Le mémento de cybersécurité « connaitre vos risques pour mieux y faire face » est principalement destiné aux Directions (Directeur, Président de la CME, Directeur des soins, DRH, …) des établissements de santé, publics comme privés ; mais il peut être lu par l’ensemble des professionnels de santé et des cadres de ces établissements.
A nos yeux, chez OM Conseil, ce mémento d’une grande qualité, peut être lu par l’ensemble des professionnels et ce, quelque soit le secteur d’activité. Les principes qui y sont exposés sont universels et les recommendations sont valables quelque soit votre produit ou votre service. Et comme nous aimons le dire à nos clients qui ne sont pas dans la santé : quand vous savez faire de l’informatique de santé vous savez tout faire !
Dans un environnement où la digitalisation (ou numérisation) s’accélère et devient omniprésente, de nouveaux risques apparaissent. Il est donc essentiel d’être en situation de pouvoir les comprendre, les évaluer afin de mieux les maîtriser. Les méthodes et outils de la sécurité numérique ne manquent pas, mais ils perdent toute efficacité s’ils ne sont pas soutenus en permanence. Cela relève notamment du management des établissements de santé (directeur, directeur des soins, directeur des ressources humaines, président de commission médicale d’établissement) de les promouvoir et d’en accompagner la mise en œuvre.
Nous vous proposons une rapide présentation des pépites découvertes dans ce précieux document (il y en a sans doute d’autres mais nous avons fait une sélection de nos préférées) :
Qu’est-ce qu’un incident de sécurité informatique ?
Le guide de la DGOS nous présente l’incident de sécurité informatique d’une manière très simple et logique : Les dangers d’un coté qui un jour ou l’autre trouveront une vulnérabilité, ce qui crée une menace qui pourra être malencontreusement activée par l’événement redouté et ainsi aboutir à l’incident de sécurité.
Soutenir la politique de sécurité du SI est une exigence
La politique de sécurité ne se limite pas à la protection contre la perte, l’indisponibilité ou la divulgation de données personnelles médicales ou administratives, elle permet de créer un espace de confiance entre les professionnels et les patients et elle est un levier essentiel de l’amélioration de la qualité des soins. Il est donc de la responsabilité du management des établissements de santé (directeur, directeur des soins, directeur des ressources humaines, présidents des commissions médicales d’établissements) de la promouvoir.
Les différents types de risques liés au SI
L’analyse des situations à risques est indispensable pour évaluer les impacts potentiels. Une analyse de ces risques permet de construire les solutions visant à en réduire le plus possible les impacts. Les impacts des incidents de sécurité doivent être mesurés dans toutes leurs composantes.
Tout l’enjeu d’une démarche de gestion des risques est de les traiter, c’est‐à‐dire, de les réduire, les éviter, les partager ou les accepter. Pour cela il convient d’agir simultanément sur 4 niveaux :
- Connaître les dangers auxquels on est exposé ;
- Comprendre ses principales vulnérabilités et chercher à les réduire ;
- Essayer de détecter au plus tôt toute situation dangereuse ;
- S’organiser pour gérer l’incident de sécurité.
La cartographie des risques est la pierre angulaire de tout plan d’action sécurité du système d’information. Elle vise à définir toutes les actions nécessaires pour parvenir à un niveau de risque résiduel qui puisse être accepté en toute connaissance de cause, au bon niveau de décision.
Elle s’applique toujours sur un périmètre d’activité parfaitement défini.
Tout établissement de santé doit disposer d’une cartographie des risques liés à son système d’information (cf. les prérequis du programme Hôpital Numérique).
Selon les éditeurs et bureaux d’étude spécialisés, la France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Le nombre de cyber‐attaques recensées aurait progressé de 38% dans le monde en 2015, et 51% en France.
Il ne faut donc plus espérer de ne pas être la cible d’une attaque mais plutôt vous préparer à ce que ça vous arrive !
Besoin d’un accompagnement ?
Le RGPD (GDPR) c’est pour le 25 mai
Le nouveau règlement européen définit, dans son article 4, ce que sont les «données à caractère personnel concernant la santé » : il s’agit de “données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne”.
Il précise qu’elles devraient comprendre “toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro”.
Il définit aussi les “données génétiques”, “relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé”, et les données biométriques, “résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique”.
Besoin d’aide pour vous mettre en conformité avec le GDPR ?
Les données de santé sont, par essence, des données dites « sensibles »
Et pour les protéger la réforme de la protection des données poursuit 3 objectifs :
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous‐traitants) ;
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.
L’hébergement de données de santé s’inscrit dans un cadre règlementaire spécifique
Les modalités d’hébergement de données de santé à caractère personnel sont encadrées par l’article L.1111‐8 du code de la santé publique :
- Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico‐ social pour le compte d’un tiers, doit être agréée à cet effet ;
- L’hébergement exige une information claire et préalable de la personne concernée par les données de santé hébergées et une possibilité pour celle‐ci de s’y opposer pour motif légitime.
A partir de 2018, pour toute nouvelle demande, la qualité d’hébergeur de données de santé reposera sur une évaluation de conformité à un référentiel de certification, délivrée par un organisme certificateur accrédité par le COFRAC et choisi par l’hébergeur. Deux types de certificats seront délivrés aux hébergeurs :
- Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle ;
- Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée.
Si tous vos systèmes informatiques stockent des données concernant uniquement des patients placés sous la responsabilité de votre entité juridique, la certification hébergeur de données de santé n’est pas, pour vous, une obligation règlementaire. Mais cela ne signifie pas que vous ne devez pas avoir la même exigence en matière de sécurité des systèmes d’information.
En cas d’incident, garantir un retour à un fonctionnement normal, dès que possible, est vital
Assurer la sécurité du système d’information permet de créer un espace numérique de confiance
Cet espace est favorable à la dématérialisation, au partage et à l’échange de données de santé, et doit permettre d’offrir une sécurité juridique lors de l’utilisation du système d’information. Pour y parvenir il est nécessaire d’adopter des mesures préventives, il faut donc mettre en place tous les dispositifs techniques, organisationnels et humains qui garantissent le maintien des activités vitales de l’établissement en cas d’incident temporaire perturbant ou arrêtant la production informatique.
Besoin d’aide pour mesurer où vous en êtes et anticiper l’avenir ?
Démarches Qualité et Sécurité : deux démarches similaires
Le soutien de la Direction est le principal facteur clé de succès. La Direction doit promouvoir, soutenir la démarche et en rappeler, si nécessaire, les enjeux. Il faut transformer l’image de la sécurité vue comme une contrainte sans apport sur la qualité et la sécurité des soins. Seule la Direction peut soutenir ce message de la sécurité créatrice de confiance sur le système d’information.
La gestion des risques liés au numérique ne passe pas uniquement par la mise en place de solutions techniques. C’est surtout une organisation prenant en compte les éléments de risque qui est la clef d’un pilotage réussi.
Lorsque l’on analyse les démarches adoptées par les établissements les plus avancés dans l’atteinte des prérequis du programme Hôpital Numérique, on constate que la démarche qualité et sécurité des soins et la démarche sécurité du SI présentent un grand nombre de ressemblances :
Il faut transformer la contrainte règlementaire en opportunité
Le cadre réglementaire en janvier 2018
Le cadre règlementaire se décline dans un ensemble de textes allant du général au particulier, en gagnant à chaque fois en précision. Pour le domaine de la santé, la hiérarchie peut être décrite de la façon suivante, dans le sens de son applicabilité :
Le tableau de bord du pilotage de la sécurité du SI
Pour qu’elle puisse être mise en œuvre et évoluer dans le temps, la trajectoire définie pour améliorer la sécurité du système d’information doit rester réaliste pour ne pas décourager les différentes parties prenantes.
Le plan d’action sécurité, fruit du diagnostic et de l’analyse du risque, doit être actualisé régulièrement sur la base d’informations collectées par les équipes, les systèmes eux‐mêmes, et rassemblées dans des tableaux de bord.
Les indicateurs définis, permettant la démarche d’amélioration continue, sont de deux types :
- Stratégiques, permettant des retours réguliers vers la direction générale ;
- Opérationnels, permettant un pilotage de la sécurité au quotidien.
Dans tous les cas, ces démarches doivent s’appuyer sur des audits réguliers permettant la mise à jour de la cartographie des risques et si besoin du plan d’action. Il est donc essentiel d’avoir une ligne budgétaire dédiée à ce processus d’amélioration continue.
Besoin d’experts pour avancer
Je télécharge le mémento dans sa version du 13 nov 2017
Source de cet article et mémento en ligne sur le site du Ministère des Solidarités et de la Santé