Mémento de cybersécurité pour les dirigeants d’établissements de santé

Le mémento de cybersécurité « connaitre vos risques pour mieux y faire face » est principalement destiné aux Directions (Directeur, Président de la CME, Directeur des soins, DRH, …) des établissements de santé, publics comme privés ; mais il peut être lu par l’ensemble des professionnels de santé et des cadres de ces établissements.

A nos yeux, chez OM Conseil, ce mémento d’une grande qualité, peut être lu par l’ensemble des professionnels et ce, quelque soit le secteur d’activité. Les principes qui y sont exposés sont universels et les recommendations sont valables quelque soit votre produit ou votre service. Et comme nous aimons le dire à nos clients qui ne sont pas dans la santé : quand vous savez faire de l’informatique de santé vous savez tout faire !

Dans un environnement où la digitalisation (ou numérisation) s’accélère et devient omniprésente, de nouveaux risques apparaissent. Il est donc essentiel d’être en situation de pouvoir les comprendre, les évaluer afin de mieux les maîtriser. Les méthodes et outils de la sécurité numérique ne manquent pas, mais ils perdent toute efficacité s’ils ne sont pas soutenus en permanence. Cela relève notamment du management des établissements de santé (directeur, directeur des soins, directeur des ressources humaines, président de commission médicale d’établissement) de les promouvoir et d’en accompagner la mise en œuvre.

Nous vous proposons une rapide présentation des pépites découvertes dans ce précieux document (il y en a sans doute d’autres mais nous avons fait une sélection de nos préférées) :

Qu’est-ce qu’un incident de sécurité informatique ?

Le guide de la DGOS nous présente l’incident de sécurité informatique d’une manière très simple et logique : Les dangers d’un coté qui un jour ou l’autre trouveront une vulnérabilité, ce qui crée une menace qui pourra être malencontreusement activée par l’événement redouté et ainsi aboutir à l’incident de sécurité.

Soutenir la politique de sécurité du SI est une exigence

La politique de sécurité ne se limite pas à la protection contre la perte, l’indisponibilité ou la divulgation de données personnelles médicales ou administratives, elle permet de créer un espace de confiance entre les professionnels et les patients et elle est un levier essentiel de l’amélioration de la qualité des soins. Il est donc de la responsabilité du management des établissements de santé (directeur, directeur des soins, directeur des ressources humaines, présidents des commissions médicales d’établissements) de la promouvoir.

Les différents types de risques liés au SI

L’analyse des situations à risques est indispensable pour évaluer les impacts potentiels. Une analyse de ces risques permet de construire les solutions visant à en réduire le plus possible les impacts. Les impacts des incidents de sécurité doivent être mesurés dans toutes leurs composantes.

Tout l’enjeu d’une démarche de gestion des risques est de les traiter, c’est‐à‐dire, de les réduire, les éviter, les partager ou les accepter. Pour cela il convient d’agir simultanément sur 4 niveaux :

Connaître les dangers auxquels on est exposé ;
Comprendre ses principales vulnérabilités et chercher à les réduire ;
Essayer de détecter au plus tôt toute situation dangereuse ;
S’organiser pour gérer l’incident de sécurité.

La cartographie des risques est la pierre angulaire de tout plan d’action sécurité du système d’information. Elle vise à définir toutes les actions nécessaires pour parvenir à un niveau de risque résiduel qui puisse être accepté en toute connaissance de cause, au bon niveau de décision.

Elle s’applique toujours sur un périmètre d’activité parfaitement défini.

Tout établissement de santé doit disposer d’une cartographie des risques liés à son système d’information (cf. les prérequis du programme Hôpital Numérique).

Selon les éditeurs et bureaux d’étude spécialisés, la France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Le nombre de cyber‐attaques recensées aurait progressé de 38% dans le monde en 2015, et 51% en France.

Il ne faut donc plus espérer de ne pas être la cible d’une attaque mais plutôt vous préparer à ce que ça vous arrive !

Besoin d’un accompagnement ?

Le RGPD (GDPR) c’est pour le 25 mai

Le nouveau règlement européen définit, dans son article 4, ce que sont les «données à caractère personnel concernant la santé » : il s’agit de “données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne”.

Il précise qu’elles devraient comprendre “toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro”.

Il définit aussi les “données génétiques”, “relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé”, et les données biométriques, “résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique”.

Besoin d’aide pour vous mettre en conformité avec le GDPR ?

Les données de santé sont, par essence, des données dites « sensibles »

Et pour les protéger la réforme de la protection des données poursuit 3 objectifs :

Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
Responsabiliser les acteurs traitant des données (responsables de traitement et sous‐traitants) ;
Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

L’hébergement de données de santé s’inscrit dans un cadre règlementaire spécifique

Les modalités d’hébergement de données de santé à caractère personnel sont encadrées par l’article L.1111‐8 du code de la santé publique :

Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico‐ social pour le compte d’un tiers, doit être agréée à cet effet ;
L’hébergement exige une information claire et préalable de la personne concernée par les données de santé hébergées et une possibilité pour celle‐ci de s’y opposer pour motif légitime.

A partir de 2018, pour toute nouvelle demande, la qualité d’hébergeur de données de santé reposera sur une évaluation de conformité à un référentiel de certification, délivrée par un organisme certificateur accrédité par le COFRAC et choisi par l’hébergeur. Deux types de certificats seront délivrés aux hébergeurs :

Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle ;
Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

Si tous vos systèmes informatiques stockent des données concernant uniquement des patients placés sous la responsabilité de votre entité juridique, la certification hébergeur de données de santé n’est pas, pour vous, une obligation règlementaire. Mais cela ne signifie pas que vous ne devez pas avoir la même exigence en matière de sécurité des systèmes d’information.

En cas d’incident, garantir un retour à un fonctionnement normal, dès que possible, est vital

Assurer la sécurité du système d’information permet de créer un espace numérique de confiance

Cet espace est favorable à la dématérialisation, au partage et à l’échange de données de santé, et doit permettre d’offrir une sécurité juridique lors de l’utilisation du système d’information. Pour y parvenir il est nécessaire d’adopter des mesures préventives, il faut donc mettre en place tous les dispositifs techniques, organisationnels et humains qui garantissent le maintien des activités vitales de l’établissement en cas d’incident temporaire perturbant ou arrêtant la production informatique.

Besoin d’aide pour mesurer où vous en êtes et anticiper l’avenir ?

Démarches Qualité et Sécurité : deux démarches similaires

Le soutien de la Direction est le principal facteur clé de succès. La Direction doit promouvoir, soutenir la démarche et en rappeler, si nécessaire, les enjeux. Il faut transformer l’image de la sécurité vue comme une contrainte sans apport sur la qualité et la sécurité des soins. Seule la Direction peut soutenir ce message de la sécurité créatrice de confiance sur le système d’information.

La gestion des risques liés au numérique ne passe pas uniquement par la mise en place de solutions techniques. C’est surtout une organisation prenant en compte les éléments de risque qui est la clef d’un pilotage réussi.

Lorsque l’on analyse les démarches adoptées par les établissements les plus avancés dans l’atteinte des prérequis du programme Hôpital Numérique, on constate que la démarche qualité et sécurité des soins et la démarche sécurité du SI présentent un grand nombre de ressemblances :

Il faut transformer la contrainte règlementaire en opportunité

Le cadre réglementaire en janvier 2018

Le cadre règlementaire se décline dans un ensemble de textes allant du général au particulier, en gagnant à chaque fois en précision. Pour le domaine de la santé, la hiérarchie peut être décrite de la façon suivante, dans le sens de son applicabilité :

Le tableau de bord du pilotage de la sécurité du SI

Pour qu’elle puisse être mise en œuvre et évoluer dans le temps, la trajectoire définie pour améliorer la sécurité du système d’information doit rester réaliste pour ne pas décourager les différentes parties prenantes.

Le plan d’action sécurité, fruit du diagnostic et de l’analyse du risque, doit être actualisé régulièrement sur la base d’informations collectées par les équipes, les systèmes eux‐mêmes, et rassemblées dans des tableaux de bord.

Les indicateurs définis, permettant la démarche d’amélioration continue, sont de deux types :

Stratégiques, permettant des retours réguliers vers la direction générale ;
Opérationnels, permettant un pilotage de la sécurité au quotidien.

Dans tous les cas, ces démarches doivent s’appuyer sur des audits réguliers permettant la mise à jour de la cartographie des risques et si besoin du plan d’action. Il est donc essentiel d’avoir une ligne budgétaire dédiée à ce processus d’amélioration continue.

Besoin d’experts pour avancer

Je télécharge le mémento dans sa version du 13 nov 2017

Source de cet article et mémento en ligne sur le site du Ministère des Solidarités et de la Santé