{"id":33998,"date":"2017-04-01T11:12:38","date_gmt":"2017-04-01T09:12:38","guid":{"rendered":"https:\/\/gestions-hospitalieres.fr\/?p=33998"},"modified":"2018-04-26T11:38:03","modified_gmt":"2018-04-26T09:38:03","slug":"securisation-systeme-dinformation","status":"publish","type":"post","link":"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/","title":{"rendered":"La s\u00e9curisation du syst\u00e8me d\u2019information"},"content":{"rendered":"<span class=\"span-reading-time rt-reading-time\" style=\"display: block;\"><span class=\"rt-label rt-prefix\">Temps de lecture\u00a0: <\/span> <span class=\"rt-time\"> 7<\/span> <span class=\"rt-label rt-postfix\">minutes<\/span><\/span><p>Les \u00e9volutions technologiques appliqu\u00e9es \u00e0 la sant\u00e9 permettent de d\u00e9velopper de nouvelles pratiques professionnelles \u2013 notamment gr\u00e2ce \u00e0 la mobilit\u00e9 \u2013, de collecter un nombre exponentiel de donn\u00e9es gr\u00e2ce \u00e0 l\u2019\u00e9volution des technologiques m\u00e9dicales et de traiter toujours plus de donn\u00e9es gr\u00e2ce \u00e0 l\u2019\u00e9volution des puissances de calcul des ordinateurs. La loi de modernisation du syst\u00e8me de sant\u00e9 de janvier 2016 prend en compte ces nouvelles pratiques, ces nouvelles possibilit\u00e9s technologiques, et soutient la d\u00e9mat\u00e9rialisation des donn\u00e9es de sant\u00e9, notamment \u00e0 partir de la production de r\u00e9f\u00e9rentiels d\u2019interop\u00e9rabilit\u00e9 et de s\u00e9curit\u00e9, le remplacement de la proc\u00e9dure d\u2019agr\u00e9ment des h\u00e9bergeurs de donn\u00e9es de sant\u00e9 par une proc\u00e9dure de certification plus adapt\u00e9e aux professionnels de l\u2019h\u00e9bergement, ainsi que par la fourniture d\u2019un cadre juridique et technique pour la destruction des dossiers sur support papier apr\u00e8s num\u00e9risation.<\/p>\n<h1>Les directives nationales<\/h1>\n<p>Le minist\u00e8re des Affaires sociales et de la Sant\u00e9 a d\u00e9fini son catalogue de mesures de s\u00e9curisation des \u00e9tablissements de sant\u00e9<sup class=\"appel\" data-toggle=\"modal\" data-target=\"#notes\">\u2009(1)<\/sup>. Ce dernier pr\u00e9voit un volet \u00ab\u2009syst\u00e8me d\u2019information\u2009\u00bb (SI) \u00ab\u2009<em>afin d\u2019identifier les vuln\u00e9rabilit\u00e9s [\u2026], de renforcer la vigilance et d\u2019\u00eatre en capacit\u00e9 de d\u00e9tecter dans les meilleurs d\u00e9lais tout incident ou cyberattaque\u2009<\/em>\u00bb.<\/p>\n<p>Une nouvelle instruction baptis\u00e9e \u00ab\u2009Plan d\u2019action SSI\u2009\u00bb et publi\u00e9e le 1<sup>er <\/sup>d\u00e9cembre 2017 va servir de fil conducteur. Ce plan vient poser les r\u00e8gles fondamentales en mati\u00e8re de s\u00e9curit\u00e9 num\u00e9rique et r\u00e9partit les actions en fonction de priorit\u00e9s \u00e0 six, douze et dix-huit mois. Il est associ\u00e9 \u00e0 diff\u00e9rentes r\u00e9f\u00e9rences r\u00e9glementaires. C\u2019est notamment le cas de la politique de s\u00e9curit\u00e9 des SI pour les minist\u00e8res charg\u00e9s des Affaires sociales (PSSI-MCAS), la politique de s\u00e9curit\u00e9 des SI de sant\u00e9 (PGSSI-S), le programme h\u00f4pital num\u00e9rique pilot\u00e9 par la Direction g\u00e9n\u00e9rale de l\u2019offre de soins (DGOS), la certification des \u00e9tablissements de sant\u00e9 et la certification des comptes.<\/p>\n<p>L\u2019Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (Anssi), h\u00e9riti\u00e8re d\u2019une longue s\u00e9rie d\u2019organismes charg\u00e9s d\u2019assurer la s\u00e9curit\u00e9 des informations sensibles, notamment de l\u2019\u00c9tat, a publi\u00e9 ce d\u00e9but d\u2019ann\u00e9e son <em>Guide d\u2019hygi\u00e8ne informatique<\/em><sup class=\"appel\" data-toggle=\"modal\" data-target=\"#notes\">\u2009(2)<\/sup>. Cette nouvelle version est n\u00e9e de l\u2019\u00e9volution des usages d\u2019une part, de l\u2019augmentation des technologies d\u2019autre part. Sensibilisation, formation, contr\u00f4le des acc\u00e8s, s\u00e9curisation des postes et du r\u00e9seau, politique de mise \u00e0 jour ou encore gestion des incidents, le document pr\u00e9sente en dix\u00a0chapitres quarante-deux r\u00e8gles de s\u00e9curit\u00e9 concr\u00e8tes pour renforcer la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information des entreprises. Chaque r\u00e8gle \u00e9nonc\u00e9e dans le guide se pr\u00e9sente sous forme de fiche d\u2019une \u00e0 deux pages. En fonction du contexte, il peut y avoir un niveau d\u2019application standard et\/ou un niveau d\u2019application avanc\u00e9.<\/p>\n<button data-toggle=\"collapse\" data-target=\"#enc_2017_239_01\">encadr\u00e9 1<\/button><div id=\"enc_2017_239_01\" class=\"encadre collapse\"><p><span class=\"surtitre_enc\">encadr\u00e9 1<\/span><\/p>\n<h2>Guide d\u2019hygi\u00e8ne informatique<\/h2>\n<h3>Renforcer la s\u00e9curit\u00e9 de son SI en 42 mesures et 10 chapitres<\/h3>\n<ul>\n<li>I - Sensibiliser et former<\/li>\n<li>II - Conna\u00eetre le syst\u00e8me d\u2019information<\/li>\n<li>III - Authentifier et contr\u00f4ler les acc\u00e8s<\/li>\n<li>IV - S\u00e9curiser les postes<\/li>\n<li>V - S\u00e9curiser le r\u00e9seau<\/li>\n<li>VI - S\u00e9curiser l\u2019administration<\/li>\n<li>VII - G\u00e9rer le nomadisme<\/li>\n<li>VIII - Maintenir le syst\u00e8me d\u2019information \u00e0 jour<\/li>\n<li>IX - Superviser, auditer, r\u00e9agir<\/li>\n<li>X - Pour aller plus loin<\/li>\n<\/ul>\n<h3>Un exemple de fiche<\/h3>\n<p><img decoding=\"async\" class=\"alignleft wp-image-34064 size-full\" src=\"https:\/\/gestions-hospitalieres.fr\/wp-content\/uploads\/2017\/05\/Capture-d\u2019\u00e9cran-2017-05-15-\u00e0-14.20.25.png\" alt=\"\" width=\"600\" height=\"853\" srcset=\"https:\/\/www.ricom-web8.com\/gestions\/wp-content\/uploads\/2017\/05\/Capture-d\u2019\u00e9cran-2017-05-15-\u00e0-14.20.25.png 600w, https:\/\/www.ricom-web8.com\/gestions\/wp-content\/uploads\/2017\/05\/Capture-d\u2019\u00e9cran-2017-05-15-\u00e0-14.20.25-211x300.png 211w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p><a href=\"http:\/\/www.ssi.gouv.fr\/uploads\/2017\/01\/guide_hygiene_informatique_anssi.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">www.ssi.gouv.fr<\/a><\/p>\n<\/div>\n<p>L\u2019Anssi pr\u00e9cise que \u00ab\u2009<em>si les r\u00e8gles \u00e9dict\u00e9es dans le guide avaient \u00e9t\u00e9 appliqu\u00e9es par les entit\u00e9s concern\u00e9es, la majeure partie des attaques informatiques ayant requis son intervention aurait pu \u00eatre \u00e9vit\u00e9e. [\u2026] L\u2019objet de ce guide n\u2019est pas la s\u00e9curit\u00e9 de l\u2019information en tant que telle, mais appliquer les mesures propos\u00e9es maximise la s\u00e9curit\u00e9 du syst\u00e8me d\u2019information\u2009<\/em>\u00bb.<\/p>\n<p>La plupart des exigences l\u00e9gales et des bonnes pratiques en mati\u00e8re de s\u00e9curisation des syst\u00e8mes d\u2019information trouvent des r\u00e9ponses op\u00e9rationnelles dans le guide de l\u2019Anssi. Sont d\u00e9velopp\u00e9s ici des cas concrets d\u2019utilisation de quelques r\u00e8gles, reflet de la \u00ab\u2009vraie vie\u2009\u00bb autour d\u2019un syst\u00e8me d\u2019information hospitalier.<\/p>\n<h1>Donn\u00e9es num\u00e9riques\u2009: les bons r\u00e9flexes d\u00e8s leur collecte<\/h1>\n<p>Accueillir un nouveau patient, c\u2019est ouvrir un nouveau dossier. Instrument de base de l\u2019\u00e9quipe soignante, le dossier regroupe toutes les informations relatives au patient pris en charge. D\u00e8s sa cr\u00e9ation, un dossier a valeur de document l\u00e9gal.<\/p>\n<p>Chaque professionnel de sant\u00e9 est responsable de la bonne tenue des dossiers. Les m\u00e9tiers et la DSII organisent la confidentialit\u00e9 et la disponibilit\u00e9 des informations collect\u00e9es.<\/p>\n<h2>Assurer la confidentialit\u00e9 des informations<\/h2>\n<h3>Fiche\u00a09\u2009: \u00ab\u2009Attribuer les bons droits sur les ressources sensibles du syst\u00e8me d\u2019information\u2009\u00bb<\/h3>\n<p>\u00ab<em>\u2009Dans la mise en place de solutions informatiques, la gestion des habilitations conditionne le respect de la confidentialit\u00e9 et de la s\u00e9curit\u00e9. D\u00e9finir une habilitation n\u00e9cessite de croiser la strat\u00e9gie de la CME, de la direction des soins, les outils de la DRH et la gestion technique des applications.\u2009<\/em>\u00bb<\/p>\n<p>D\u00e8s 2012, le programme H\u00f4pital num\u00e9rique s\u2019est pench\u00e9 sur la question de la modernisation des SIH dans l\u2019objectif de d\u00e9finir une feuille de route pour les syst\u00e8mes d\u2019information hospitaliers. Le sujet de la gestion des habilitations est d\u00e9fini dans le pr\u00e9requis num\u00e9ro 3\u2009: confidentialit\u00e9. La certification HAS v2014, sur les orientations du programme H\u00f4pital num\u00e9rique impose une gestion s\u00e9curis\u00e9e du syst\u00e8me d\u2019information et la mise en place d\u2019une politique d\u2019acc\u00e8s.\u00a0Fin 2016, le plan d\u2019action SSI reprend la th\u00e9matique et pr\u00e9voit, comme mesure de s\u00e9curisation \u00e0 douze mois, la mise en \u0153uvre d\u2019une gestion de comptes utilisateurs avec profils et droits diff\u00e9renti\u00e9s selon le principe de moindre privil\u00e8ge sans distinction du p\u00e9rim\u00e8tre applicatif.<\/p>\n<p>Si une gestion stricte des habilitations est de plus en plus pr\u00e9sente dans les logiciels m\u00e9tiers, une vigilance particuli\u00e8re devra \u00eatre port\u00e9e quant \u00e0 la duplication des informations dans des outils tiers adoss\u00e9s \u00e0 une politique d\u2019habilitation distincte, comme notamment les infocentres, les outils de support, etc.<\/p>\n<h2>Garantir la disponibilit\u00e9<\/h2>\n<h3>Fiche\u00a037\u2009: \u00ab\u2009D\u00e9finir et appliquer une politique de sauvegarde des composants critiques\u2009\u00bb<\/h3>\n<p>Cryptowall, TeslaCrypt, Locky\u2026, les ran\u00e7ongiciels (ou <em>ransomwares<\/em>) constituent une menace croissante pour les \u00e9tablissements de sant\u00e9. Les <em>ransomwares<\/em> chiffrent les donn\u00e9es et verrouillent l\u2019acc\u00e8s de syst\u00e8mes et terminaux d\u2019utilisateurs appel\u00e9s \u00e0 payer pour en reprendre le contr\u00f4le. Plusieurs \u00e9tablissements en ont fait l\u2019exp\u00e9rience depuis 2015. Il suffit de cliquer sur un fichier compromis pour infecter la machine utilis\u00e9e et le r\u00e9seau connect\u00e9 \u00e0 l\u2019ordinateur. Apr\u00e8s l\u2019application d\u2019un plan de continuit\u00e9 d\u2019activit\u00e9, la seule option reste de r\u00e9implanter les sauvegardes.<\/p>\n<h1>Ma\u00eetriser son syst\u00e8me d\u2019information<\/h1>\n<h2>Les utilisateurs<\/h2>\n<h3>Fiche\u00a08\u2009: \u00ab\u2009Identifier nomm\u00e9ment chaque personne acc\u00e9dant au syst\u00e8me et distinguer les r\u00f4les utilisateur\/administrateur\u2009\u00bb<\/h3>\n<p>L\u2019identification nominative des utilisateurs du syst\u00e8me d\u2019Information, est un pr\u00e9requis \u00e0 une politique d\u2019habilitation. Cette r\u00e8gle est \u00e9galement indispensable \u00e0 toutes d\u00e9marches d\u2019investigations quant \u00e0 un usage inappropri\u00e9 des donn\u00e9es. Conscients de la r\u00e9alit\u00e9 de terrain, les r\u00e9dacteurs du guide admettent une utilisation marginale de comptes g\u00e9n\u00e9riques et reconnaissent les comptes de service. L\u2019essentiel \u00e9tant d\u2019avoir la connaissance de ces exceptions et d\u2019en organiser une revue r\u00e9guli\u00e8re.<\/p>\n<h2>Conna\u00eetre son parc informatique<\/h2>\n<h3>Fiche\u00a016\u2009: \u00ab\u2009Utiliser un outil de gestion centralis\u00e9e afin d\u2019homog\u00e9n\u00e9iser les politiques de s\u00e9curit\u00e9\u2009\u00bb<\/h3>\n<p>La gestion centralis\u00e9e des mesures de s\u00e9curit\u00e9 d\u2019un parc informatique est un outil indispensable \u00e0 la r\u00e9activit\u00e9 demand\u00e9e face aux alertes ou incidents de s\u00e9curit\u00e9, d\u2019une part, au durcissement des r\u00e8gles de s\u00e9curit\u00e9, d\u2019autre part. Avec de tels outils, le d\u00e9ploiement d\u2019une nouvelle politique de mot de passe en phase avec les recommandations Cnil ou d\u2019un pare-feu local s\u2019op\u00e8re sur l\u2019ensemble du parc informatique en quelques clics (ou presque\u2009!). Ces outils, bien choisis permettent \u00e9galement d\u2019obtenir une cartographie des d\u00e9ploiements applicatifs, des failles potentielles de s\u00e9curit\u00e9.<\/p>\n<h2>Externaliser tout ou partie de la gestion du SI<\/h2>\n<h3>Fiche\u00a03\u2009: \u00ab\u2009Ma\u00eetriser les risques de l\u2019infog\u00e9rance\u2009\u00bb<\/h3>\n<p>L\u2019externalisation du syst\u00e8me d\u2019information est le transfert de tout ou partie de ce syst\u00e8me d\u2019information ou ses donn\u00e9es vers un prestataire externe. Les valeurs d\u00e9fendues sont alors la volont\u00e9 de se recentrer sur le c\u0153ur de m\u00e9tier, la recherche de ma\u00eetrise des co\u00fbts et le souci de b\u00e9n\u00e9ficier de meilleurs services.\u00a0Tout en gardant \u00e0 l\u2019esprit qu\u2019une d\u00e9l\u00e9gation de service ne doit pas rimer avec une externalisation de responsabilit\u00e9, la cr\u00e9ation de valeur passe par un contrat pr\u00e9cis \u00e0 mettre en place entre l\u2019h\u00f4pital clients et son prestataire.<\/p>\n<blockquote><p>Les diff\u00e9rentes alertes ont aid\u00e9 les h\u00f4pitaux \u00e0 prendre toute mesure utile pour pr\u00e9venir une attaque ou en limiter les effets.<\/p><\/blockquote>\n<h1>S\u2019organiser et prot\u00e9ger<\/h1>\n<h2>Prot\u00e9ger les moyens d\u2019acc\u00e8s \u00e0 l\u2019information<\/h2>\n<h3>Fiche\u00a014\u2009: \u00ab\u2009Mettre en place un niveau de s\u00e9curit\u00e9 minimal sur l&#8217;ensemble du parc informatique\u2009\u00bb<\/h3>\n<p>En 2016, 1\u2009341 incidents de s\u00e9curit\u00e9 impactant l\u2019h\u00f4pital ont \u00e9t\u00e9 spontan\u00e9ment d\u00e9clar\u00e9s aupr\u00e8s des services du fonctionnaire en s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (FSSI). Il s\u2019agissait majoritairement d\u2019usurpations d\u2019identit\u00e9 (campagnes d\u2019hame\u00e7onnage) ou de la destruction de fichiers num\u00e9riques (campagnes d\u2019attaques virales notamment cryptovirus).\u00a0Ces attaques ont d\u00e9montr\u00e9 que la protection antivirale du parc informatique devait \u00eatre compl\u00e9t\u00e9e par de nouvelles mesures de s\u00e9curit\u00e9.<\/p>\n<p>L\u2019Anssi recommande notamment l\u2019installation de pare-feu locaux, la d\u00e9sactivation de l\u2019ex\u00e9cution automatique des programmes et la limitation des applications et modules web seulement n\u00e9cessaires.<\/p>\n<h2>Former aux bonnes pratiques<\/h2>\n<h3>Fiche\u00a02\u2009: \u00ab\u2009Sensibiliser les utilisateurs aux bonnes pratiques \u00e9l\u00e9mentaires\u00a0de s\u00e9curit\u00e9 informatique\u2009\u00bb<\/h3>\n<p>La cybercriminalit\u00e9 est une r\u00e9alit\u00e9 de plus en plus visible. \u00c0 des degr\u00e9s plus ou moins marqu\u00e9s, tous les syst\u00e8mes d\u2019information en font l\u2019objet. Les menaces de cyberattaques se d\u00e9veloppent en nombre, en diversit\u00e9, en sophistication.<br \/>\nCes attaques n\u00e9cessitent tr\u00e8s souvent la collaboration de l\u2019utilisateur, insuffisamment inform\u00e9 des risques.<\/p>\n<p>La formation aux bonnes pratiques \u00e9l\u00e9mentaires de s\u00e9curit\u00e9 est n\u00e9cessaire mais elle doit se frayer un chemin parmi les nombreuses formations m\u00e9tiers, telles que la prise en charge des urgences vitales et des situations sanitaires exceptionnelles, plan blanc, etc. Dans ces conditions, chaque nouvelle opportunit\u00e9 de communication doit \u00eatre saisie\u2009: un incident de s\u00e9curit\u00e9 local, un comit\u00e9 de direction, une r\u00e9union de cadres, des journ\u00e9es d\u2019accueil des professionnels, etc.\u00a0Ne faudrait-il pas songer \u00e0 transformer les formations informatiques dans les \u00e9coles en une formation \u00e0 la s\u00e9curit\u00e9 num\u00e9rique, \u00e0 l\u2019instar des formations \u00e0 la s\u00e9curit\u00e9 routi\u00e8re\u2009?<\/p>\n<h2>Le traitement des incidents de s\u00e9curit\u00e9<\/h2>\n<h3>Fiche\u00a040\u2009: \u00ab\u2009D\u00e9finir une proc\u00e9dure de gestion des incidents de s\u00e9curit\u00e9\u2009\u00bb<\/h3>\n<p>Outre les actions de pr\u00e9vention et de surveillance, il est n\u00e9cessaire de pr\u00e9voir les r\u00e9actions en cas de survenance d\u2019un incident de s\u00e9curit\u00e9 afin de r\u00e9agir le plus efficacement et le plus rapidement possible. Quelques exemples d\u2019incidents de s\u00e9curit\u00e9\u2009:<\/p>\n<ul>\n<li>utilisation ill\u00e9gale d\u2019un mot de passe, usurpation d\u2019identit\u00e9 ou abus de droits\u2009\u2009:<br \/>\n&#8211; un personnel d\u00e9couvre que sa bo\u00eete aux lettres est lue\u00a0par une autre personne et \u00e0 son insu. Des actions sont r\u00e9alis\u00e9es \u00e0 l\u2019aide de ses codes d\u2019acc\u00e8s (envoi de messages frauduleux, etc.),<br \/>\n&#8211; un membre du personnel profite de ses droits d\u2019acc\u00e8s aux applications pour modifier les donn\u00e9es d\u2019un personnel dans le but soit de le favoriser soit de le desservir\u2009;<\/li>\n<li>saturation ou perturbation du syst\u00e8me informatique\u2009:<br \/>\n&#8211; un attaquant ou un groupe d\u2019attaquants r\u00e9alise un d\u00e9luge de requ\u00eates fictives sur un serveur de prise de rendez-vous, emp\u00eachant le patient de prendre ses rendez-vous en ligne\u2009;<br \/>\n&#8211; indisponibilit\u00e9 apr\u00e8s une modification mal ma\u00eetris\u00e9e du syst\u00e8me informatique.<\/li>\n<\/ul>\n<p>Depuis 2015, une cha\u00eene d\u2019alerte a \u00e9t\u00e9 mise en place sous l\u2019impulsion du fonctionnaire en s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information du minist\u00e8re de la Sant\u00e9, la participation du club des RSSI et de leurs \u00e9tablissements. Les alertes ont aid\u00e9 les h\u00f4pitaux \u00e0 prendre toute mesure utile pour pr\u00e9venir une attaque ou en limiter les effets. Le d\u00e9cret de septembre 2016 d\u00e9taille les cat\u00e9gories d\u2019incidents devant \u00eatre d\u00e9clar\u00e9s par les \u00e9tablissements de sant\u00e9 aux agences r\u00e9gionales de sant\u00e9 (ARS). Ce d\u00e9cret pr\u00e9sente \u00e9galement l\u2019organisation de la cha\u00eene d\u2019alerte nationale (\u00e9tablissements de sant\u00e9, ARS et autorit\u00e9s comp\u00e9tentes de l\u2019\u00c9tat).<\/p>\n<h1>Conclusion<\/h1>\n<p>Les r\u00e8gles propos\u00e9es par l\u2019Anssi, sont des r\u00e8gles simples et essentielles de la s\u00e9curit\u00e9 de l\u2019information\u2009: identifier et s\u00e9curiser les donn\u00e9es critiques, mettre en place une politique de sauvegarde et tester r\u00e9guli\u00e8rement les restaurations, industrialiser la gestion des arriv\u00e9es et des d\u00e9parts, mettre en place une politique de mots de passe et de gestion des acc\u00e8s\u2026 Outre les aspects r\u00e9glementaires, il suffit de solliciter les professionnels sur \u00ab\u2009<em>leur pire cauchemar vis-\u00e0-vis du syst\u00e8me d\u2019information<\/em>\u2009\u00bb afin d\u2019\u00e9valuer le caract\u00e8re optionnel ou n\u00e9cessaire d\u2019application de ces r\u00e8gles. Par exemple, lorsqu\u2019un professionnel de sant\u00e9 craint de ne plus pouvoir acc\u00e9der aux donn\u00e9es des patients ou que ces derni\u00e8res s\u2019effacent, un responsable de recherche clinique \u00e9value la criticit\u00e9 d\u2019une perte d\u2019int\u00e9grit\u00e9 sur les donn\u00e9es de recherche, un directeur technique est pr\u00e9occup\u00e9 par la disponibilit\u00e9 du syst\u00e8me d\u2019information, un directeur du syst\u00e8me d\u2019information craint une attaque sur les donn\u00e9es des patients\u2026<\/p>\n<p>L\u2019Anssi a tranch\u00e9, \u00ab\u2009<em>la s\u00e9curit\u00e9 n\u2019est plus une option<\/em>\u2009\u00bb, et pr\u00e9cise\u2009: \u00ab\u2009<em>Les enjeux de s\u00e9curit\u00e9 num\u00e9rique doivent se rapprocher des pr\u00e9occupations \u00e9conomiques, strat\u00e9giques ou encore d\u2019image qui sont celles des d\u00e9cideurs. En contextualisant le besoin, en rappelant l\u2019objectif poursuivi et en y r\u00e9pondant par la mesure concr\u00e8te correspondante, le Guide d\u2019hygi\u00e8ne informatique est une feuille de route qui \u00e9pouse les int\u00e9r\u00eats de toute entit\u00e9 consciente de la valeur de ses donn\u00e9es.<\/em>\u2009\u00bb<\/p>\n<button data-toggle=\"collapse\" data-target=\"#enc_2017_239_02\">encadr\u00e9 2<\/button><div id=\"enc_2017_239_02\" class=\"encadre collapse\"><p><span class=\"surtitre_enc\">encadr\u00e9 2<\/span><\/p>\n<h2>Le num\u00e9rique en sant\u00e9<\/h2>\n<ul>\n<li>Des robots qui reproduisent les gestes des professionnels.<\/li>\n<li>Des bases de donn\u00e9es qui assurent la d\u00e9mat\u00e9rialisation des dossiers patients, des dossiers agents, etc.<\/li>\n<li>Des fichiers bureautiques (traitement de texte, tableur, etc.).<\/li>\n<li>Des messages \u00e9lectroniques, dont certains peuvent avoir une valeur juridique forte.<\/li>\n<li>Des documents papiers num\u00e9ris\u00e9s, notamment les consentements des patients.<\/li>\n<li>Des informations \u00e9chang\u00e9es dans le cadre de t\u00e9l\u00e9 proc\u00e9dures telles que la prise de rendez-vous en ligne, la transmission de compte-rendu m\u00e9dical.<\/li>\n<li>Des sites Internet.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<\/div>\n<script>function PlayerjsAsync(){} if(window[\"Playerjs\"]){PlayerjsAsync();}<\/script>","protected":false},"excerpt":{"rendered":"<p>Les \u00e9volutions technologiques appliqu\u00e9es \u00e0 la sant\u00e9 permettent de d\u00e9velopper de nouvelles pratiques professionnelles \u2013 notamment gr\u00e2ce \u00e0 la mobilit\u00e9 \u2013, de collecter un nombre exponentiel de donn\u00e9es gr\u00e2ce \u00e0 l\u2019\u00e9volution des technologiques m\u00e9dicales et de traiter toujours plus de donn\u00e9es gr\u00e2ce \u00e0 l\u2019\u00e9volution des puissances de calcul des ordinateurs. La loi de modernisation du syst\u00e8me de sant\u00e9 de janvier 2016 prend en compte ces nouvelles pratiques, ces nouvelles possibilit\u00e9s&hellip; <\/p>\n","protected":false},"author":23133,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","footnotes":""},"categories":[26,2],"tags":[5467,5466,5464,5468,5465,582,299],"class_list":["post-33998","post","type-post","status-publish","format-standard","hentry","category-dossier","category-gestions-hospitalieres","tag-anssi","tag-hygiene-informatique","tag-numerique-en-sante","tag-pgssi-s","tag-plan-daction-ssi","tag-securite","tag-systeme-dinformation"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v24.8.1 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>La s\u00e9curisation du syst\u00e8me d\u2019information - Gestions hospitali\u00e8res<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"La s\u00e9curisation du syst\u00e8me d\u2019information - Gestions hospitali\u00e8res\" \/>\n<meta property=\"og:description\" content=\"Les \u00e9volutions technologiques appliqu\u00e9es \u00e0 la sant\u00e9 permettent de d\u00e9velopper de nouvelles pratiques professionnelles \u2013 notamment gr\u00e2ce \u00e0 la mobilit\u00e9 \u2013, de collecter un nombre exponentiel de donn\u00e9es gr\u00e2ce \u00e0 l\u2019\u00e9volution des technologiques m\u00e9dicales et de traiter toujours plus de donn\u00e9es gr\u00e2ce \u00e0 l\u2019\u00e9volution des puissances de calcul des ordinateurs. La loi de modernisation du syst\u00e8me de sant\u00e9 de janvier 2016 prend en compte ces nouvelles pratiques, ces nouvelles possibilit\u00e9s&hellip;\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/\" \/>\n<meta property=\"og:site_name\" content=\"Gestions hospitali\u00e8res\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/gestionshospitalieres\/\" \/>\n<meta property=\"article:published_time\" content=\"2017-04-01T09:12:38+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2018-04-26T09:38:03+00:00\" \/>\n<meta name=\"author\" content=\"Gestions hospitali\u00e8res\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@revue_GH\" \/>\n<meta name=\"twitter:site\" content=\"@revue_GH\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"Gestions hospitali\u00e8res\" \/>\n\t<meta name=\"twitter:label2\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data2\" content=\"12 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/\"},\"author\":{\"name\":\"Gestions hospitali\u00e8res\",\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/#\/schema\/person\/3ba9fe913190dfe9507feb621e902c1f\"},\"headline\":\"La s\u00e9curisation du syst\u00e8me d\u2019information\",\"datePublished\":\"2017-04-01T09:12:38+00:00\",\"dateModified\":\"2018-04-26T09:38:03+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/\"},\"wordCount\":2418,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/#organization\"},\"keywords\":[\"Anssi\",\"hygi\u00e8ne informatique\",\"num\u00e9rique en sant\u00e9\",\"PGSSI-S\",\"plan d'action SSI\",\"s\u00e9curit\u00e9\",\"syst\u00e8me d\u2019information\"],\"articleSection\":[\"dossier\",\"Gestions Hospitali\u00e8res\"],\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/\",\"url\":\"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/\",\"name\":\"La s\u00e9curisation du syst\u00e8me d\u2019information - Gestions hospitali\u00e8res\",\"isPartOf\":{\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/#website\"},\"datePublished\":\"2017-04-01T09:12:38+00:00\",\"dateModified\":\"2018-04-26T09:38:03+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\/\/www.ricom-web8.com\/gestions\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"La s\u00e9curisation du syst\u00e8me d\u2019information\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/#website\",\"url\":\"https:\/\/www.ricom-web8.com\/gestions\/\",\"name\":\"Gestions hospitali\u00e8res\",\"description\":\"la revue des d\u00e9cideurs hospitaliers\",\"publisher\":{\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.ricom-web8.com\/gestions\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/#organization\",\"name\":\"Gestions hospitali\u00e8res\",\"url\":\"https:\/\/www.ricom-web8.com\/gestions\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/gestions-hospitalieres.fr\/wp-content\/uploads\/2017\/02\/picto_Gif-GH-trans.png\",\"contentUrl\":\"https:\/\/gestions-hospitalieres.fr\/wp-content\/uploads\/2017\/02\/picto_Gif-GH-trans.png\",\"width\":512,\"height\":512,\"caption\":\"Gestions hospitali\u00e8res\"},\"image\":{\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/gestionshospitalieres\/\",\"https:\/\/x.com\/revue_GH\",\"https:\/\/www.linkedin.com\/company\/gestions-hospitalieres?trk=top_nav_home\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/#\/schema\/person\/3ba9fe913190dfe9507feb621e902c1f\",\"name\":\"Gestions hospitali\u00e8res\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\/\/www.ricom-web8.com\/gestions\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/1a0d93e6db5dbe7dac96bae4757d256f?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/1a0d93e6db5dbe7dac96bae4757d256f?s=96&d=mm&r=g\",\"caption\":\"Gestions hospitali\u00e8res\"},\"url\":\"https:\/\/www.ricom-web8.com\/gestions\/author\/benjamin\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"La s\u00e9curisation du syst\u00e8me d\u2019information - Gestions hospitali\u00e8res","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/","og_locale":"fr_FR","og_type":"article","og_title":"La s\u00e9curisation du syst\u00e8me d\u2019information - Gestions hospitali\u00e8res","og_description":"Les \u00e9volutions technologiques appliqu\u00e9es \u00e0 la sant\u00e9 permettent de d\u00e9velopper de nouvelles pratiques professionnelles \u2013 notamment gr\u00e2ce \u00e0 la mobilit\u00e9 \u2013, de collecter un nombre exponentiel de donn\u00e9es gr\u00e2ce \u00e0 l\u2019\u00e9volution des technologiques m\u00e9dicales et de traiter toujours plus de donn\u00e9es gr\u00e2ce \u00e0 l\u2019\u00e9volution des puissances de calcul des ordinateurs. La loi de modernisation du syst\u00e8me de sant\u00e9 de janvier 2016 prend en compte ces nouvelles pratiques, ces nouvelles possibilit\u00e9s&hellip;","og_url":"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/","og_site_name":"Gestions hospitali\u00e8res","article_publisher":"https:\/\/www.facebook.com\/gestionshospitalieres\/","article_published_time":"2017-04-01T09:12:38+00:00","article_modified_time":"2018-04-26T09:38:03+00:00","author":"Gestions hospitali\u00e8res","twitter_card":"summary_large_image","twitter_creator":"@revue_GH","twitter_site":"@revue_GH","twitter_misc":{"\u00c9crit par":"Gestions hospitali\u00e8res","Dur\u00e9e de lecture estim\u00e9e":"12 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/#article","isPartOf":{"@id":"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/"},"author":{"name":"Gestions hospitali\u00e8res","@id":"https:\/\/www.ricom-web8.com\/gestions\/#\/schema\/person\/3ba9fe913190dfe9507feb621e902c1f"},"headline":"La s\u00e9curisation du syst\u00e8me d\u2019information","datePublished":"2017-04-01T09:12:38+00:00","dateModified":"2018-04-26T09:38:03+00:00","mainEntityOfPage":{"@id":"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/"},"wordCount":2418,"commentCount":0,"publisher":{"@id":"https:\/\/www.ricom-web8.com\/gestions\/#organization"},"keywords":["Anssi","hygi\u00e8ne informatique","num\u00e9rique en sant\u00e9","PGSSI-S","plan d'action SSI","s\u00e9curit\u00e9","syst\u00e8me d\u2019information"],"articleSection":["dossier","Gestions Hospitali\u00e8res"],"inLanguage":"fr-FR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/","url":"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/","name":"La s\u00e9curisation du syst\u00e8me d\u2019information - Gestions hospitali\u00e8res","isPartOf":{"@id":"https:\/\/www.ricom-web8.com\/gestions\/#website"},"datePublished":"2017-04-01T09:12:38+00:00","dateModified":"2018-04-26T09:38:03+00:00","breadcrumb":{"@id":"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.ricom-web8.com\/gestions\/securisation-systeme-dinformation\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/www.ricom-web8.com\/gestions\/"},{"@type":"ListItem","position":2,"name":"La s\u00e9curisation du syst\u00e8me d\u2019information"}]},{"@type":"WebSite","@id":"https:\/\/www.ricom-web8.com\/gestions\/#website","url":"https:\/\/www.ricom-web8.com\/gestions\/","name":"Gestions hospitali\u00e8res","description":"la revue des d\u00e9cideurs hospitaliers","publisher":{"@id":"https:\/\/www.ricom-web8.com\/gestions\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.ricom-web8.com\/gestions\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/www.ricom-web8.com\/gestions\/#organization","name":"Gestions hospitali\u00e8res","url":"https:\/\/www.ricom-web8.com\/gestions\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.ricom-web8.com\/gestions\/#\/schema\/logo\/image\/","url":"https:\/\/gestions-hospitalieres.fr\/wp-content\/uploads\/2017\/02\/picto_Gif-GH-trans.png","contentUrl":"https:\/\/gestions-hospitalieres.fr\/wp-content\/uploads\/2017\/02\/picto_Gif-GH-trans.png","width":512,"height":512,"caption":"Gestions hospitali\u00e8res"},"image":{"@id":"https:\/\/www.ricom-web8.com\/gestions\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/gestionshospitalieres\/","https:\/\/x.com\/revue_GH","https:\/\/www.linkedin.com\/company\/gestions-hospitalieres?trk=top_nav_home"]},{"@type":"Person","@id":"https:\/\/www.ricom-web8.com\/gestions\/#\/schema\/person\/3ba9fe913190dfe9507feb621e902c1f","name":"Gestions hospitali\u00e8res","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.ricom-web8.com\/gestions\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/1a0d93e6db5dbe7dac96bae4757d256f?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/1a0d93e6db5dbe7dac96bae4757d256f?s=96&d=mm&r=g","caption":"Gestions hospitali\u00e8res"},"url":"https:\/\/www.ricom-web8.com\/gestions\/author\/benjamin\/"}]}},"_links":{"self":[{"href":"https:\/\/www.ricom-web8.com\/gestions\/wp-json\/wp\/v2\/posts\/33998","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ricom-web8.com\/gestions\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ricom-web8.com\/gestions\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ricom-web8.com\/gestions\/wp-json\/wp\/v2\/users\/23133"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ricom-web8.com\/gestions\/wp-json\/wp\/v2\/comments?post=33998"}],"version-history":[{"count":0,"href":"https:\/\/www.ricom-web8.com\/gestions\/wp-json\/wp\/v2\/posts\/33998\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.ricom-web8.com\/gestions\/wp-json\/wp\/v2\/media?parent=33998"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ricom-web8.com\/gestions\/wp-json\/wp\/v2\/categories?post=33998"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ricom-web8.com\/gestions\/wp-json\/wp\/v2\/tags?post=33998"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}