Pour les hôpitaux, la sécurité des données c’est vital
La presse internationale s’est récemment fait l’écho de nouveaux types de cyber-attaques visant des établissements de soins, avec le vol de données de santé à caractère personnel accompagné de demandes de rançon : le ransomware, ou rançongiciel.
Si la législation relative à la protection des données personnelles des citoyens européens évolue en permanence, avec en particulier les directives NIS* ou les normes, réglementations et recommandations définies par l’ANSSI* et l’ASIP Santé en France, le caractère sensible des données de santé ne cesse de se renforcer. Il est communément admis que la santé se classe parmi les activités les plus critiques, tout comme la marine nucléaire ou l’aviation civile, et bien devant les activités financières, du fait du nombre d’acteurs – agents, médecins, chirurgiens, organisations, patients, … – interagissant en permanence. Demain, la généralisation des objets connectés renforcera cette tendance, avec une implication directe sur la vie du patient.
Or, comme le souligne la toute récente étude du Clusif*, la maturité des organisations en terme de sécurité informatique stagne, sous les effets conjugués du manque de budget et des contraintes organisationnelles.
Avec la réforme des GHT, qui vise à améliorer la prise en charge des patients tout en renforçant les coopérations et en mutualisant les moyens au niveau territorial, les hôpitaux publics entament une étape décisive de leur transformation et se trouvent plus que jamais confrontés aux impératifs d’intégrité et de disponibilité des données, bien au-delà des seuls aspects de confidentialité.
Reflet de cette évolution, l’ANSSI a classé plusieurs GHT en statut OIV, qui seront ainsi encadrés par des règles issues des Lois de Programmation Miliaire (LPM).
Alors comment garantir la sécurité des données personnelles sans manquer les formidables opportunités du numérique, qu’il s’agisse d’interopérabilité, de nouveaux usages ou d’objets connectés ? Comment atteindre les promesses d’amélioration de la prise en charge des patients, de la qualité et de la continuité des soins en toute sécurité ?
Deux leviers sont essentiels.
En premier lieu, la gestion des identités et des accès, véritable bouclier de protection des données, qui doit s’adapter à la diversité et la vie du personnel médical, et évoluer en permanence pour ne pas entraver la fluidité des processus métier.
C’est une exigence forte des hôpitaux, qui sont en attente de nouvelles technologies, comme la reconnaissance vocale ou faciale, pour aller plus loin et plus vite. Ensuite, la sécurisation de la donnée, qui doit tenir compte de la complexité liée à l’hétérogénéité des S.I. et des parcs applicatifs. Le défi est désormais de protéger les formats de fichiers métier – résultats d’analyses, scanners, … – aussi efficacement que les formats standard. Des pratiques de décontamination dans des « bac à sable » et de tests apportent les premiers éléments de réponse.
La création d’une organisation dédiée à la sécurité, pilotée par un RSSI, reste la condition essentielle pour progresser et s’aligner avec les meilleures pratiques (via une collaboration inter-GHT par exemple), poser les jalons de la sécurité en amont des projets, arbitrer en fonction des priorités stratégiques de l’hôpital ou du GHT et enfin, sensibiliser l’ensemble des acteurs. Elle doit associer dans une même vision DSI et métiers, et ne pas se limiter à la sphère technique.
On peut aussi initialiser des démarches en identifiant les points faibles où l’on peut agir rapidement et dégager des « quick wins » avec des résultats probants, et sans investissements majeurs. De tels gains peuvent s’obtenir par exemple avec la mise en place de bastions d’administration, qui contrôlent et tracent les accès aux ressources informatiques sensibles (serveurs, équipements réseau, services), ou encore avec la mise en place d’infrastructures mutualisées de surveillance (SOC) pour maîtriser les niveaux de services et anticiper les risques, dans les plus grands regroupements.
Atos, leader européen sur le marché du big data et de la sécurité, s’est très tôt attaché à proposer des démarches holistiques pour l’ensemble des besoins SSI de détection, de protection, d’analyse et de correction, dans le respect des normes et réglementations définies par l’ANSSI et l’ASIP Santé et dans le souci de toujours accompagner l’ensemble de l’organisation vers les meilleures pratiques.
*NIS : Network, Information and Security
*ANSSI : Agence nationale de la sécurité des systèmes d’information
*Clusif : Club de la Sécurité de l’Information Français