Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Sécurité SI dans les établissements de santé vu du CLUSIF

09 juil. 2018 - 13:33,
Tribune - Cédric Cartau
Faites le test suivant : si vous avez un ado à la maison, annoncez-lui pile au moment de se mettre à table le soir en famille que juste à la fin du repas vous allez inspecter sa chambre, et que si vous la trouvez un tantinet en désordre, il sera privé d’argent de poche et de smartphone pendant une semaine (ok le coup du smartphone c’est taquin, mais bon c’est juste un test, même si votre ado ne le sait pas). Et observez bien attentivement sa réaction : si les cheveux et les poils se dressent, si les yeux roulent alors il y a de fortes chances pour que sa chambre soit effectivement dans un grand état de foutoir.

Le clusif vient de publier un rapport sur l’état de la sécurité du SI dans les établissements de santé, et les résultats étonnent, pour le moins. Par exemple, le rapport annonce une croissance spectaculaire d’établissements ayant formalisé leur PSSI (de 50 % en 2014 à 92 % en 2018). On se demande bien le rapport entre un PSSI et le niveau de sécurité : rappelons en effet qu’une PSSI est à la SSI ce que la loi est au fonctionnement d’un pays, et ce n’est pas parce que les lois existent qu’elles sont respectées – un bon nombre d’Etats d’Amérique centrale, pourtant démocratiques, affichent des taux d’homicides record et pour autant disposent d’un Code Pénal au même titre que la France.

On apprend ensuite que la fonction de RSSI devient « un vrai métier » exercé à plein temps dans presque un établissement sur deux. On se demande d’où sortent ces chiffres, quand on sait que l’on compte moins de 100 RSSI en titre pour 1000 hôpitaux, que tous les gros hôpitaux n’en disposent pas et que dans pas mal de cas, ce sont des « paper-RSSI », à savoir des agents nommés en sus de la montagne de tâches qu’ils doivent déjà assumer chaque jour.

Toujours selon le Clusif, pour un tiers des établissements le budget SSI serait en augmentation. Là encore, je serais curieux de connaître la métrique car non seulement il est très difficile de dire ce qui est de la sécurité ou pas (la sauvegarde, c’est de la SSI ? Une ferme VWMARE, une prestation d’avocat, une baie d’archivage à valeur probante, c’est de la SSI?) Mais en plus le budget SSI étant par nature directement lié à celui de la DSI, la récente étude de l’Asipe Santé fait mention d’une augmentation de 1,7 % à 1,72 % du budget des DSI, pas de quoi à fouetter un consultant Lead Implementor SIO 27001. Bonne nouvelle, dans le même temps 81 % des établissements se disent incapable de chiffrer un budget SSI – mais non ce n’est pas contradictoire, pas du tout.

Plus intéressant, le Clusif note que 40 % des établissements ont été touchés par les deux principales sources de panne, à savoir les malwares et les pannes techniques internes. Sur cette dernière cause, une remarque intéressante du rapport est l’étonnement du fait de la fiabilité des infrastructures virtualisées, et le Clusif émet l’hypothèse d’un problème dans la gestion des changements, analyse que je partage.

Enfin le Clusif annonce un recul global de la sinistralité, et à mon avis cette analyse est non fondée du fait qu’avant le décret obligeant le signalement des incidents SSI, ces derniers ne faisaient l’objet d’aucun signalement officiel, cette analyse ne peut donc reposer que sur la technique du doigt mouillé.

Quel lien entre ce rapport et votre ado ci-dessus ? Très simple : il suffit de voir la tête des RSSI et des DSI à la lecture de la directive NIS(1) (obligation d’audit, de cartographie des SI, de gouvernance de la SSI, etc.) : les cheveux qui se dressent, le visage décomposé et un désordre gastrique généralisé. Bon après tout ce n’est peut-être rien, peut-être que la chambre de votre ado est rangée, hein ?


(1)   /article/3021/directive-nis-la-fin-de-l-innocence.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Illustration Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

24 mars 2025 - 20:32,

Actualité

- DSIH,

Afin de garantir au plus grand nombre d’établissements de santé l’accès aux mises à jour financées par le Ségur numérique, le calendrier des dispositifs dédiés aux logiciels Dossier Patient Informatisé (DPI) et Plateforme d’Interopérabilité (PFI) a été étendu par un arrêté modificatif, publié ce jou...

Illustration Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC

Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC

10 mars 2025 - 19:33,

Tribune

-
Cédric Cartau

Vous n’avez pas pu le rater : sous couvert de lutte contre le trafic de stupéfiants, la proposition de loi d’Étienne Blanc et de Jérôme Durain, déjà adoptée à l’unanimité au Sénat, sera débattue au mois de mars à l’Assemblée nationale. Baptisée « loi Narcotrafic », elle vise à obliger les services d...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.