Hôpitaux et cybersécurité : comment bien choisir son prestataire ?

Commande publique

Le secteur de la santé, par sa digitalisation croissante et la valeur économique exponentielle des données médicales, connaît une croissance historique du nombre de demandes de rançons et de vols de données. Ces actes de piratage informatique touchent désormais tous les professionnels de santé quelle que soit leur taille, leur activité ou leur localisation géographique.

« Un dossier médical se négocie ainsi désormais entre 50 et 250 euros sur le darknet ».

Les impacts sont nombreux et à court, moyen et long terme

Les impacts nombreux sont à la fois médicaux, économiques mais aussi juridiques. Sécurité des patients, désorganisation de l’activité et pertes associées, perte d’attractivité tant vis-à-vis des patients que des personnels mais aussi mise en cause civile voire pénale sont autant de raisons justifiant la priorisation de ce sujet et le déploiement rapide de solutions de protection et d’accompagnement.

Bien comprendre cette notion est essentielle car elle explique pourquoi les solutions mises en œuvre doivent l’être de manière importante mais surtout pérennes. Cette dépense doit donc être considérée comme une charge d’exploitation permanente et indispensable à l’image par exemple d’un engagement assurantiel. Elles doivent aussi être étendues de manière territoriale en couvrant par exemple de manière efficiente l’ensemble d’un Groupement hospitalier de territoire.

Un marché croissant et important qui a généré une multiplication des acteurs et des offres

Comme souvent en pareille situation, les acteurs sur ce marché se sont multipliés, s’improvisant expert en sécurité ou en santé, rendant parfois complexe l’appréciation de la performance et pérennité des offres proposées tant d’un point de vue technique qu’économique.

La tâche est ainsi difficile pour les acheteurs publics tant l’offre est pléthorique et la définition du besoin complexe. L’intégration de la cybersécurité au sein de la commande publique repose qui plus est sur deux axes :

  • L’acquisition et le déploiement à proprement parlé de prestations préventives et curatives en matière de lutte contre les cyberattaques.
  • L’intégration dans les procédures d’achats de fourniture, de service voire de travaux d’exigences en matière de cybersécurité vis-à-vis des candidats.

Choisir un prestataire spécialisé voire dédié au secteur de la santé

Le premier élément indispensable est d’identifier tant en phase de sourcing qu’en phase de choix le caractère spécialisé « santé » du prestataire. En effet, ce secteur public présente des spécificités qu’il est indispensable d’intégrer et de vérifier au sein de l’offre proposée :

  • Les structures sont très diversifiées allant du médecin libéral au CHU en passant par l’établissement médico-social. L’offre doit donc être calibrée pour chaque acteur. Tous les acteurs s’interfacent à l’échelle territoriale. Le prestataire doit ainsi être en mesure d’optimiser son offre à l’échelle par exemple du GHT ;
  • Ce secteur présente une très grande diversité et hétérogénéité en matière d’équipements informatiques, médicaux, logiciels, systèmes d’information… Seuls des acteurs à la fois indépendants des fabricants et des éditeurs mais aussi reconnus pour leur expertise en la matière doivent être privilégiés ;
  • Diversité des personnels, des métiers, des organisations, des processus fragilisent la sécurisation en santé. Le prestataire retenu doit donc être en mesure de proposer un volet important en matière de prévention et de formation. L’acheteur doit ainsi par exemple s’assurer d’une très grande maîtrise des structures de santé, de leurs organisations et de leurs spécificités y compris d’un point de vue Ressources humaines.

Il est également à préciser le caractère incontournable d’une solution disponible 7 jours sur 7 et 24h/24. En effet ni les établissements de santé ni d’ailleurs les Hackers n’arrêtent leur activité la nuit ou le week-end. L’acheteur public doit donc imposer cette couverture.

Cybersécurité, un volet important mais non exhaustif en matière de sécurité numérique

On parle souvent communément de cybersécurité et de cyberattaques laissant croire que le risque se limite aux attaques informatiques provenant de l’extérieur. Hors il n’en est rien. Les risques sont nombreux en matière de sécurité numérique.

Il apparaît donc nécessaire d’élargir son besoin et donc son cahier des charges afin d’aller « chercher » un prestataire spécialisé en données de santé aussi bien en termes de gestion, de sécurisation que d’archivage.

Le choix d’un prestataire spécialisé sur cette chaîne de valeur apparaît de plus en plus pertinent allant jusqu’à privilégier un acteur également hébergeur de données de santé, assurant une parfaite maitrise de la réglementation et des enjeux associés.

Privilégier une offre répondant au juste besoin et conforme au budget disponible

De nombreux établissements publics de santé, notamment importants, investissent des sommes considérables dans les prestations d’audits, étant alors dépourvus de capacités budgétaires pour déployer des actions curatives et surtout préventives. Il ne peut y avoir toutefois de cybersécurité efficace sans une approche économique pérenne et territoriale voire nationale.

Il apparaît donc pertinent de recourir à des modèles d’accompagnements de type « abonnement mensuel » permettant une couverture permanente et aisément ajustable aux évolutions du besoin. Privilégier ainsi une offre sur l’exemple du modèle assurantiel.

Sébastien Taupiac
Directeur du développement / Verso Healthcare

 

Pour en savoir plus : ne manquez pas notre web-conférence interactive avec Verso Healthcare « La sécurité numérique, un nouvel enjeu majeur pour les acheteurs et les décideurs » mardi 21 avril 2021, avec Émeline Vandeven, Consultante open data et commande publique, Datactivist, Michaël Taine, Directeur de l’Innovation Numérique et des Systèmes d’Information du GHT des Alpes-Maritimes et Sébastien Taupiac, Directeur du développement, Verso Healthcare.

La sécurité numérique, un nouvel enjeu majeur pour les acheteurs et les décideurs

Posté le par

Recommander cet article