Notre site Web utilise des cookies pour vous offrir l’expérience en ligne la plus optimale en : mesurant notre audience, en comprenant comment nos pages Web sont consultées et en améliorant en conséquence le fonctionnement de notre site Web, en vous fournissant un contenu marketing pertinent et personnalisé.
Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies ». Veuillez trouver plus d’informations sur notre utilisation des cookies et comment retirer à tout moment votre consentement sur notre Vie Privée.

Gestion de vos cookies

Notre site Web utilise des cookies. Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies » .

Cookies nécessaires

Ceux-ci sont indispensables à la navigation de l’utilisateur et permettent de donner accès à certaines fonctionnalités comme les accès aux zones sécurisées. Sans ces cookies, il ne sera pas possible de fournir le service.
Matomo en auto-hébergement

Cookies marketing

Ces cookies sont utilisés pour vous proposer des publicités plus pertinentes, limiter le nombre de fois que vous voyez une publicité ; aider à mesurer l’efficacité de la campagne publicitaire ; et comprendre le comportement des individus après avoir vu une publicité.
Vie Privée Adobe | Vie Privée Marketo | Vie Privée MRP | Vie Privée AccountInsight | Vie Privée Triblio

Cookies de réseaux sociaux

Ces cookies sont utilisés pour mesurer l’efficacité des campagnes sur les réseaux sociaux.
Vie Privée de LinkedIn

Notre site Web utilise des cookies pour vous offrir l’expérience en ligne la plus optimale en : mesurant notre audience, en comprenant comment nos pages Web sont consultées et en améliorant en conséquence le fonctionnement de notre site Web, en vous fournissant un contenu marketing pertinent et personnalisé. Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies ». Veuillez trouver plus d’informations sur notre utilisation des cookies et comment retirer à tout moment votre consentement sur notre Vie Privée

Passer au contenu principal

Pour les hôpitaux, la sécurité des données c’est vital


Publié le: 1 juillet 2016 par Jean-Baptiste Voron

La presse internationale s’est récemment fait l’écho de nouveaux types de cyber-attaques visant des établissements de soins, avec le vol de données de santé à caractère personnel accompagné de demandes de rançon : le ransomware, ou rançongiciel.

Si la législation relative à la protection des données personnelles des citoyens européens évolue en permanence, avec en particulier les directives NIS* ou les normes, réglementations et recommandations définies par l’ANSSI* et l’ASIP Santé en France, le caractère sensible des données de santé ne cesse de se renforcer. Il est communément admis que la santé se classe parmi les activités les plus critiques, tout comme la marine nucléaire ou l’aviation civile, et bien devant les activités financières, du fait du nombre d’acteurs – agents, médecins, chirurgiens, organisations, patients, … – interagissant en permanence. Demain, la généralisation des objets connectés renforcera cette tendance, avec une implication directe sur la vie du patient.

Or, comme le souligne la toute récente étude du Clusif*, la maturité des organisations en terme de sécurité informatique stagne, sous les effets conjugués du manque de budget et des contraintes organisationnelles.

Avec la réforme des GHT, qui vise à améliorer la prise en charge des patients tout en renforçant les coopérations et en mutualisant les moyens au niveau territorial, les hôpitaux publics entament une étape décisive de leur transformation et se trouvent plus que jamais confrontés aux impératifs d’intégrité et de disponibilité des données, bien au-delà des seuls aspects de confidentialité.

Reflet de cette évolution, l’ANSSI a classé plusieurs GHT en statut OIV, qui seront ainsi encadrés par des règles issues des Lois de Programmation Miliaire (LPM).

Alors comment garantir la sécurité des données personnelles sans manquer les formidables opportunités du numérique, qu’il s’agisse d’interopérabilité, de nouveaux usages ou d’objets connectés ? Comment atteindre les promesses d’amélioration de la prise en charge des patients, de la qualité et de la continuité des soins en toute sécurité ?

Deux leviers sont essentiels.

En premier lieu, la gestion des identités et des accès, véritable bouclier de protection des données, qui doit s’adapter à la diversité et la vie du personnel médical, et évoluer en permanence pour ne pas entraver la fluidité des processus métier.

C’est une exigence forte des hôpitaux, qui sont en attente de nouvelles technologies, comme la reconnaissance vocale ou faciale, pour aller plus loin et plus vite. Ensuite, la sécurisation de la donnée, qui doit tenir compte de la complexité liée à l’hétérogénéité des S.I. et des parcs applicatifs. Le défi est désormais de protéger les formats de fichiers métier – résultats d’analyses, scanners, … – aussi efficacement que les formats standard. Des pratiques de décontamination dans des « bac à sable » et de tests apportent les premiers éléments de réponse.

La création d’une organisation dédiée à la sécurité, pilotée par un RSSI, reste la condition essentielle pour progresser et s’aligner avec les meilleures pratiques (via une collaboration inter-GHT par exemple), poser les jalons de la sécurité en amont des projets, arbitrer en fonction des priorités stratégiques de l’hôpital ou du GHT et enfin, sensibiliser l’ensemble des acteurs. Elle doit associer dans une même vision DSI et métiers, et ne pas se limiter à la sphère technique.

On peut aussi initialiser des démarches en identifiant les points faibles où l’on peut agir rapidement et dégager des « quick wins » avec des résultats probants, et sans investissements majeurs. De tels gains peuvent s’obtenir par exemple avec la mise en place de bastions d’administration, qui contrôlent et tracent les accès aux ressources informatiques sensibles (serveurs, équipements réseau, services), ou encore avec la mise en place d’infrastructures mutualisées de surveillance (SOC) pour maîtriser les niveaux de services et anticiper les risques, dans les plus grands regroupements.

Atos, leader européen sur le marché du big data et de la sécurité, s’est très tôt attaché à proposer des démarches holistiques pour l’ensemble des besoins SSI de détection, de protection, d’analyse et de correction, dans le respect des normes et réglementations définies par l’ANSSI et l’ASIP Santé et dans le souci de toujours accompagner l’ensemble de l’organisation vers les meilleures pratiques.


*NIS : Network, Information and Security

*ANSSI : Agence nationale de la sécurité des systèmes d’information

*Clusif : Club de la Sécurité de l’Information Français

Partager


Qui est Jean-Baptiste Voron
Manager & Consultant Senior en Sécurité des S.I, Atos
Jean-Baptiste Voron, accompagne depuis 10 ans les RSSI de grands groupes français aux nouveaux enjeux de cybersécurité. Chez Atos depuis 2012 en tant que conseil expert en gouvernance et stratégie SSI, il est aujourd’hui responsable du portefeuille des offres de cybersécurité en France et pilote l’équipe en charge des avant-ventes de cybersécurité couvrant un éventail de plus 50 technologies et partenaires. A l’international, il accompagne fréquemment les clients stratégiques d’Atos lors d’études et de déploiements de solutions de cybersécurité. Jean-Baptiste est Docteur en sécurité informatique (thèse mixte US/France) et titulaire d’un Master 2 en systèmes et applications complexes de l’Université Pierre & Marie Curie

Suivre ou contacter Jean-Baptiste