Tribune : l'urgence d'une véritable sécurisation des systèmes d'information de santé

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Tribune : l'urgence d'une véritable sécurisation des systèmes d'information de santé

Publié le 19 janvier 2013 à 00:10 par Jérôme G.

Lire sur mobile

Une tribune de Philippe Corneloup, Responsables des Ventes du Secteur Public chez Fortinet.

Les informations médicales et médico-sociales sont des données stratégiques pour l'accomplissement des missions des professionnels de santé.

Afin de protéger ces informations désormais numériques, la France, sous l'impulsion de l'Etat et de ses agences (ANSSI, CNIL, DSIS, ASIP), s'est dotée de l'arsenal réglementaire le plus avancé au monde - arsenal qu'il convient désormais de mettre en œuvre.

Les enjeux sont importants. Rappelons qu'en cas de piratage de données médicales, il y a un risque vital pour les patients, un risque juridique pour les professionnels et les établissements de santé, un risque pénal pour les directeurs d'établissements et un risque financier pour les établissements de santé. La Loi rappelle en effet qu'il revient aux directeurs d'établissements, et ce de façon non déléguable, de conduire leur politique de sécurité - incluant le respect de la confidentialité des données médicales personnelles - et, pour ce faire, de prendre toutes mesures adossées aux moyens et ressources utiles. A défaut, ils encourent pénalement et à titre personnel deux années de prison et 300.000 € d'amende.

Les nouveaux défis sécuritaires liés à l'évolution des outils de communications
Avec l'émergence rapide des technologies Web et cloud, ainsi que la prolifération des appareils mobiles dans le milieu professionnel, les entreprises doivent faire face à de nouvelles questions de sécurité liées à davantage de liberté du côté de l'utilisateur et à une perte de contrôle pour l'entreprise.

L'utilisation d'outils de communications mobiles est en plein développement dans le milieu hospitalier, où les médecins et infirmiers utilisent ces appareils pour se connecter au réseau, accéder aux informations du patient, connaître sa médication… Autre évolution : les matériels médicaux (pompes à insuline, défibrillateurs, pacemakers, IRM, scanners, etc.) deviennent connectables au réseau et facilitent donc la vie des professionnels de la santé mais augmentent aussi les risques informatiques.

La tendance au SaaS ainsi que le problème de la maintenance de ces matériels dans les établissements (PC, tablettes, mobiles, appareils médicaux, matériels d'imagerie et de radiothérapie) conduisent à de nombreuses vulnérabilités au niveau de la sécurité informatique des systèmes d'information de la santé.

Actuellement, dans le domaine sanitaire, on peut classer et pondérer les menaces de la manière suivante :

cyberattaques externes (quelques %)
défaut de fonctionnement des infrastructures internes (> 45%)
défauts de comportements (ignorance, négligence et malveillance interne) (> 45%)

Pour la plupart des organisations de santé, la sécurité reste un concept purement périmétrique, bien que l'évolution des technologies et comportements (cloud computing, BYOD, capteurs connectés…) étende les besoins sécuritaires au-delà du simple réseau. Dans quelque temps, le DMP (Dossier Médical Personnel) et les Espaces Numériques Régionaux de Santé devraient émerger, permettant l'accès centralisé aux données médicales personnelles depuis l'hôpital, le cabinet du médecin traitant en ville, le domicile du patient et/ou les établissements médico-sociaux (Maisons de retraite, EPHAD). Cette évolution apportera davantage d'efficacité au secteur médical puisqu'avec l'accès aux données de n'importe où, n'importe quand et à partir de n'importe quel appareil, les temps de décision seront grandement diminués.

Avec un accès permanent au réseau, l'exposition aux risques devient un enjeu stratégique de premier niveau pour les entreprises, les organisations et les Etats.

Vers la mise en place d'une solution de sécurité multi-menaces
Ces menaces et ces risques conduisent à définir des politiques de sécurité plus adaptées et à appliquer des contrôles renforcés à l'égard des utilisateurs, des appareils et des applications. Cela exige que les organisations sanitaires définissent leurs politiques de sécurité et de gestion des risques selon trois axes : Savoir, Pouvoir, Vouloir.

Savoir : se doter d'outils de veille sur l'actualité des menaces et des comportements internes

Pouvoir : se doter d'outils permettant la gestion des risques applicatifs sans quoi il est impossible d'assurer un niveau de sécurité efficace

Vouloir : prendre les mesures adéquates même et y compris au prix de sanctions

La mise en place de ces politiques va permettre aux organisations sanitaires de :

Eliminer les failles potentielles
Démontrer leur conformité aux législations en vigueur de l'industrie
Réduire les temps de réponse des incidents de sécurité
Accélérer l'adoption des bonnes pratiques et systèmes éprouvés
Réduire les risques pouvant impacter la réputation et le chiffre d'affaires

Concernant plus spécifiquement la protection du réseau d'information, quelques recommandations sont à prendre en compte par les organisations sanitaires pour minimiser les risques de sécurité:

Sécurité des données médicales du patient

Encrypter les informations en transit de site-à-site
Encrypter l'accès à distance aux applications médicales

Segmentation du Réseau

Segmenter les appareils biomédicaux
Segmenter les applications métier

Filtrage Web / Contrôle Applicatif

Restreindre et surveiller le trafic Web des employés
Restreindre l'utilisation des applications basées sur le web en bloquant l'accès à certains types de sites Internet
Surveiller les fuites d'informations : empêcher que les données sensibles, du type cartes de crédit, numéros de sécurité sociale et numéros d'identification du patient soient envoyées à des personnes non autorisées.

Les organisations du secteur de la santé doivent donc segmenter, surveiller et contrôler les différents aspects de leurs opérations, y compris les utilisateurs et leurs comportements ; les données ; les dispositifs ; les systèmes d'exploitation et les applications.

Dans un tel contexte, Fortinet recommande vivement aux organisations sanitaires d'opter pour la mise en place d'une stratégie de sécurité informatique complète. L'approche de la consolidation des fonctions de sécurité au travers du déploiement de dispositifs de gestion intégrée des menaces est le meilleur moyen pour ces organisations de gagner une visibilité et un contrôle de bout-en-bout tout en réduisant le coût et la complexité de leur infrastructure de sécurité.