Publicité en cours de chargement...

Publicité en cours de chargement...

La cybersécurité en établissement de santé : plan d’attaque contre les attaques

02 juil. 2024 - 11:29,
Actualité - DSIH, Damien Dubois
Le 19 juin, l’Agence nationale d’appui à la performance des établissements de santé et médico-sociaux a mis en ligne un plan d’attaque contre les cyberattaques qui détaille notamment les mesures d’hygiène informatique pour limiter les dommages.

L’Agence nationale d’appui à la performance des établissements de santé et médico-sociaux (Anap) participe au renforcement des défenses des établissements contre les cybermenaces. Elle a publié en juin un plan d’attaque contre les cyberattaques pour faire le point sur la cybersécurité en établissement sanitaire et médico-social et présenter des mesures simples à mettre en place pour se protéger et limiter les risques.

L’analyse du risque

L’Anap préconise d’abord une approche par le risque en cinq points : Identification des actifs critiques essentiels aux parcours de soins, évaluation des vulnérabilités associées, évaluation des menaces et de leur nature, évaluation des risques (en considérant les actifs, les vulnérabilités et les expositions) et planification de la réponse aux incidents pour réagir rapidement en cas de compromission de la sécurité.

L’Anap rappelle dans ce guide que l’Agence nationale de la sécurité des systèmes d’information (Anssi) met à disposition des kits pour s’entraîner à la gestion d’une cyberattaque, tester sa structure et évaluer ses capacités à répondre à une attaque.

Les mesures d’hygiène

Le guide insiste sur les mesures d’hygiène à adopter, à commencer par la division du réseau en parties distinctes comme gage de la fiabilisation technique globale du système d’information, avec différentes règles de contrôle des accès et des flux non autorisés selon le niveau de criticité de chaque sous-réseau.

La deuxième mesure concerne l’usage de l’Active Directory (AD) pour la gestion des droits et des identités afin de renforcer la sécurité informatique des établissements à plusieurs niveaux (annuaire global, comptes utilisateurs et groupes d’utilisateurs, gestion des authentifications des utilisateurs et des autorisations ainsi que des ressources telles que les ordinateurs, les imprimantes, les serveurs et les autres périphériques).

La troisième mesure pour combler les failles de sécurité consiste à limiter les droits d’accès nécessaires à chaque utilisateur et à maintenir à jour les logiciels en appliquant les correctifs publiés par les fournisseurs.

Autre mesure, la sensibilisation des salariés au phishing, en soulignant la nécessité de la mise en place d’antivirus et de vigilance quant aux liens extérieurs, aux fautes d’orthographe ou aux adresses e-mail. 

Les piliers de la réponse

Le guide précise également comment limiter les dommages causés par une cyberattaque, compliquer les chemins d’attaque, restaurer les systèmes et minimiser les interruptions des opérations. En premier lieu, être réactif en isolant au plus vite le système informatique d’Internet et en fermant le plus possible de sous-réseaux. Ensuite, répondre efficacement à une attaque suppose une bonne connaissance du SI et de sa politique de sécurité, à la fois documentée et structurée. Enfin, le troisième pilier de la réponse est la mise en place d’un centre opérationnel de sécurité.

Le guide revient également sur la responsabilité de la direction générale, de la délégation à la protection des données et du responsable de la sécurité des systèmes d’information, en insistant sur la mutualisation des responsabilités du RSSI et du DPO au sein des GHT. L’Anap souligne aussi l’importance des relais de communication, tout en apportant un focus sur la réglementation, les outils documentaires et les publications utiles.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le projet eNovA-Path : une plateforme de numérisation et d’échange des données d’anatomopathologie au service des patients en Nouvelle-Aquitaine

Le projet eNovA-Path : une plateforme de numérisation et d’échange des données d’anatomopathologie au service des patients en Nouvelle-Aquitaine

01 juil. 2025 - 00:42,

Actualité

- Propos recueillis par Pauline Nicolas

La création d’une plateforme digitale en anatomopathologie entre les trois CHU de Nouvelle-Aquitaine afin d’améliorer la prise en charge des patients et faciliter l’accès aux expertises entre différents établissements de santé reflète l’ambition et les objectifs du projet eNovA-Path qui se déploie a...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

IA générative et sécurité : retour sur des recommandations de l’ANSSI

08 juil. 2024 - 11:35,

Tribune

- Alice Robert et Alexandre Fievee

Innover et optimiser dans le secteur de la santé, grâce à l’IA générative : oui, mais avec sécurité ! L’ANSSI a récemment émis des recommandations visant à « sensibiliser les administrations et les entreprises aux risques liés à l’IA générative, ainsi qu’à promouvoir les bonnes pratiques à mettre en...

Illustration Un nouveau Comex pour le Conseil du numérique en santé

Un nouveau Comex pour le Conseil du numérique en santé

30 juin 2025 - 23:46,

Actualité

- Damien Dubois, DSIH

Le 24 juin, le 13e Conseil du numérique en santé a réuni l’ensemble des parties prenantes en la matière, dans la perspective notamment de l’Espace européen des données de santé.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.