{"id":48180,"date":"2024-04-01T11:52:48","date_gmt":"2024-04-01T09:52:48","guid":{"rendered":"https:\/\/gestions-hospitalieres.fr\/?p=48180"},"modified":"2024-05-02T16:59:36","modified_gmt":"2024-05-02T14:59:36","slug":"proteger-les-sih-grace-a-une-cyberhygiene","status":"publish","type":"post","link":"https:\/\/www.ricom-web8.com\/gestions\/proteger-les-sih-grace-a-une-cyberhygiene\/","title":{"rendered":"Prot\u00e9ger les SIH gr\u00e2ce \u00e0 une cyberhygi\u00e8ne"},"content":{"rendered":"Temps de lecture\u00a0: <\/span> 4<\/span> minutes<\/span><\/span>

Le rapport de l\u2019Agence europ\u00e9enne pour la cybers\u00e9curit\u00e9 (ENISA) souligne une croissance des incidents cyber entre les ann\u00e9es 2021 et 2022, avec une projection alarmante pour 2023. La vuln\u00e9rabilit\u00e9 du secteur est illustr\u00e9e par l\u2019augmentation notable de 33% des \u00e9tablissements de sant\u00e9 ayant d\u00e9clar\u00e9 au moins un incident en 2022. Ces incidents se caract\u00e9risent notamment par des attaques visant \u00e0 paralyser les infrastructures ou \u00e0 subtiliser des informations sensibles. En Europe, la France est la principale cible de ces attaques. En premi\u00e8re ligne, les h\u00f4pitaux doivent faire preuve d\u2019une vigilance continue et d\u2019une pr\u00e9paration sans faille.<\/p>\n

\u00ab\u2009L\u2019approche de la cybers\u00e9curit\u00e9 doit \u00eatre globale et hi\u00e9rarchis\u00e9e, il ne sert \u00e0 rien de fermer la porte d\u2019entr\u00e9e \u00e0 double tour si vous laissez les fen\u00eatres grandes ouvertes\u2009!\u2009\u00bb <\/i>Le directeur de la s\u00e9curit\u00e9 d\u2019un grand groupe au CAC 40<\/p>\n

Mettre en place une strat\u00e9gie globale de gestion des risques\u00a0<\/span><\/h1>\n

Face \u00e0 ces menaces, la gestion des risques en cybers\u00e9curit\u00e9 n\u00e9cessite une approche m\u00e9thodique et stratifi\u00e9e. Elle repose sur une analyse des risques auxquels un \u00e9tablissement de sant\u00e9 ou m\u00e9dico-social est expos\u00e9.\u00a0<\/span><\/p>\n

Cette analyse de risque suit exactement la m\u00eame m\u00e9thodologie que celle des risques associ\u00e9s aux soins, dont les \u00e9tablissements ont l\u2019habitude de longue date dans le cadre de la certification HAS\u2009: cartographie des risques, \u00e9valuation de la gravit\u00e9 potentielle de survenue de ce risque, probabilit\u00e9 de concr\u00e9tisation d\u2019un risque.<\/p>\n

\u00ab\u2009Il faut organiser ses ressources en fonction des diff\u00e9rents risques de l\u2019\u00e9tablissement et du niveau d\u2019acceptabilit\u00e9 du risque de la gouvernance. Ainsi, ce n\u2019est pas la taille de l\u2019\u00e9tablissement qui constitue le dimensionnement du plan cybers\u00e9curit\u00e9 de l\u2019entit\u00e9.\u2009\u00bb\u00a0<\/i>Le responsable de la s\u00e9curit\u00e9 du syst\u00e8me d\u2019information d\u2019un CHU<\/p>\n

Premi\u00e8rement, l\u2019identification pr\u00e9cise des actifs critiques tels que les infrastructures r\u00e9seau essentielles, en les classant en fonction de leur importance pour la continuit\u00e9 des soins et de leur sensibilit\u00e9 en termes de donn\u00e9es manipul\u00e9es. Cela permet notamment de d\u00e9finir un p\u00e9rim\u00e8tre de protection adapt\u00e9 et de prioriser les efforts de s\u00e9curisation selon le degr\u00e9 de sensibilit\u00e9 des donn\u00e9es et services. Les dossiers m\u00e9dicaux informatis\u00e9s (DPI), les syst\u00e8mes de gestion des patients (GAM\/GAP), les syst\u00e8mes de gestion des laboratoires (SGL) et les syst\u00e8mes d\u2019imagerie (RIS et PACS) ainsi que certains \u00e9quipements m\u00e9dicaux cl\u00e9s comme les respirateurs en r\u00e9animation sont typiquement consid\u00e9r\u00e9s comme critiques, notamment au regard de la continuit\u00e9 d\u2019activit\u00e9 de l\u2019\u00e9tablissement.\u00a0<\/span><\/p>\n

Ensuite, l\u2019\u00e9valuation des vuln\u00e9rabilit\u00e9s doit \u00eatre r\u00e9alis\u00e9e afin de d\u00e9tecter et corriger les failles potentielles avant qu\u2019elles ne soient exploit\u00e9es par des acteurs malveillants. Les vuln\u00e9rabilit\u00e9s peuvent provenir de diverses sources\u00a0 <\/span>telles que des configurations r\u00e9seau inad\u00e9quates, des pratiques de s\u00e9curit\u00e9 obsol\u00e8tes, la non-mise \u00e0 jour des syst\u00e8mes d\u2019op\u00e9ration.\u00a0<\/span><\/p>\n

La planification de la r\u00e9ponse aux incidents est cruciale\u2009: il s\u2019agit de d\u00e9velopper des protocoles d\u2019intervention rapide pour isoler les machines attaqu\u00e9es et minimiser l\u2019impact d\u2019un incident sur les op\u00e9rations hospitali\u00e8res et la s\u00e9curit\u00e9 des patients. Une r\u00e9ponse efficace repose sur la capacit\u00e9 \u00e0 d\u00e9tecter rapidement une intrusion ou une exploitation de vuln\u00e9rabilit\u00e9 et \u00e0 r\u00e9agir de mani\u00e8re coordonn\u00e9e. Les plans de r\u00e9ponse aux incidents doivent inclure des proc\u00e9dures d\u00e9taill\u00e9es de gradation, jusqu\u2019au niveau ultime de coupure des syst\u00e8mes. Ce plan doit inclure les modalit\u00e9s de communication de crise et la gestion de l\u2019apr\u00e8s-crise : restauration des syst\u00e8mes affect\u00e9s, gestion des cons\u00e9quences l\u00e9gales et de r\u00e9putation associ\u00e9e \u00e0 une fuite de donn\u00e9es.\u00a0<\/span><\/p>\n

En int\u00e9grant ces \u00e9tapes dans une strat\u00e9gie globale de gestion des risques, les \u00e9tablissements de sant\u00e9 peuvent non seulement am\u00e9liorer leur capacit\u00e9 \u00e0 pr\u00e9venir les incidents de s\u00e9curit\u00e9, mais aussi y r\u00e9pondre de mani\u00e8re plus efficace, minimisant ainsi les impacts sur la continuit\u00e9 des soins et la protection des donn\u00e9es des patients.\u00a0<\/span><\/p>\n

La dualit\u00e9 fonctionnelle d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPO)\/responsable de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (RSSI) est essentielle pour maintenir l\u2019int\u00e9grit\u00e9 des donn\u00e9es et la confiance des usagers.<\/p><\/blockquote>\n

Former, accompagner et passer \u00e0 l\u2019action\u2009!<\/h1>\n

Au c\u0153ur de la cybers\u00e9curit\u00e9 se trouve \u00ab\u2009l\u2019hygi\u00e8ne informatique\u2009\u00bb au quotidien. \u00c0 l\u2019instar du lavage des mains, du port du masque, de la vaccination, la s\u00e9curit\u00e9 informatique doit devenir un r\u00e9flexe hospitalier\u2009: changer r\u00e9guli\u00e8rement ses mots de passe, utiliser des mots de passe complexes, limiter et filtrer le trafic internet, utiliser des messageries s\u00e9curis\u00e9es de sant\u00e9, segmenter les r\u00e9seaux\u2026<\/p>\n

L\u2019Anap recommande une s\u00e9paration claire des r\u00f4les de d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPO) et de responsable de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (RSSI), afin que le premier puisse se concentrer enti\u00e8rement sur la protection des donn\u00e9es personnelles et leur conformit\u00e9 r\u00e9glementaire, tandis que le second pourra se focaliser sur la s\u00e9curisation des infrastructures, ainsi que la r\u00e9ponse aux incidents cyber. Cette dualit\u00e9 fonctionnelle est essentielle pour maintenir l\u2019int\u00e9grit\u00e9 des donn\u00e9es et la confiance des usagers.<\/p>\n

La formation continue du personnel, \u00e0 commencer par les dirigeants (dont les pr\u00e9sidents de commission m\u00e9dicale d\u2019\u00e9tablissement ([PCME]), et l\u2019organisation r\u00e9guli\u00e8re d\u2019exercices de simulations d\u2019attaque constituent \u00e9galement un pilier visant \u00e0 \u00e9lever le niveau g\u00e9n\u00e9ral de pr\u00e9paration et de r\u00e9silience des \u00e9tablissements. Ces simulations permettent de tester les syst\u00e8mes en place et de sensibiliser tout le personnel aux proc\u00e9dures \u00e0 suivre, r\u00e9duisant ainsi le temps de r\u00e9action et minimisant les dommages potentiels. La cr\u00e9ation d\u2019ambassadeurs de cybers\u00e9curit\u00e9 dans les services est aussi pr\u00e9f\u00e9rable pour assurer une diffusion efficiente des bonnes pratiques de cybers\u00e9curit\u00e9 au sein de toutes les strates de l\u2019\u00e9tablissement.\u00a0<\/span><\/p>\n

\u00ab\u2009La cybers\u00e9curit\u00e9 est port\u00e9e par tous dans notre \u00e9tablissement. Nous mettons en place des relais \u00e0 chaque \u00e9chelle afin de sensibiliser chacun. Gr\u00e2ce aux ambassadeurs, la cybers\u00e9curit\u00e9 est vue comme un conseil et non comme une contrainte.\u2009\u00bb<\/i> Le directeur du syst\u00e8me d\u2019information d\u2019un CHU<\/p>\n

Conclusion<\/h1>\n

La cybers\u00e9curit\u00e9 dans le secteur de la sant\u00e9 est une pr\u00e9occupation croissante qui n\u00e9cessite une action concert\u00e9e et continue de la part des directions des \u00e9tablissements et des pr\u00e9sidents de CME, des responsables de la s\u00e9curit\u00e9 informatique et de l\u2019ensemble des personnels.<\/p>\n

\"\"<\/p>\n