Une question ? Appelez le 01 48 06 54 92

 

TecHopital.com

 

Cybersécurité: les structures de santé confrontées à plusieurs vulnérabilités informatiques

PARIS, 17 février 2020 (TecHopital) - Le fonctionnaire de sécurité des systèmes d'information (FSSI) du ministère des solidarités et de la santé, Philippe Loudenot, a énuméré les principales vulnérabilités des SI des établissements de santé lors d'un "Cybercamp santé" organisé le 5 février à Paris.

Les vulnérabilités montrent que la cybersécurité "n'est pas une affaire de DSI [direction des systèmes d'information], c'est une affaire de gouvernance", a souligné Philippe Loudenot.

Elles proviennent principalement:

  • de logiciels ou systèmes obsolètes ou non conformes
  • d'un manque de visibilité ou de l'absence d'inventaire des différents systèmes d'information (SI) de l'établissement
  • de contrôles insuffisants des systèmes périphériques
  • d'un manque d'interopérabilité
  • de protocoles de communication non sécurisés
  • de complexités dues à des responsabilités trop diffuses.

Piratage d'une gestion de chaufferie

Philippe Loudenot a notamment cité le cas d'un établissement de santé piraté par le système de gestion de la chaufferie, qui montre que "tout est interconnecté".

La cybersécurité n'est "pas une fin en soi, elle doit être au service des métiers", a-t-il insisté. Les médecins sont capables de contourner les solutions de sécurité s'ils ont trop de barrières et "il faut travailler avec eux".

Il a également pointé la nécessité de signaler les incidents, qui est obligatoire depuis le 1er octobre 2017.

"Le CHU de Rouen a été remis sur pied très rapidement grâce à la remontée d'information à la cellule d'accompagnement cybersécurité des structures de santé [ACSS] de l'agence du numérique en santé [ANS, ex Asip santé] puis à l'Agence nationale de la sécurité des systèmes d'information [Anssi]", a-t-il fait valoir.

Victime d'un rançongiciel le 15 novembre 2019, le CHU de Rouen a fonctionné "en mode dégradé" pendant plusieurs semaines, rappelle-t-on.

"Les remontées d'information rendent service à la communauté", a assuré le FSSI.

"Il ne faut pas avoir honte, il n'y a pas de jugement de valeur ou de stigmatisation" des établissements piratés, a-t-il insisté. "Tout le monde se fait pirater, même l'Elysée, Matignon et les grandes entreprises."

Enfin, le FSSI a rappelé que deux offres de renforcement des SI étaient disponibles pour les établissements de santé.

L'ANS propose un audit de l'exposition sur Internet des établissements. "On trouve des mots de passe, des dossiers patients… à partir de quelques mots-clés sur Internet. L'audit donne les moyens d'y remédier."

Encore aujourd'hui, certains établissements sont des "passoires" avec des SI "directement connectés à Internet, sans protection", a-t-il noté.

De son côté, l'Anssi propose une "analyse de la colonne vertébrale" du SI.

L'ANS a recensé 693 incidents déclarés par les structures sanitaires depuis la mise en place du nouveau dispositif de signalement, indiquait-elle en décembre 2019 à APMnews.

lc/gdl/san

Partagez cet article

Les dépêches liées à cette information

Il n'y a pas encore de commentaire sur cette publication.
Soyez le premier à réagir

Pour commenter cet article identifiez-vous ou enregistrez-vous si vous ne l'avez pas encore fait
Les offres
Agenda

Inscrivez-vous gratuitement à TecHopital.com

okSoyez informé des nouveautés du site
okRéagissez et commentez les articles
okRecevez la newsletter premium

Conformément à la loi 78-17 du 6 janvier 1978 (modifiée par la loi 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel) relative à l'informatique, aux fichiers et aux libertés, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données qui vous concernent. Vous pouvez l'exercer en adressant un courrier électronique à admin@apmnews.com ou par courrier postal à APM International, 33 avenue de la République, 75011 Paris.

Civilité
Nom*
Prénom*
Email*
Mot de passe*
(6 caractères minimum)
Etablissement
Fonction*

En validant cette inscription vous aurez accès au contenu du site TecHopital.com et vous nous autorisez à traiter et à transmettre vos informations personnelles conformément aux termes de la loi.  (Notice légale )

Cochez cette case pour accepter ces conditions