La cyber-criminalité s’attaque au monde de la santé

MACSF Exercice Professionnel
Notre expertise sur la responsabilité médicale
       et votre exercice professionnel

La cyber-criminalité s’attaque au monde de la santé : mesures de protection et obligation de signalement

  • Réduire le texte de la page
  • Agrandir le texte de la page
  • Facebook
  • Twitter
  • Messages0
  • Imprimer la page
  • cyber criminalité, informatique, antivirus

Les incidents liés à la sécurité des systèmes d’information se multiplient dans le monde. La France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Tous les secteurs d’activités sont concernés, y compris celui de la santé. Selon un article paru dans « Lexsi Security Hub », près de 90 % des cyber-attaques sur le deuxième trimestre 2016 ont visé des établissements de santé dans le monde. Or dans ce secteur, les incidents liés à la sécurité des systèmes d’information peuvent avoir un impact direct sur la sécurité des soins. Leur traitement est donc devenu une priorité pour les pouvoirs publics dont l’objectif est de renforcer la gestion de la sécurité informatique en santé.

Deux axes sont préconisés.

  • Pharmacien
  • Médecin généraliste et urgentiste
  • Chirurgien-dentiste
  • Sage-femme
  • Etablissement de santé
  • Interne
  • Infirmier
  • Masseur-kinésithérapeute
  • Autres paramédicaux
  • Médecin spécialiste
Auteur : Delphine ROUSSEL, Juriste / MAJ : 09/11/2017

I – La lutte contre le piratage informatique dans les établissements

Par une instruction n° SG/DSSIS/2016/309 du 14 octobre 2016, le ministère des affaires sociales et de la santé établit un plan d’action de mesures prioritaires à mettre en œuvre sur une période de 6 à 18 mois par les établissements de santé, les laboratoires de biologie médicale, les centres de radiothérapie et les centres d’imagerie et de radiologie publics et privés pour lutter contre le risque de piratage informatique. 

Ce plan élaboré en concertation avec les acteurs concernés de la sphère sanitaire et médico-sociale vise à opérer une mise à niveau minimale de la sécurité des systèmes d’information dans toutes les structures concernées, au sein desquelles la défaillance des outils numériques représente un haut niveau de criticité.

L’ARS est particulièrement chargée d’assurer la diffusion du plan d’action et de s’assurer de sa prise en compte effective par les structures visées. 

Les propositions se déclinent en 3 types de priorités, étant entendu que certaines sont d’ores et déjà en place dans certains établissements. Le calendrier est le suivant. 

  • Mesures de priorité 1 à mettre en place dans les 6 mois
    • Mise en œuvre d’une charte utilisateur annexée au règlement intérieur de l’établissement.
    • Réalisation et tenue à jour d’un inventaire des ressources informatiques sous la responsabilité de la structure (postes de travail, serveurs, équipements actifs, équipements biomédicaux…) s’appuyant sur un outillage adapté.
    • Etablissement d’une procédure de signalement et de traitement des incidents de sécurité du système d’information (SSI) pour la mise en œuvre de l’obligation de signalement des incidents graves (cf. infra).
    • Equipement de tous les postes de travail par un antivirus, les postes nomades étant équipés d’un pare-feu local.
    • Sécurisation des comptes par mots de passe robustes et renouvelés périodiquement.
    • Mise en œuvre de sauvegardes régulièrement testées.
  • Mesures de priorité 2 à mettre en place dans les 12 mois
    • Etablissement d’une procédure formelle d’appréciation du risque avant toute mise en production d’un système d’information.
    • Organisation du maintien en conditions de sécurité de l’ensemble des systèmes numériques (postes de travail, serveurs, équipements actifs, équipements biomédicaux…) notamment en appliquant les mises à jour proposées par les éditeurs et constructeurs.
    • Identification et protection de tous les accès à Internet et de télémaintenance.
    • Sécurisation du wifi, séparation des réseaux professionnels et des réseaux invités.
    • Mise en œuvre d’une gestion des comptes utilisateurs avec profils et droits différentiés selon le principe du moindre privilège (utilisateur, prestataire, administrateur…).
    • Identification des actions de formation SSI et inscription d’au moins une action de sensibilisation à la SSI dans le plan de formation annuel des personnels de l’établissement.
  • Mesures de priorité 3 à mettre en place dans les 18 mois
    • Cloisonnement du réseau de l’établissement par grandes familles d’usage (administration, paie, plateau technique…) et par niveaux de sécurité homogènes.
    • Définition des modalités d’enregistrement et d’analyse des traces d’accès.
    • Encadrement contractuel de tous les accès par des prestataires au réseau de la structure et vérification des clauses de réversibilité.
    • Réalisation et tenue à jour d’une analyse de risque des systèmes d’information de l’établissement, définition et mise en œuvre du plan d’action associé, ces 2 éléments étant validés par les instances de gouvernance de la structure.

II- Le signalement d’incidents graves de sécurité des systèmes d’information

Depuis le 1er octobre 2017, les établissements de santé, les organismes et services exerçant des activités de prévention, de diagnostic ou de soins doivent signaler sans délai à l’agence régionale de santé (l’ARS) les incidents graves de sécurité des systèmes d’information.

Cette nouvelle disposition a été introduite à l’article L1111-8-2 du code de la santé publique par la loi de modernisation de notre système de santé du 26 janvier 2016. Pris en application de ce texte, le décret n° 2016-1214 du 12 septembre 2016 définit les catégories d’incidents concernés et les conditions dans lesquelles sont traités les incidents de sécurité des systèmes d’information. 

  • Qui sont concernés ?

 Les établissements de santé, les hôpitaux des armées, les laboratoires de biologie médicale et les centres de radiothérapie.

  • Que signale t-on ? 

Les incidents graves de sécurité générateurs d'une situation exceptionnelle, c’est-à-dire ceux ayant des conséquences potentielles ou avérées sur la sécurité des soins ou sur la confidentialité ou l'intégrité des données de santé et encore les incidents portant atteinte au fonctionnement normal de l'établissement.

Par ailleurs, sont jugés significatifs ceux qui ont un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé et ceux susceptibles de toucher d’autres établissements, organismes ou services.

  • Comment signale t-on ? 

La déclaration des incidents graves doit être effectuée par le directeur de l’établissement de santé, de l’organisme ou du service exerçant des activités de prévention, de diagnostic ou de soins, ou par la personne déléguée à cet effet, auprès du directeur général de l’ARS. Concernant les incidents jugés significatifs, il est impératif qu’ils soient transmis sans délai par l’agence régionale de santé au groupement d'intérêt public chargé du développement des systèmes d'information de santé partagés. 

  • Pourquoi signale-ton ?

L’objectif est double dans cette lutte contre la cyber-criminalité : d’une part fournir aux autorités compétentes les informations nécessaires pour décider des mesures de prévention en matière de sécurité des systèmes d'information et d’autre part aider les établissements de santé, organismes et services à prendre les mesures utiles pour prévenir la survenue de ces incidents ou en limiter les effets.

Signe de l’importance donnée à cette action par les pouvoirs publics, un comité de maîtrise des risques numériques a été créé au sein du secrétariat général des ministères sociaux par un arrêté en date du 15 septembre 2017 chargé d’assurer le pilotage du contrôle interne dans le domaine des systèmes d'information pour les secteurs des affaires sociales et de la santé, du travail, de l'emploi et du dialogue social, de la jeunesse et des sports.

Le Conseil de l’Ordre des Médecins travaille également activement notamment à la sécurisation des messageries électroniques des praticiens dans les cabinets.


0 Commentaire

Publier un commentaire