Les établissements de santé doivent renforcer leur système de sécurité

mercredi 2 mars 2016, par APM-International

Philippe Loudenot, fonctionnaire de la sécurité des systèmes d’information (FSSI) au ministère des affaires sociales, a confié à l’APM qu’il fallait « consolider le système d’alerte des autorités en cas de piratage informatique dans les établissement de santé »

Les établissements de santé victime de ramsomware

Récemment victime d’un piratage informatique d’ampleur, la direction du Hollywood Presbyterien Medical Center à Los Angeles a indiqué avoir payé une rançon de 17.000 dollars afin de récupérer l’accès à ses données, cryptées par un ramsomware. Ce type de logiciel malveillant qui s’exécute le plus souvent après l’ouverture d’une pièce jointe dans un mail, procède au cryptage de la plupart des documents présents sur l’ordinateur de l’utilisateur. Par la suite une fenêtre d’information s’ouvre et invite l’utilisateur à payer en ligne une rançon pour obtenir de nouveau l’accès à ses fichiers, sans toutefois être à l’abri d’un autre piratage.

Philippe Loudenot a confié que les établissements français n’étaient pas épargnés par ce type de piratage et qu’ils faisaient l’objet « d’attaques quasi hebdomadaires par des ramsomware. Toutefois nous n’avons jamais eu à déplorer d’interruption de service due à une attaque ». En cas d’infection par un ramsomware, Philippe Loudenot préconise de « déconnecter les appareils identifiés comme compromis et de ne surtout jamais payer de rançon ». En effet, le versement de cette somme pourrait créer un « appel d’air » et inciter d’autres pirates à attaquer les établissements de santé via leur système informatique.

Une chaîne d’alerte pour accompagner les établissements

L’article 110 de la loi de modernisation du système de santé rend obligatoire la mise en place d’une alerte « sans délai » pour les incidents graves de sécurité des systèmes d’information. Le ministère des affaires sociales a donc mis en place cette chaîne d’alerte active 24 heures sur 24 et 7 jours sur 7.

Chaque établissement est invité à faire remonter les incidents informatiques qu’il rencontre à l’adresse suivante : ssi@sg.social.gouv.fr. Philippe Loudenot a indiqué que cette démarche permet « après réception d’une alerte, de la transmettre à l’ensemble des établissements de santé pour qu’ils puissent se prémunir d’une attaque similaire, mais aussi pour proposer un appui à celui qui a été touché ». Il a ajouté que le ministère des affaires sociales n’était pas « là pour résoudre le problème à la place des établissements, mais nous pouvons leur donner des premiers conseils sur ce qu’il convient de vérifier ou de mettre en place à la suite d’un piratage ».

Sensibiliser les établissements à la sécurité des systèmes d’information de santé

La politique de sécurité des systèmes d’information de l’Etat a été précisée par une circulaire de Matignon datée du 17 juillet 2014, déclinée dans le secteur de la santé par un arrêté daté du 1er octobre 2015. Un ensemble de documents élaborés conjointement par le FSSI, la délégation à la stratégie des systèmes d’information en santé et l’Agence des systèmes d’information partagés de santé indiquent la politique générale de sécurité des systèmes d’information de santé.

Pour le FSSI Philippe Loudenot, il y a surtout « un travail d’évangéliste » à mener pour « faire comprendre que la sécurité des systèmes est davantage un sujet de gouvernance et de sensibilisation des agents qu’un problème purement technique ». Ce phénomène tient à ce que le secteur de la santé a entamé sa modernisation plus tardivement et qu’ « il subit actuellement les piratages et extorsions auxquels ont été confrontés plus tôt les banques et le secteur industriel » a-t-il poursuivi. Philippe Loudenot a ajouté que « le programme Hôpital numérique a également intégré cette priorité de la sécurité dans ces prérequis et permis de sensibiliser les directeurs généraux d’établissements ». Néanmoins le système de santé reste selon lui « l’un des systèmes les plus poreux avec l’éducation nationale et les collectivités locales ».

© 2004-2016 APM-International - Tous droits réservés. Les données sont la propriété de APM International. Toute copie, republication ou redistribution des données APM Santé, notamment via la mise en antémémoire, l’encadrement ou des moyens similaires, est expressément interdite sans l’accord préalable écrit de APM. APM ne sera pas responsable des erreurs ou des retards dans les données ou de toutes actions entreprises en fonction de celles-ci ou toutes décisions prises sur la base du service. APM et le logo APM International, sont des marques d’APM International dans le monde. Pour de plus amples informations sur les autres services d’APM, veuillez consulter le site Web public d’APM à l’adresse http://www.apmnews.com/


Partager cet article

Vous recrutez ?

Publiez vos annonces, et consultez la cvthèque du site EMPLOI Soignant : des milliers de profils de soignants partout en France.

En savoir plus