Publicité en cours de chargement...
La sécurité du SIH motivée par le réglementaire
30 juin 2014 - 12:21,
Actualité - DSIH | D.L.
Quatre ans après avoir intégré le monde hospitalier dans son enquête périodique consacrée aux « Menaces informatiques et pratiques de sécurité en France », le CLUSIF a de nouveau interrogé les hôpitaux publics afin d’étalonner leur degré de maturité en matière de sécurité de l’information (1).
En commentaire global des résultats présentés ce 25 juin, le CLUSIF note que les exigences réglementaires constituent sans doute le moteur de l’évolution des pratiques de sécurité à l’hôpital.
Parmi les faits marquants de l’enquête, il est relevé que la moitié des hôpitaux n’ont toujours pas formalisé leur politique de sécurité. Lorsqu’elle existe, toutefois, les résultats révèlent que la direction générale soutient cette politique à 90%. « Face à une accélération soutenue de la dématérialisation des processus métiers et des échanges, la sécurité est une préoccupation de la gouvernance des hôpitaux », souligne l’étude.
Si seulement 17% des répondants à l’enquête affichent cette fonction, un RSSI (2) ou un référent sécurité (tel que défini en pré requis du programme Hôpital numérique) sont désormais en poste dans 60% des hôpitaux interrogés. La fonction a fait un véritable bond en 4 ans. Elle n’est pas forcément confiée à un informaticien de formation ; la direction des soins ou le service qualité se voient en effet souvent confier ce rôle dans les établissements de taille moyenne. Mais, pour 74% des établissements interrogés, le référent n’est pas à temps plein sur cette activité, précise l’enquête.
Le manque de personnel qualifié, de même que le manque de budget, restent d’ailleurs les principaux freins à la SSI. Le monde hospitalier n’est, en cela pas très original, comme le relève Lionel Mourer, responsable de l’étude : quels que soient les secteurs étudiés, « il y a un vrai sujet autour du personnel et des compétences, que l’on se « pique » les uns les autres ».
60 % des établissements déclarent réaliser une analyse de risque, en utilisant principalement EBIOS. En outre, l’élaboration de chartes a continué de progresser car près de 9 hôpitaux sur dix en disposent désormais. En revanche, à peine un tiers ont mis en œuvre un programme de sensibilisation à la sécurité de l’information.
Bien qu’elle progresse depuis 2010, la veille en vulnérabilités n’est pas encore arrivée à un niveau de maturité suffisant pour être systématisée au sein des hôpitaux. Seuls 10% disposent d’une cellule de collecte et de traitement des incidents de sécurité dédiée et 44% n’en n’ont toujours pas !
Ajoutons, enfin, que la mise en œuvre de tableaux de bord SSI reste assez faible, « même si l’on constate une nette progression de l’utilisation d’indicateurs de suivi de la sécurité de l’information entre 2010 et 2014 : de 7% à 25% », comme l’indique le CLUSIF. Sans surprise : « les indicateurs mesurés les plus importants reflètent les exigences des programmes de la tutelle (Hôpital Numérique, certification HAS). »
(1) L’enquête a été réalisée pour le CLUSIF (Club de la Sécurité de l’Information Français) par le cabinet GMV Conseil et Survey Sampling
International. Elle a été menée par téléphone, début 2014, auprès de 150 hôpitaux publics de plus de 200 lits.
(2) Responsable Sécurité du SI
Avez-vous apprécié ce contenu ?
A lire également.
En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Cédric Cartau
Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...
HLTH 2025, un Salon sous le signe de l’innovation distribuée
23 juin 2025 - 21:18,
Actualité
- DSIH, Mehdi LebranchuHLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...
Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !
23 juin 2025 - 18:14,
Tribune
-Cédric Cartau
Ça fait deux fois.
Protéger la totalité du parcours du patient pour préserver la continuité des soins : un impératif face aux cybermenaces
23 juin 2025 - 15:53,
Tribune
-Moh WAQAS
Les hôpitaux sont aujourd’hui les cibles privilégiées des cyberattaques, menaçant la confidentialité des données, la disponibilité des services et, surtout, la sécurité des patients. Dans le contexte géopolitique actuel, marqué par la cyberguerre et l’escalade des tensions internationales, il est ur...
