{"id":48154,"date":"2024-04-01T17:36:43","date_gmt":"2024-04-01T15:36:43","guid":{"rendered":"https:\/\/gestions-hospitalieres.fr\/?p=48154"},"modified":"2024-05-02T17:00:52","modified_gmt":"2024-05-02T15:00:52","slug":"cybersecurite","status":"publish","type":"post","link":"https:\/\/www.ricom-web8.com\/gestions\/cybersecurite\/","title":{"rendered":"Cybers\u00e9curit\u00e9"},"content":{"rendered":"Temps de lecture\u00a0: <\/span> 11<\/span> minutes<\/span><\/span>

Le syst\u00e8me d’information hospitalier (SIH) englobe toutes les technologies et proc\u00e9dures d\u00e9ploy\u00e9es pour g\u00e9rer, traiter, conserver et transmettre les donn\u00e9es cliniques et administratives, essentielles \u00e0 la qualit\u00e9 des soins et \u00e0 l’efficacit\u00e9 op\u00e9rationnelle de l’\u00e9tablissement. Ce syst\u00e8me est compos\u00e9 de ressources informationnelles (proc\u00e9dures, donn\u00e9es et fonctions), mat\u00e9rielles, logicielles et de ressources humaines. Le l\u00e9gislateur impose aux professionnels du syst\u00e8me hospitalier de se pr\u00e9parer (formations et sensibilisation) et se prot\u00e9ger (plans d\u2019actions) et en cas de destruction partielle et ou compl\u00e8te du SIH.<\/p>\n

Loin d\u2019\u00eatre une solution miracle, la mise en conformit\u00e9 r\u00e9glementaire repr\u00e9sente un co\u00fbt suppl\u00e9mentaire pour les h\u00f4pitaux. Il est donc essentiel de savoir quels sont les financements, les moyens et les accompagnements qui peuvent soutenir cette d\u00e9marche de r\u00e9silience num\u00e9rique collective.<\/p>\n

Le d\u00e9confinement du risque cyber\u202f\u00e0 l\u2019h\u00f4pital<\/h1>\n

De l\u2019\u00e9mergence du SIH \u00e0 la cons\u00e9cration d\u2019un \u00e9cosyst\u00e8me num\u00e9rique<\/h2>\n

La premi\u00e8re d\u00e9finition r\u00e9glementaire de la notion de SIH \u00e9mane d\u2019une circulaire minist\u00e9rielle du 6\u202fjanvier 1989. Le minist\u00e8re de la Sant\u00e9 le d\u00e9finit comme \u00ab\u2009l’ensemble des informations, de leurs r\u00e8gles de circulation et de traitement n\u00e9cessaires \u00e0 son fonctionnement quotidien, \u00e0 ses modes de gestion et d’\u00e9valuation ainsi qu’\u00e0 son processus de d\u00e9cision strat\u00e9gique(2)<\/sup>\u2009\u00bb. Depuis, le SIH conna\u00eet de nombreuses d\u00e9finitions et celle de G\u00e9rard Pon\u00e7on est tr\u00e8s souvent retenue comme r\u00e9f\u00e9rence\u2009: \u00ab\u2009Le SIH est ins\u00e9r\u00e9 dans l\u2019organisation de l\u2019h\u00f4pital en perp\u00e9tuelle \u00e9volution\u2009; il est capable selon les r\u00e8gles et modes op\u00e9ratoires pr\u00e9d\u00e9finis, d\u2019acqu\u00e9rir des donn\u00e9es, de les \u00e9valuer, de les traiter par des outils informatiques contenant une forte valeur ajout\u00e9e \u00e0 tous les partenaires internes ou ext\u00e9rieurs de l\u2019\u00e9tablissement, collaborant \u00e0 une \u0153uvre commune orient\u00e9e vers un but sp\u00e9cifique, \u00e0 savoir la prise en charge d\u2019un patient et le r\u00e9tablissement de celui-ci(3)<\/sup>\u2009\u00bb. Une d\u00e9finition plus large qui int\u00e8gre les moyens humains mat\u00e9riels et les m\u00e9thodes n\u00e9cessaires au traitement et au partage de l\u2019information.<\/p>\n

Le SIH organise ainsi les diff\u00e9rents modes de communication. En interne, il recouvre le dossier patient, la gestion des plannings, de la paie, de la facturation, du suivi budg\u00e9taire et des diff\u00e9rents outils de communication (internet, intranet, messagerie). En externe, le SIH fait la liaison avec les fournisseurs ou l\u2019interface dans l\u2019utilisation de diff\u00e9rentes applications telle que \u00ab\u2009Mon espace sant\u00e9\u2009\u00bb.<\/p>\n

Modernisation du SIH et d\u00e9pendance au num\u00e9rique<\/h2>\n

Les ann\u00e9es 2010 marquent un v\u00e9ritable tournant dans le d\u00e9veloppement de la e-sant\u00e9 avec le dossier patient informatis\u00e9 (DPI), l\u2019e-CPS, les messageries MSSant\u00e9\u2026 Les grands plans d\u2019investissement \u2013 Innovation Sant\u00e9 2030, Feuille de route du num\u00e9rique en sant\u00e9, S\u00e9gur du num\u00e9rique en sant\u00e9, programme S\u00e9gur usage num\u00e9rique en \u00e9tablissement de sant\u00e9 (SUN-ES), ESMS num\u00e9rique, Strat\u00e9gie d\u2019acc\u00e9l\u00e9ration sant\u00e9 num\u00e9rique \u2013 poussent les \u00e9tablissements de sant\u00e9 \u00e0 poursuivre l\u2019acc\u00e9l\u00e9ration de la transition num\u00e9rique.<\/p>\n

La r\u00e9cente feuille de route\u00a0 <\/span>\u00ab\u2009Mettre le num\u00e9rique au service de la sant\u00e9(4)<\/sup>\u00bb, pr\u00e9sent\u00e9e en mai\u202f2023, pose un cadre d\u2019action et de collaboration entre acteurs publics et priv\u00e9s, notamment sur l’utilisation des services et r\u00e9f\u00e9rentiels num\u00e9riques socles(5)<\/sup>, en int\u00e9grant deux volets d’accompagnement financier\u2009:<\/p>\n

    \n
  • le S\u00e9gur du num\u00e9rique en sant\u00e9, qui octroie 2\u202fmilliards d\u2019euros pour soutenir le d\u00e9veloppement massif et coh\u00e9rent du num\u00e9rique en sant\u00e9 en France (dont le programme SUN-ES)\u2009;<\/li>\n
  • le programme Cyber acc\u00e9l\u00e9ration et R\u00e9silience des \u00c9tablissements (CARE), pr\u00e9voyant des financements pour rattraper et p\u00e9renniser le niveau cyber des \u00e9tablissements.<\/li>\n<\/ul>\n

    Toutes les activit\u00e9s de l\u2019h\u00f4pital sont concern\u00e9es par la d\u00e9pendance au num\u00e9rique et le risque s\u2019accro\u00eet d\u2019autant plus avec l\u2019interd\u00e9pendance de ces m\u00e9tiers au SIH.<\/p>\n

    L\u2019h\u00f4pital au c\u0153ur d\u2019un r\u00e9seau de communication<\/h2>\n

    Les activit\u00e9s de l\u2019h\u00f4pital s\u2019organisent dans le cadre d\u2019une multiplicit\u00e9 de flux entrants et sortants (physiques, d\u2019approvisionnement, de services, d\u2019informations, de donn\u00e9es, etc.). Une articulation judicieuse doit s\u2019op\u00e9rer pour garantir aux patients une prise en charge de qualit\u00e9. Les h\u00f4pitaux ont d\u00fb r\u00e9fl\u00e9chir \u00e0 une urbanisation(6)<\/sup> de leur SI pour apporter une vision claire et coh\u00e9rente de l\u2019architecture informatique. Les diff\u00e9rentes \u00e9volutions architecturales et\/ou organisationnelles ont entra\u00een\u00e9 une adaptation du SIH, avec parfois de nombreux syst\u00e8mes totalement int\u00e9gr\u00e9s. Conna\u00eetre cette urbanisation est le point de d\u00e9part en mati\u00e8re de s\u00e9curit\u00e9 du syst\u00e8me d\u2019information (SSI). Elle facilite l’identification des actifs critiques et permet de prioriser les efforts de s\u00e9curisation en d\u00e9finissant des standards et des protocoles clairs visant \u00e0 r\u00e9duire les points de faille, harmoniser les pratiques de s\u00e9curit\u00e9 et am\u00e9liorer la capacit\u00e9 de l’organisation \u00e0 anticiper et \u00e0 r\u00e9agir face aux cybermenaces, renfor\u00e7ant par l\u00e0 m\u00eame sa r\u00e9silience globale.<\/p>\n

    La cartographie des SI dans le secteur hospitalier est un pr\u00e9alable, en visant au-del\u00e0 de la simple repr\u00e9sentation des composants et de leurs interconnexions (en identifiant clairement les points de vuln\u00e9rabilit\u00e9), les chemins de donn\u00e9es critiques et les zones o\u00f9 la s\u00e9curit\u00e9 doit \u00eatre renforc\u00e9e. Cette cartographie doit permettre de d\u00e9terminer les zones \u00e0 risque \u00e9lev\u00e9, facilitant ainsi la mise en place de mesures de protection cibl\u00e9es et la priorisation des actions de s\u00e9curisation. Elle permet de planifier les r\u00e9ponses en cas d\u2019incident, en identifiant rapidement les syst\u00e8mes critiques impact\u00e9s et en orientant les efforts de r\u00e9cup\u00e9ration.<\/p>\n

    Les \u00e9tablissements de sant\u00e9 voient se d\u00e9velopper de plus en plus le Shadow\u00a0IT(7)<\/sup>. Les SI peuvent \u00eatre une grande source de frustration pour les utilisateurs (pas suffisamment rapide, trop complexe, etc.) qui ont alors recours au cloud<\/i>(8)<\/sup> pour contourner les r\u00e8gles de s\u00e9curit\u00e9 informatique d\u00e9finies par l\u2019institution. Pour g\u00e9rer ce risque, il convient d’instaurer une communication ouverte et p\u00e9dagogique entre les utilisateurs et la direction informatique, afin d’identifier et d’int\u00e9grer de mani\u00e8re s\u00e9curis\u00e9e, lorsque cela est possible, ces solutions au syst\u00e8me informatique central.<\/p>\n

    Interconnexion et interd\u00e9pendance<\/h2>\n

    Dans les groupements hospitaliers de territoire (GHT), chaque \u00e9tablissement peut avoir ses propres proc\u00e9dures et politiques en mati\u00e8re de SI et de SSI. La complexit\u00e9 r\u00e9side alors dans la coordination et la gestion d’une r\u00e9ponse unifi\u00e9e lors d’une crise. L\u2019interconnexion croissante des SI peut entra\u00eener des failles de s\u00e9curit\u00e9, et une vuln\u00e9rabilit\u00e9 dans un seul syst\u00e8me peut compromettre l’ensemble du r\u00e9seau.<\/p>\n

    La cartographie et les organisations SI et SSI doivent ainsi tenir compte de ces interconnexions et des risques associ\u00e9s pour d\u00e9velopper des strat\u00e9gies de r\u00e9ponse actives et adapt\u00e9es \u00e0 chaque configuration. Le d\u00e9ploiement d’une communication fluide entre les diff\u00e9rents acteurs permet de garantir une r\u00e9solution rapide et efficace des incidents.<\/p>\n

    La d\u00e9pendance croissante \u00e0 l’\u00e9gard des SI externes n\u00e9cessite \u00e9galement une \u00e9valuation et une exigence de conformit\u00e9 de la s\u00e9curit\u00e9 de ces syst\u00e8mes tiers et une int\u00e9gration de leurs risques dans la strat\u00e9gie globale de SSI pour lutter contre les menaces.<\/p>\n

    Des attaques informatiques en perp\u00e9tuelle mutation<\/h2>\n

    Les cybermenaces sont aujourd\u2019hui prot\u00e9iformes\u2009:<\/p>\n

      \n
    • attaques par d\u00e9ni de service (DDoS)\u2009: saturent le r\u00e9seau de l’h\u00f4pital, emp\u00eachant l’acc\u00e8s \u00e0 des informations vitales et perturbant les services de soins aux patients\u2009;<\/li>\n
    • d\u00e9figuration de sites web\u2009: compromet l’image de l’h\u00f4pital en ligne, \u00e9rodant la confiance des patients et des partenaires\u2009;<\/li>\n
    • ran\u00e7ongiciels\u2009: verrouillent l’acc\u00e8s aux donn\u00e9es critiques, interrompant les op\u00e9rations hospitali\u00e8res et pouvant retarder les traitements\u2009;<\/li>\n
    • vol de donn\u00e9es\u2009: expose les informations personnelles et de sant\u00e9 des patients, mena\u00e7ant leur vie priv\u00e9e et la conformit\u00e9 l\u00e9gale de l’h\u00f4pital\u2009;<\/li>\n
    • phishing<\/i> et ing\u00e9nierie sociale\u2009: trompent le personnel pour obtenir des acc\u00e8s ou informations sensibles, compromettant la s\u00e9curit\u00e9 interne\u2009;<\/li>\n
    • attaques sur les \u00e9quipements connect\u00e9s\u2009: ciblent les dispositifs m\u00e9dicaux, mettant en p\u00e9ril la s\u00e9curit\u00e9 des patients et l’efficacit\u00e9 des traitements\u2009;<\/li>\n
    • exploitation de vuln\u00e9rabilit\u00e9s logicielles\u2009: permet aux attaquants d’infiltrer les syst\u00e8mes hospitaliers, mena\u00e7ant la confidentialit\u00e9, l’int\u00e9grit\u00e9 et la disponibilit\u00e9 des donn\u00e9es de sant\u00e9.<\/li>\n<\/ul>\n

      La complexit\u00e9 croissante de nos environnements cloud<\/i>, li\u00e9e \u00e0 l’usage de DevOps(9)<\/sup> et de conteneurs, ouvre la porte \u00e0 des attaques comme l\u2019usurpation et la manipulation des infrastructures cloud<\/i>, les vers natifs du cloud<\/i>, qui peuvent se r\u00e9pandre rapidement et compromettre l\u2019int\u00e9grit\u00e9 de nos syst\u00e8mes. Les plateformes de communication interne peuvent \u00e9galement servir de vecteurs pour des attaques, exploitant leur nature moins formelle pour diss\u00e9miner des malwares. Le mod\u00e8le de travail hybride accentue \u00e9galement la vuln\u00e9rabilit\u00e9 face au phishing<\/i> et autres tactiques d\u2019ing\u00e9nierie sociale, exploitant des appareils personnels moins s\u00e9curis\u00e9s pour infiltrer notre r\u00e9seau. Les deepfakes<\/i>(10)<\/sup> et les \u00ab\u2009algorithmes\u2009\u00bb malveillants bas\u00e9s sur l\u2019intelligence artificielle (IA) marquent \u00e9galement une \u00e9volution inqui\u00e9tante dans les menaces num\u00e9riques, permettant la cr\u00e9ation et la diffusion de contenus trompeurs ou de cyberattaques cibl\u00e9es. L\u2019augmentation des attaques ciblant les dispositifs connect\u00e9s (Internet des objets – IoT) dans le secteur de la sant\u00e9 expose \u00e0 des risques critiques, allant de la compromission de donn\u00e9es sensibles \u00e0 l\u2019alt\u00e9ration du fonctionnement des \u00e9quipements m\u00e9dicaux, mettant ainsi en p\u00e9ril la s\u00e9curit\u00e9 et la s\u00fbret\u00e9 des patients.<\/p>\n

      Face \u00e0 ces menaces, il est imp\u00e9ratif d\u2019adopter une posture de cybers\u00e9curit\u00e9 proactive\u2009: exercices de crise, actions de sensibilisation et de formation aux risques cyber, utilisation de l\u2019IA\u2026 Ces strat\u00e9gies permettent de visualiser et d\u2019att\u00e9nuer les risques cyber avec des mesures et des contr\u00f4les de s\u00e9curit\u00e9 pr\u00e9cis, changeant ainsi les priorit\u00e9s fondamentales des organisations vers une gestion plus pr\u00e9dictive de ces nouveaux risques.<\/p>\n

      De la cybers\u00e9curit\u00e9 \u00e0 la cyberr\u00e9silience<\/h1>\n

      D\u00e9fendre son organisation<\/h2>\n

      Les menaces cyber cr\u00e9ent un climat d’incertitude constant. Les h\u00f4pitaux doivent repenser leur organisation en mettant l’accent sur la protection et la d\u00e9fense de leur \u00e9cosyst\u00e8me num\u00e9rique. Il convient d\u00e9sormais de d\u00e9velopper une strat\u00e9gie de d\u00e9fense globale visant \u00e0 d\u00e9tecter les signaux pr\u00e9curseurs de perturbations et \u00e0 pr\u00e9venir ou att\u00e9nuer leur impact sur la prestation de services essentiels.<\/p>\n

      Il n’y a pas de m\u00e9thode unique pour assurer la s\u00e9curit\u00e9 informatique. Les \u00e9tablissements doivent adopter une approche pragmatique en \u00e9laborant un socle de s\u00e9curit\u00e9 permettant de supprimer les vuln\u00e9rabilit\u00e9s les plus critiques et ainsi diminuer les risques les plus impactant. Ensuite, la mise en place d\u2019un syst\u00e8me de management de la s\u00e9curit\u00e9 de l\u2019information en s\u2019appuyant sur la famille des normes 27\u2009000 reste la base.<\/p>\n

      La d\u00e9marche de cybers\u00e9curit\u00e9 repose sur une acceptation des risques, car il est impossible d\u2019atteindre un niveau de risque nul. \u00c9valuer la capacit\u00e9 de l\u2019organisation \u00e0 minimiser l\u2019impact des incidents cyber sur ses activit\u00e9s et maintenir les fonctions critiques est d\u00e9sormais incontournable. La distinction incidents majeurs(11)<\/sup>\u00a0 <\/span>et incidents de cybers\u00e9curit\u00e9 est ainsi fondamentale.<\/p>\n