Systèmes d'information en santé : le ministère sort un plan « sécurité » anti-hackers

Par

Publié le 05/12/2016

hackers
Crédit photo : PHANIE

L'usage des technologies numériques en santé présente un risque élevé de piratage des informations collectées par des groupes malveillants, notamment dans le cadre du DMP ou de la transmission électronique de données personnelles.

Les conséquences financières peuvent être lourdes. À titre d’exemples, une intrusion avec mise hors service des systèmes d’information d’une ARS pendant 24 heures a engendré des coûts d’intervention par un prestataire de l’ordre de 10 000 euros, mais la perte de productivité est estimée à près de 40 000 euros, soit un total de 50 000 euros. Un cryptovirus en EHPAD a coûté 50 000 euros en coûts directs d’intervention et coûts indirects... Un piratage du standard d’un centre hospitalier a généré une surfacturation de téléphonie de l’ordre de 40 000 euros. Les exemples sont légion, aucun établissement n'est à l'abri.

Échéancier

Dans ce contexte, le ministère de la Santé vient de rendre public un plan d'action pour sécuriser le stockage et la transmission de ces données par les établissements de santé, les laboratoires de biologie médicale, les centres de radiothérapie ou encore les centres d’imagerie publics et privés.

Conçu sous forme d'échéancier (avec des mesures à mettre en œuvre d'ici à 6, 12 et 18 mois), ce plan d’action SSI ne se substitue pas aux obligations de sécurité des structures concernées mais il propose une feuille de route précise contre le piratage informatique. « La plupart des structures y retrouveront naturellement des actions qu’elles ont déjà mises en place ou dont la mise en place est en cours », note le ministère.

Apprécier le risque

À échéance de six mois, le plan invite par exemple les établissements et centres concernés à tenir à jour un inventaire de leurs ressources informatiques (postes de travail, serveurs, équipements actifs, équipements biomédicaux). Il réclame aussi la mise en place d'une procédure de signalement et de traitement des incidents de sécurité.

À l'horizon de 12 mois, il impose aux structures concernées d'établir, avant toute mise en production d’un système d'information, une procédure formelle d’appréciation du risque qu'il fait courir. À cette même échéance, les structures devront sécuriser leur installation wifi, avec une séparation des réseaux professionnels et des réseaux invités.

Enfin, à l'horizon de 18 mois, les établissements devront avoir cloisonné leurs systèmes d'information par famille d’usage (administration, paie, plateau technique…), chacune disposant d'un niveau de sécurité adapté. Ils devront aussi avoir mis au point une traçabilité des accès au système d'information.

Les agences régionales de santé (ARS) et l’Inspection générale des affaires sociales (IGAS) sont chargées de s'assurer de la mise en œuvre effective de ce plan.