Une question ? Appelez le 01 48 06 54 92

 

TecHopital.com

 

https://www.pall.com/en/medical/landing/20-years-fr.html?utm_source=techopital&utm_medium=banner&utm_campaign=20-years-fr

Sécurité informatique: définition d'un calendrier d'actions prioritaires

Crédit: Fotolia/BillionPhotos.com
Crédit: Fotolia/BillionPhotos.com

Une instruction détaillant un calendrier d'actions prioritaires pour assurer la sécurité des systèmes d'information des établissements de santé a été mise en ligne jeudi 2 décembre sur le site recensant les circulaires.

Ce "plan d'action SSI", élaboré par la délégation à la stratégie des systèmes d'information de santé (DSSIS) et le secrétariat général des ministères chargés des affaires sociales, concerne "les établissements de santé, les laboratoires de biologie médicale, les centres de radiothérapie et les centres d'imagerie et de radiologie publics et privés".

La ministre des affaires sociales et de la santé, Marisol Touraine, avait annoncé la mise en oeuvre de ce plan le 3 octobre aux fédérations hospitalières, dans le cadre d'une réunion de travail portant sur la sécurisation des sites hospitaliers.

Il intervient quelques semaines après la publication d'un décret d'application de la loi du 26 janvier 2016 de "modernisation de notre système de santé", qui a renforcé le dispositif d'alerte en cas d'atteintes aux SI des établissements (voir TecHopital du 10/10/16).

La France "particulièrement touchée"

En préambule de l'instruction, le ministère dresse un bref état des lieux sur les incidents liés à la sécurité des systèmes d'information, s'appuyant sur l'analyse de l'éditeur de logiciels d'antivirus Symantec selon lequel "la France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique", tandis que les attaques se concentrent sur "le domaine particulièrement sensible et rentable de la santé", notamment par le biais de "rançongiciels" (ransomware).

"Les incidents liés à la sécurité des systèmes d'information peuvent avoir un impact direct sur la sécurité des soins. Ils peuvent également avoir, comme ailleurs, un impact économique. Leur traitement est donc une priorité pour les pouvoirs publics et pour tous les producteurs de soins", souligne le ministère.

Des mesures à mettre en oeuvre d'ici juin 2017 à juin 2018

Après un rappel de la réglementation applicable, le ministère présente les objectifs du plan d'action, précise le rôle des agences régionales de santé (ARS), avant de détailler en annexe les mesures à mettre en place selon une échelle de priorité à trois niveaux en fonction de l'échéance retenue (niveau 1, six mois; niveau 2, 12 mois; niveau 3, 18 mois), soit d'ici début juin 2017 à juin 2018.

Niveau de priorité
Mesures
Priorité 1 (six mois)
  • prise en charge de la fonction sécurité des systèmes d'information par la direction (éventuellement mutualisée dans un GHT)
  • mise en oeuvre d'une charte utilisateur
  • réalisation d'une cartographie des ressources informatiques (postes de travail, serveurs, équipements actifs, équipements biomédicaux)
  • établissement d'une procédure de signalement et de traitement des incidents de sécurité SI
  • équipement de tous les postes de travail par un antivirus
  • sécurisation des comptes par mots de passe robustes et renouvelés périodiquement
  • mise en oeuvre de sauvegardes régulièrement testées
Priorité 2 (12 mois)
  • établissement d'une procédure formelle d'appréciation du risque avant toute mise en production d'un SI (homologation)
  • mise à jour régulière des systèmes d'exploitation
  • organisation du maintien en conditions de sécurité de l'ensemble des systèmes numériques (mises à jour des éditeurs et constructeurs)
  • identification et protection de tous les accès à internet et de télémaintenance
  • sécurisation du wifi, séparation des réseaux professionnels et des réseaux invités
  • mise en oeuvre d'une gestion des comptes utilisateurs avec profils et droits différenciés (utilisateur, prestataire, administrateur)
  • identification des actions de formation SSI et actions de sensibilisation dans le plan de formation annuel des personnels
Priorité 3 (18 mois)
  • cloisonnement du réseau de la structure par grandes familles d'usage (administration, paie, plateau technique…) et par niveaux de sécurité homogènes
  • définition des modalités d'enregistrement et d'analyse des traces d'accès
  • encadrement contractuel de tous les accès par des prestataires au réseau de la structure et vérification des clauses de réversibilité
  • réalisation et tenue à jour d'une analyse de risque SI de la structure, avec définition et mise en oeuvre du plan d'action associé
  • engagement de la direction sur la réduction d'un nombre limité de risques chaque année

Instruction n°SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en oeuvre du plan d'action sur la sécurité des systèmes d'information ("Plan d'action SSI") dans les établissements et services concernés

Partagez cet article

Il n'y a pas encore de commentaire sur cette publication.
Soyez le premier à réagir

Pour commenter cet article identifiez-vous ou enregistrez-vous si vous ne l'avez pas encore fait
https://www.techopital.com/contact.php
Les offres
Agenda