Protéger les systèmes d’information des hôpitaux

Santé

Devant les attaques répétées des sites informatiques des ministères, des administrations, des hôpitaux, etc., l’État, au plus haut niveau, a décidé de réagir énergiquement.

Les attaques contre les systèmes informatiques sont de plus en plus fréquentes et sont menées par de vrais professionnels déterminés, organisés, disposant de moyens importants pour générer des attaques de grande envergure.

Des attaques concentrées

Début mars 2011, le système d’information du ministère de l’Économie et des Finances a été victime d’une attaque d’espionnage informatique de grande ampleur. Chargée de la sécurité des systèmes informatiques, l’Agence nationale de sécurité des systèmes d’information (ANSSI), qui dépend du secrétariat général de la Défense et de la sécurité nationale (SGDSN), a procédé pendant un week-end à une opération « coup de poing » de sécurisation du système d’information, en débranchant 10 000 postes informatiques sur les 170 000 que compterait le ministère de l’Économie et des Finances.

Depuis 2007, des attaques répétées visent des sites des services de l’État. Ainsi, des hôpitaux français sont la cible en 2009 d’un virus informatique et plusieurs de leurs applications sont altérées : laboratoires, dossier médical informatisé, messagerie électronique, accès au Vidal, etc.

S’il apparaît impossible de prévenir toutes les menaces qui pèsent sur le système d’information, les établissements ont cependant la responsabilité de protéger leurs données et de concevoir des mesures palliatives. Tel est l’enjeu des plans de reprise et de continuité d’activité (PRA) élaborés par les directions des Systèmes d’Information et des Télécommunications dans les CHU et au-delà dans tous les hôpitaux.

Une agence nationale créée

Fondée par le décret n° 2009-834 du 7 juillet 2009, l’ANSSI est l’autorité nationale en matière de sécurité des systèmes d’information. Celle-ci est chargée de la fonction d’autorité nationale de défense des systèmes d’information. À ce titre, elle se doit de réagir « immédiatement » en cas d’attaques informatiques « violentes et paralysantes » sur les infrastructures de l’État.

Rattaché à l’ANSSI, le Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA) est chargé d’assister les organismes de l’administration à mettre en place des moyens de protection et à résoudre les incidents ou les agressions informatiques dont ils sont victimes. Il constitue le complément indispensable aux actions préventives assurées par l’ANSSI. Les deux principaux objectifs du CERTA sont d’assurer la détection des vulnérabilités et la résolution d’incidents concernant la sécurité des systèmes d’information (SSI) ainsi que l’aide à la mise en place de moyens permettant de se prémunir contre de futurs incidents.

Des actions menées dans le domaine de la santé

La première obligation imposée au monde de la santé réside dans l’application du Référentiel général de sécurité (RGS) relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Le RGS contient un ensemble de règles de sécurité et de bonnes pratiques en matière de sécurité des systèmes d’information (SSI) qui s’imposent aux autorités administratives et aux prestataires qui les assistent.

Lorsqu’une autorité administrative juge nécessaire, à l’issue d’une analyse de risque, de mettre en œuvre des fonctions de sécurité qui sont prévues dans le RGS, elle doit alors en respecter les règles correspondantes.

Au niveau des règles de sécurité et des fonctions de sécurité sont concernées les signatures électroniques, les mécanismes d’authentification, les mécanismes de confidentialité, les horodatages ainsi que les règles de sécurité des mécanismes cryptographiques.
L’incidence de ces points est évidente sur le dossier médical, sa constitution, sa sécurisation, son accès, son partage, sa distribution, son interconnexion entre médecins, entre services, entre médecine de ville et médecine hospitalière…
Les contrôles d’accès aux locaux dans les hôpitaux, aux dossiers médicaux, aux dossiers informatiques sont particulièrement visés et étudiés dans les plans liés à la sécurité. L’usage d’authentifications « fortes » via des cartes à puces, des contrôles biométriques (main, iris…) sont au centre des débats.

C’est tout le fonctionnement de l’hôpital qui est ainsi concerné par ces dispositifs qui s’appliquent et qui sont placés au cœur même de l’accréditation.

Pour en savoir plus :

Posté le par Rédaction Weka

Recommander cet article

Réagissez à cet article sur le forum