La sécurité des systèmes d’information vecteur de qualité de l’offre des soins

Les ransomwares font trembler les SI en santé. Plusieurs hôpitaux ces dernières années ont été touché par des attaques informatiques sous la forme de campagnes de mails frauduleux.

Un ransom-quoi ? Un ransomware, en français “rançongiciel” ou logiciel rançonneur / d’extorsion. 

C’est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un ransomware chiffre tout ou partie des données d’un système d’information, ou peut aussi bloquer les accès de tout utilisateur à des ordinateurs.

Ainsi, l’auteur du logiciel malveillant est le seul qui connaisse la clef privée qui permette de débloquer la situation. Il demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer. 

Ce procédé a beaucoup fait parlé de lui avec “Wannacry” en 2017 qui a touché 300 000 ordinateurs d’entreprises et d’internautes dans 150 pays. 

Cependant, rien de nouveau, le principe du ransomware a fait son apparition en 1998 et n’a cessé de défrayer la chronique ces cinq dernières années, avec des attaques de grande envergure. En mai, l’Asip santé faisait état de près de 500 incidents de cybersécurité depuis la mise en place de la cellule d’accompagnement cybersécurité des structures de santé (ACSS) en octobre 2017. Mais pourquoi ce sujet agite autant la sphère hospitalière ? 

Car la politique de sécurité ne se limite pas à la protection contre la perte, l’indisponibilité ou la divulgation de données médicales personnelles ou administratives, elle permet de créer un espace de confiance entre les professionnels et les patients.

Le lien est très clair entre les incidents de sécurité et qualité de l’offre des soins.

Ce type d’attaque est donc de plus en plus fréquent, mais comment sécuriser les systèmes d’information hospitaliers ?

Certes il y a de nombreux outils permettant de se prémunir d’attaques informatiques, mais ne vous y trompez pas, firewall et autres anti-virus ne sont qu’une petite partie des boucliers protégeant les organisations.

A chaque organisation sa politique de sécurité adaptée, cependant il y a un fil conducteur et élément incontournable : les principales failles de sécurité se situent entre la chaise et l’écran. Oui, vous lisez bien, ce sont les utilisateurs du système informatique qui sont le plus souvent visés. 

Il est important de prendre en compte ce facteur en investissant dans des campagnes internes de communication et formations.

Une politique de sécurité adaptée nécessite des investissements, matériels, logiciels et surtout humains. Force est de constater que nombreux sont les hôpitaux percevant la sécurité comme génératrice de coûts, sans que le retour sur investissement soit directement tangible.

Il faut regarder la sécurité comme « le coût de ne pas faire »

La DGOS publie depuis plusieurs années des guides et fiches pratiques de qualité sur la sécurité des systèmes d’information. Mais en pratique, les spécialistes du sujet, lorsqu’il y en a au sein des organisations hospitalières, sont souvent mobilisés sur des tâches opérationnelles ou embourbés dans les urgences du quotidien.

Se pose alors la question de l’infogérance, effectivement il est parfois plus judicieux de confier ce sujet entre les mains de spécialistes qui pourront réaliser un diagnostic précis de votre organisation et mettre en oeuvre les solutions adaptées à vos besoins.