Publicité en cours de chargement...

Publicité en cours de chargement...

Porosité des SI de santé : le bilan sur cinq ans de Jean-Nicolas Piotrowski

31 mai 2016 - 11:18,
Actualité - DSIH,MVB
Jean-Nicolas Piotrowski, PDG d’ITrust, le leader français de solutions innovantes en cybersécurité, dresse un bilan après cinq ans au cœur des SI de santé. Les établissements de soins semblent avoir pris conscience des menaces qui pèsent sur leur sécurité, mais les actions correctives concrètes se font encore attendre. Entretien.

DSIH : Vous êtes depuis cinq ans au cœur des SI de santé. Comment avez-vous vu évoluer la sécurité ?

Jean-Nicolas Piotrowski : On partait pratiquement de zéro… Même si des débuts d’analyses de risques pouvaient voir le jour, il n’existait pas de protections, de systèmes de supervision ni d’analyses fines. Aujourd’hui, la prise de conscience est là, mais beaucoup d’établissements n’ont toujours pas de réel système de protection. 

Par manque de moyens ou de ressources ?

La question n’est pas vraiment là. Les établissements de santé ont des moyens. Selon moi, une mauvaise répartition des budgets est davantage en cause. Beaucoup travaillent sur un schéma directeur complexe ou des projets à long terme, alors qu’en un mois, en se mettant au travail, on serait en capacité de produire des résultats concrets. Le système de santé prend parfois le problème de manière trop globale au lieu de trouver des solutions simples et rapidement implémentables. Il existe de nombreux documents de référence, des analyses souvent onéreuses et chronophages ainsi que des politiques de sécurité, mais sans s’attaquer réellement à la sécurité des SI, on en oublie de muscler concrètement le système via des protections élémentaires !

Les établissements de santé se sentaient peut-être à l’abri des attaques. Prennent-ils conscience un peu tard du problème ?

Oui, et les exemples internationaux tendent à montrer que les structures de santé sont une cible privilégiée. La réglementation sur la protection des données de santé devient parallèlement de plus en plus exigeante, mais, malheureusement, les fondamentaux ne sont souvent pas mis en place.

En ce début d’année, les cryptolockers, et notamment Locky, ont fait des dégâts. Comment s’en prémunir ?

Un cryptolocker ne s’infiltre pas par hasard, mais via un SI mal configuré ou un utilisateur qui clique sur une pièce jointe corrompue. Une bonne hygiène de sécurité permettrait d’éviter 99 % de ce type de problèmes. Lors de nos audits, nous avons pu recenser et catégoriser les dix failles principales récurrentes*. Leur correction constitue une première barrière de protection souvent simple et très efficace.

On parle de 1 300 Incidents de sécurité en 2015. De plus en plus d’établissements sont victimes de cyberchantage et d’attaques. Peut-on s’attendre à les voir croître de façon exponentielle ?

Oui ! Le cours du dossier patient augmente sur le Darknet. La donnée médicale représente en effet la valeur financière la plus prisée. Un dossier patient vaut environ 15 dollars. Comparativement, un numéro de carte bleue se revend entre 1 et 3 dollars. Et comme les entrées ne sont pas ou peu sécurisées, on comprend aisément que les établissements de santé devront de plus en plus faire face à des attaques construites. Les équipements connectés, très peu protégés, sont en croissante augmentation et risquent d’amplifier considérablement le problème.

L’horizon est plutôt noir. Dans notre prochain article Web, Jean-Nicolas Piotrowski reviendra sur les solutions éprouvées en matière de sécurité des SI.

*Pour lire ou relire le livre blanc ITrust : http://www.itrust.fr/ressources/whitepaper/livre_blanc.pdf 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

02 juin 2025 - 15:00,

Communiqué

- GPLExpert

GPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.