Une question ? Appelez le 01 48 06 54 92

 

TecHopital.com

 

https://vimeo.com/372582192

Cybersécurité: priorité à la formation et à la sensibilisation des acteurs de santé

PARIS, 6 novembre 2019 (TecHopital) - En matière de cybersécurité, "il faut former et sensibiliser les acteurs de santé à la sécurité des données, et provoquer un changement culturel", a prôné Gilles Castéran, directeur exécutif d'Accenture Security France, lors d'une table ronde organisée par le think tank Renaissance numérique et l'éditeur de logiciels antivirus Kaspersky le 25 octobre.

Dans le cadre du mois européen de la cybersécurité, le think tank Renaissance numérique et l'éditeur de logiciels antivirus Kaspersky ont organisé une matinée thématique sur la question de la sécurité des données et des systèmes d'information dans le monde de la santé.

Ainsi, Gilles Castéran, directeur exécutif d'Accenture Security France; Stéphane Pierrefitte, directeur des systèmes d'information du GHU Paris Psychiatrie Neurosciences; Bertrand Trastour, responsable des activités B-to-B (business to business) de Kaspersky France et Me Annabelle Richard, avocate associée chez Pinsent Masons, se sont interrogés sur les défis spécifiques de la cybersécurité en santé.

"350 euros, c'est le prix d'un dossier médical sur le marché noir", a d'abord expliqué Bertrand Trastour. Si le montant peut paraître dérisoire, "il est 2,5 fois plus élevé que pour n'importe quel autre document et cela représente des sommes astronomiques en cas de cyberattaque d'ampleur", a-t-il détaillé.

"Dans le monde hospitalier, nous sommes passés de 1 à 2 attaques d'ampleur par mois, à 1 à 2 attaques par semaine depuis 2017. Le nombre d'attaques informatiques a été multiplié par trois et une pression forte pèse aujourd'hui sur le territoire national. Cette tendance se confirme d'ailleurs dans tous les pays d'Europe."

Pour parer à ces attaques, l'expert de Kaspersky a insisté les enjeux de cybersécurité en santé avec, en tête, la formation des équipes à la sécurité; la sensibilisation des DSI et des ressources humaines des établissements de santé pour "accompagner la montée en compétence des personnels" et l'éducation de ces utilisateurs à la compréhension des cybermenaces.

Un point de vue partagé par Gilles Castéran, selon qui "il faut amener les professionnels de santé à voir l'intérêt du numérique et de la sécurité des données, en leur présentant les bénéfices pour le système".

Si plusieurs universités mettent en place des cursus spécialisés et délivrent des formations diplômantes en e-santé, la question spécifique de la cybersécurité reste l'apanage de quelques experts.

Selon une étude menée par Yougov pour Kaspersky France, parue en juillet 2019, 55% des professionnels de santé estiment ne pas disposer des ressources nécessaires pour garantir un niveau de sécurité et de confidentialité des données de santé suffisant et 32% d'entre eux admettent manquer de connaissances et de formation sur le sujet.

Lever les freins culturels

Amenés à manipuler quotidiennement les données patients, les professionnels de santé sont 70% à se déclarer concernés par les questions de cybersécurité et de protection de la vie privée, a rapporté l'étude Yougov pour Kaspersky.

Cependant, "pour trouver les solutions et réussir à maintenir une organisation opérationnelle, alors que celle-ci a subi une attaque", le professionnel de santé doit comprendre "les basiques de la sécurité", a avancé Gilles Castéran.

Invité à témoigner de la mise en œuvre des règles de sécurité à l'hôpital, Stéphane Pierrefitte, directeur des systèmes d'information du GHU Paris Psychiatrie Neurosciences, a noté "des difficultés d'ordre culturel, plus que technique".

"Il est nécessaire d'installer une réel climat de confiance, pour le personnel et pour les patients, mais dans cette dimension comment se connecter sans créer de nouvelles failles?", s'est-il interrogé.

"Nous travaillons avec les technologies et les outils d’aujourd’hui, et c’est une chance, mais les problèmes peuvent aussi survenir des dispositifs médicaux et outils d'acteurs extérieurs à l'hôpital", a-t-il complété.

Gilles Castéran a également déploré "ces cybermenaces qui ont un impact de plus en plus fort et qui sont de plus en plus sophistiquées et ciblées". Par ailleurs, le responsable d'Accenture a confirmé que 40% de ces cybermenaces sont issues d'environnement 'extérieur' à l'établissement de santé.

Pour répondre efficacement à cette menace, "la sécurité passe par l'humain" a prôné Bertrand Trastour, responsable de Kaspersky. Recrutement de spécialistes de la cybersécurité, formation des personnels et sensibilisation de tous les acteurs de la chaîne, "l'utilisateur n'est pas le maillon faible, il peut être le maillon fort s'il est correctement formé", a-t-il défendu.

En attendant, si le législateur a avancé sur la question depuis 2018 avec l'entrée en vigueur de la loi de transposition de la directive européenne 2016/1148 du 6 juillet 2016, dite directive NIS (Network and Information Security) et le règlement européen 2016/679 sur la protection des données (RGPD), "le secteur de la santé bénéficie d'une quantité de textes sur la sécurité des données mais elle est gérée par des institutions différentes", ce qui rend le cadre juridique "difficile", a quant à elle déploré Me Annabelle Richard.

"La sécurité n'est efficace que si elle est gérée de façon pluridisciplinaire par les équipes techniques, juridiques et médicales", a développé l'avocate. "D'un point de vue juridique, il y a une contractualisation de la relation entre tous les acteurs de l'écosystème et tous doivent donc être informés et avoir conscience des risques réels induits par la cybermenace".

Annabelle Richard a également appelé à l'anticipation. "Il faut s'entraîner à mettre en œuvre les process de sécurité en cas de cyberattaque pour maintenir un bon niveau de sécurité. Comme pour un AVC, lors d'une cyberattaque, les premières heures sont les plus importantes", a-t-elle expliqué.

Paradoxalement, les barrières de sécurité et la "lourdeur" des process peuvent susciter de la défiance auprès des professionnels de santé, plutôt que la confiance qu'elles doivent incarner.

"Il faut désormais réfléchir à ce que l'impératif de sécurité ne vienne pas ralentir le travail des équipes soignantes et ne représente pas un frein", a prévenu Gilles Castéran, appelant à la "cyber-résilience du système de santé, dans son ensemble".

Les dépêches liées à cette information

Il n'y a pas encore de commentaire sur cette publication.
Soyez le premier à réagir

Pour commenter cet article identifiez-vous ou enregistrez-vous si vous ne l'avez pas encore fait
https://new.abb.com/fr/sante
https://www.ecophon.com/fr/connaissance/hc---noise-affects-quality-of-care/
Agenda

Inscrivez-vous gratuitement à TecHopital.com

okSoyez informé des nouveautés du site
okRéagissez et commentez les articles
okRecevez la newsletter premium

Conformément à la loi 78-17 du 6 janvier 1978 (modifiée par la loi 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel) relative à l'informatique, aux fichiers et aux libertés, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données qui vous concernent. Vous pouvez l'exercer en adressant un courrier électronique à admin@apmnews.com ou par courrier postal à APM International, 33 avenue de la République, 75011 Paris.

Civilité
Nom*
Prénom*
Email*
Mot de passe*
(6 caractères minimum)
Etablissement
Fonction*

En validant cette inscription vous aurez accès au contenu du site TecHopital.com et vous nous autorisez à traiter et à transmettre vos informations personnelles conformément aux termes de la loi.  (Notice légale )

Cochez cette case pour accepter ces conditions