Publicité en cours de chargement...

Maîtriser la sécurité de son SI : l’exemple du CHU de Nantes

29 nov. 2016 - 09:54,
Actualité - DSIH, Propos recueillis par Valentine Bellanger
Les experts mondiaux annoncent une multiplication des cyberattaques pour l’année 2017 avec, en ligne de mire, le nouvel or noir : les données personnelles en général et celles de santé en particulier. Entretien avec Cédric Cartau, Ciso & DPO du CHU de Nantes et utilisateur de la solution IKare d’ITrust, société d’expertise en cybersécurité labellisée France Cybersécurité, qui revient sur la nécessité d’auditer régulièrement son SI afin de maîtriser le risque lié aux vulnérabilités.

DSIH : Quel est l’état de la sécurité des plateformes techniques au sein des établissements de santé ?

Cedric CartauCédric Cartau : Globalement, la protection périmétrique existe (pare-feu, proxy, etc.), mais on observe une importante diversité dans l’âge moyen des équipements (on trouve des établissements avec des pare-feu de 10 ans d’âge) et dans les processus de mise à jour des patches de sécurité, qui sont indispensables dans ce domaine.
Pour exemple, un PC branché nu (sans pare-feu ni AV) sur Internet est infecté en moins de 15 minutes.

Parmi les règles de base, il est donc nécessaire de contrôler, d’auditer ?

C.C : Oui, parmi les bonnes pratiques, il faut auditer régulièrement la protection périmétrique d’un établissement. Peu le font, essentiellement pour des raisons moyennement avouables du genre : « n’allons pas regarder s’il y a des problèmes ; nous pourrons ainsi nous convaincre qu’il n’y en a pas » !
Le CHU de Nantes est un des rares établissements à procéder depuis 2009 à des audits au moins annuels de sa surface d’exposition Internet, audits qui sont maintenant réalisés de façon hebdomadaire avec des outils automatisés.

Quel est l’intérêt des scanners de vulnérabilité ? Quelle est la particularité d’IKare, celui d’ITrust ?

C.C : Les deux principaux intérêts de ces outils sont :

le coût : un audit « manuel » d’une surface Web d’environ 60 IP coûte environ 5 000 euros ; c’est le budget annuel d’acquisition d’une plateforme, avec laquelle on pourra faire autant d’audits que l’on souhaite ;
la réactivité : avec des plateformes automatisées, on peut lancer un audit spécifique ciblé, par exemple à chaque ajout d’une machine dans la DMZ, et ce en trois clics de souris.
La particularité d’ITrust est d’abord d’être une société française. En tant que RSSI d’un organisme d’État d’importance stratégique, ce critère est selon moi très important, tout du moins à fonctionnalités et prix identiques par rapport aux produits de la concurrence, essentiellement anglo-saxons. Et justement, le niveau fonctionnel du produit IKare est tout à fait comparable à celui des grands du secteur, avec des tarifs tout à fait compétitifs.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Un nouveau Comex pour le Conseil du numérique en santé

Un nouveau Comex pour le Conseil du numérique en santé

30 juin 2025 - 23:46,

Actualité

- Damien Dubois, DSIH

Le 24 juin, le 13e Conseil du numérique en santé a réuni l’ensemble des parties prenantes en la matière, dans la perspective notamment de l’Espace européen des données de santé.

Illustration Le Groupe Softway Medical accueille Bpifrance à son capital

Le Groupe Softway Medical accueille Bpifrance à son capital

30 juin 2025 - 21:20,

Communiqué

- Le Groupe Softway Medical

Le Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée de Bpifrance, la Banque publique d’investissemen...

Illustration L’Institut Curie et le groupe hospitalier Diaconesses Croix Saint-Simon unissent leurs expertises pour un parcours de soins d’excellence en cancérologie

L’Institut Curie et le groupe hospitalier Diaconesses Croix Saint-Simon unissent leurs expertises pour un parcours de soins d’excellence en cancérologie

27 juin 2025 - 14:47,

Actualité

- DSIH

L’Institut Curie, premier centre français de lutte contre le cancer, et le groupe hospitalier Diaconesses Croix Saint-Simon, créateur du Centre de Cancérologie de l’Est Parisien, annoncent un partenariat stratégique inédit. Ce partenariat, baptisé « Parcours Expert Institut Curie – Diaconesses Croix...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.