Cybersécurité : mieux vaut prévenir que guérir !

Réservez votre badge visiteur gratuit 

La cybersécurité est l’affaire de tous
L’enjeu de la mobilisation de tous les membres de l’hôpital

Face aux attaques qui se multiplient, les établissements doivent relever un défi de taille : celui de sécuriser des systèmes informatiques dans lesquels se trouvent plusieurs centaines d’applications métier et de logiciels différents qui communiquent entre eux. 

Autre priorité : la prévention et la mobilisation de tous les effectifs autour de la question de la cybersécurité. « Dans les établissements, il y a beaucoup de turn-over entre les équipes, les internes, etc. Il est donc essentiel de refaire sans cesse de la pédagogie et de la sensibilisation car la sécurité informatique est l’affaire de tous, pas seulement celle des informaticiens, insiste Cécile Chevance. D’autant que les équipements et les appareils médicaux embarquent de plus en plus du numérique : ils sont donc également impliqués et cela multiplie les failles. La cybersécurité concerne donc tous les services et tout le personnel. Il faut également se méfier des réseaux sociaux et de ce que l’on y poste (codes d’accès affichés en arrière-plan, par exemple). Tout le monde est concerné ! »

Agir vaut toujours mieux que réagir
Repérer les failles pour mieux les colmater en amont des attaques

140 établissements (dont tous les établissements supports de GHT) ont été désignés opérateurs de services essentiels (OSE) pour assurer notamment une mission d’audit avec un objectif de 100 % d’audits de sécurité réalisés avec repérage des failles. 

Par ailleurs, réaliser des entraînements type « plan blanc » orienté sur la cybersécurité permet de connaître et parfaire les procédures pour être opérationnel en cas d’attaque et de savoir les investissements à réaliser pour contrôler les éventuelles failles. Sur ce point, « il est important de viser des standards internationaux en termes de management de la sécurité des SI, recommande Nesrine Benyahia. Il ne suffit pas de s’en occuper de temps en temps : une vraie normalisation est nécessaire. D’autant que les hôpitaux connaissent bien les process de certification : il faut le faire d’un point de vue SI. C’est structurant, cela permet d’avoir des points de contrôle et d’être en amélioration continue ».

À tout cela s’ajoute la nécessité de mettre des pares-feux et une politique de mots de passe forts, de réaliser une veille technologique pour suivre les évolutions mais aussi de gérer tous les tiers (équipes, fournisseurs…), une importante source de risque . Il faut donc sensibiliser le personnel en permanence, rappeler les règles, et sanctionner en cas de non-respect car il y a une vraie responsabilité de l’hôpital. Il faut vraiment considérer la gestion des données comme étant du même ordre que la prise en charge : tout cela est un continuum ».

Donner les moyens nécessaires aux établissements

Un plan cybersécurité est en cours d’élaboration pour donner l’impulsion de départ
Mais encore faut-il avoir les moyens de mener cette stratégie. « Si les GHT permettent une certaine mutualisation et la possibilité de mettre en place un schéma directeur, cela reste des établissements physiquement distincts : il y a donc un important travail d’harmonisation des procédures et des manières de travailler », pointe Nesrine Benyahia. « Et tout cela demande des moyens financiers, matériels mais surtout des équipes étoffées, complète Cécile Chevance. Ces dernières années on a beaucoup recruté dans les grades et ces compétences pourraient être utilement orientées vers le cyber pour accompagner les hôpitaux pour consolider ce qui se fait déjà ». 

Bien sûr, il va aussi falloir recruter dans les établissements notamment dans les établissements OSE pour constituer des départs de cybersécurité sur un territoire. Problème : « C’est malheureusement un secteur fort peu attractif, regrette Nesrine Benyahia. Il faut donner envie à des spécialistes expérimentés de travailler dans ce domaine à l’hôpital public ». « Pour cela, il faut des moyens et un accompagnement financiers pour les établissements, renchérit Cécile Chevance. Un plan Cybersécurité est en cours d’élaboration afin d’assurer un financement de départ mais il faut aussi des financements plus pérennes, seule solution pour pouvoir recruter ». Il faudra aussi accompagner les établissements plus petits qui n’ont pas les équipes ou des équipes réduites : eux aussi sont des cibles et leur taille ne doit pas les empêcher d’avoir un niveau de sécurité dans les règles de l’art.

« Mais ce qui nous est remonté par les DSI, c’est que le terrain n’a pas besoin qu’on leur dise quoi faire, conclut Cécil Chevance. Mais il leur faut les moyens de le faire et les aider à prioriser les actions car, en matière de cybersécurité, il y a beaucoup à faire. » 

Les cyberattaques sont malheureusement devenues le quotidien dans le monde de la santé. Ce qui était annoncé il y a quelques années comme une menace est maintenant une réalité avérée. Le risque informatique est dorénavant un risque supplémentaire à gérer par les établissements. Ce qui explique la place prise aujourd’hui par les acteurs de la cybersécurité dans un rendez-vous comme SantExpo.

Les 10 règles d’or de l’Anssi pour se prémunir des cyberattaques

1. Séparez strictement vos usages à caractère personnel de ceux à caractère professionnel.
2. Mettez régulièrement à jour vos outils numériques.
3. Protégez vos accès par une authentification double-facteur lorsque c’est possible, ou a minima par des mots de passe complexes.
4. Ne laissez pas vos équipements sans surveillance lors de vos déplacements.
5. Protégez votre espace de travail et vos données. Verrouillez votre poste de travail lorsque vous n’êtes pas à votre bureau et placez en lieu sûr tout matériel sensible.
6. Prenez soin de vos informations personnelles en ligne. Préservez votre identité numérique en vous montrant vigilant sur Internet et les réseaux sociaux.
7. Protégez votre messagerie professionnelle. Soyez vigilant avant d’ouvrir les pièces jointes et ne cliquez pas sur les liens présents dans les messages qui vous semblent douteux.
8. Ne faites pas confiance aux réseaux non maitrisés pour connecter vos équipements.
9. Faites preuve de vigilance lors de vos échanges téléphoniques ou en visioconférence.
10. Veillez à la sécurité de votre smartphone. Évitez de prendre votre smartphone pendant les réunions sensibles.

L’Agence nationale de la sécurité des systèmes d’information (Anssi) est un interlocuteur incontournable de la cybersécurité.  Voir son site. : www.ssi.gouv.fr

Pour en savoir plus, découvrez l’article complet sur le blog de SantExpo : cliquez ici

Au programme

 = > Les conférences

Mercredi 24 mai | 09h35-11h00 Pilotage par la donnée de santé et démocratie sanitaire : l’impossible équation ?

Les applications santé se multiplient chez les offreurs de soins, au niveau national avec mon espace santé et la plateforme de données de santé, mais aussi dans les applications santé/bien-être.
Mais le droit Européen et Français nous l’autorise-t-il ? Cela est-il compatible avec le respect de la vie privée ? Démocratie sanitaire et usage massif de données de santé personnelles sont-elles compatibles ?

 = > Les Agoras

Mardi 23 mai 

13h15 -14h00 | Agora E-santé : Hébergement des données de santé. La sécurisation n’est pas que technique : notre approche à 360° / GROUPE HISI

16h15-17h00 |Agora FHF : Cybersécurité : comment prévenir, agir et réagir / FHF

Mercredi 24 mai 

11h15 -12h00 | Agora E-santé : Rennes et la Bretagne, la cybersécurité au service de la santé / DESTINATION RENNES

14h15-15h00 | Agora E-santé : Gouvernance des données et protection de la confidentialité des données patient à l'hôpital : l’exemple du GHU Paris Psychiatrie / CODOC

17h15 - 18h00 | Agora numérique : Cybersécurité : une réponse collective, déterminée et coordonnée pour faire face à la menace ! / ANS

Jeudi 25 mai

11h15-12h00 | Agora numérique : Assurer le service à l'usager face à une cybercrise / WELIOM

12h15-13h00 | Agora numérique : Cybersécurité des acteurs de Santé : les solutions existent ! / UGAP

Réservez votre badge visiteur gratuit