votre appareil en mode portrait.