Panier

Aucun produit

0,00 € Expédition
0,00 € Total

Voir mon panier Commander

Accueil>Actualités> Cybersécurité: les vulnérabilités informatiques des structures de santé

Cybersécurité: les vulnérabilités informatiques des structures de santé

Publié le : 18/02/2020 10:33:03

Le fonctionnaire de sécurité des systèmes d'information (FSSI) du ministère des solidarités et de la santé, Philippe Loudenot, a énuméré les principales vulnérabilités des SI des établissements de santé lors d'un "Cybercamp santé" organisé le 5 février à Paris.

Les vulnérabilités montrent que la cybersécurité "n'est pas une affaire de DSI [direction des systèmes d'information], c'est une affaire de gouvernance", a souligné Philippe Loudenot.

Elles proviennent principalement:

  • de logiciels ou systèmes obsolètes ou non conformes
  • d'un manque de visibilité ou de l'absence d'inventaire des différents systèmes d'information (SI) de l'établissement
  • de contrôles insuffisants des systèmes périphériques
  • d'un manque d'interopérabilité
  • de protocoles de communication non sécurisés
  • de complexités dues à des responsabilités trop diffuses.

Piratage d'une gestion de chaufferie

Philippe Loudenot a notamment cité le cas d'un établissement de santé piraté par le système de gestion de la chaufferie, qui montre que "tout est interconnecté". La cybersécurité n'est "pas une fin en soi, elle doit être au service des métiers", a-t-il insisté. Les médecins sont capables de contourner les solutions de sécurité s'ils ont trop de barrières et "il faut travailler avec eux".

Il a également pointé la nécessité de signaler les incidents, qui est obligatoire depuis le 1er octobre 2017. "Le CHU de Rouen a été remis sur pied très rapidement grâce à la remontée d'information à la cellule d'accompagnement cybersécurité des structures de santé [ACSS] de l'agence du numérique en santé [ANS, ex Asip santé] puis à l'Agence nationale de la sécurité des systèmes d'information [Anssi]", a-t-il fait valoir.

Victime d'un rançongiciel le 15 novembre 2019, le CHU de Rouen a fonctionné "en mode dégradé" pendant plusieurs semaines, rappelle-t-on. "Les remontées d'information rendent service à la communauté, a assuré le FSSI. Il ne faut pas avoir honte, il n'y a pas de jugement de valeur ou de stigmatisation" des établissements piratés, a-t-il insisté. "Tout le monde se fait pirater, même l'Elysée, Matignon et les grandes entreprises."

Enfin, le FSSI a rappelé que deux offres de renforcement des SI étaient disponibles pour les établissements de santé.

L'ANS propose un audit de l'exposition sur Internet des établissements. "On trouve des mots de passe, des dossiers patients… à partir de quelques mots-clés sur Internet. L'audit donne les moyens d'y remédier."

Encore aujourd'hui, certains établissements sont des "passoires" avec des SI "directement connectés à Internet, sans protection", a-t-il noté.

De son côté, l'Anssi propose une "analyse de la colonne vertébrale" du SI.

L'ANS a recensé 693 incidents déclarés par les structures sanitaires depuis la mise en place du nouveau dispositif de signalement, indiquait-elle en décembre 2019 à APMnews.

 

Source : TecHopital