C’est un long article que j’ai publié dans le cadre de mon MBA spécialisé digital marketing & business #health. Je le reprends ici en 4 parties : 4/4
https://blog.mbadmb.com/hopital-cybersecurite/
L’hôpital est au centre de la cité et de nos vies, on a tendance à l’oublier à chaque fin de crise. Pourtant il répond toujours présent malgré le manque de ressources ou de moyens. Mais ce n’est pas uniquement une question d’argent, bien que cela puisse aider grandement.
Durant cette pandémie, les hôpitaux démontrent chaque jour leur résilience. Même si tout tient à un fil, l’équilibre reste fragile. À chaque pic épidémique, on ne focalise plus sur le taux de la bourse mais sur le taux d’occupation des lits en réanimation. Le manque de lits dans un service de réanimation a un impact sur les soins et par effet de domino sur la croissance économique du pays. C’est dire que les réponses à apporter au futur de l’hôpital ou sur toute autre structure de santé sont devenues plus complexes. Le risque a changé de nature, la réponse devra donc être adaptée. La crise actuelle est-elle une opportunité pour repenser la sécurité de notre système de soins ? La résilience du système d’information hospitalier devient un enjeu stratégique, d’autant qu’il est illusoire de croire que nous en avons fini avec les crises, de toute nature que ce soit, ou encore les cyberattaques. Les hôpitaux sont des infrastructures critiques. Les questions sont maintenant de savoir quand aura lieu la prochaine attaque ? Quel fonctionnement minimal et acceptable peut-on mettre en place ? Que faire pour se préparer ? Comment favoriser l’accès à l’information tout en apportant une sécurité complète ? Qui informer en cas de danger ? … etc.
Le grand défi de la sécurité
Pour répondre aux défis de la sécurité, l’Allemagne avec son plan Hospitals Future Program prévoit des investissements à hauteur de 3 milliards d’euros pour que les hôpitaux rattrapent le retard. La France a pour sa part débloqué 1 milliard d’euros pour renforcer la sécurité des entreprises, hôpitaux et administrations. Financée par France Relance et le Programme d’investissement d’avenir, la stratégie nationale pour la cybersécurité vise, entre autres, à doubler les effectifs de la filière d’ici à 2025.
L’hôpital joue dans cette crise le rôle de « bouclier sanitaire », Il a besoin d’être protégé à la hauteur des menaces qui pèsent sur sa sécurité et celles des données de millions de citoyens. La directive européenne Network and Information System Security (NIS) permet de reconnaître l’hôpital comme secteur sensible et stratégique de la Nation. Une prise de conscience qui va permettre à 135 groupements hospitaliers français d’être intégrés à la liste des opérateurs de service essentiels. Cela implique la mise en place de règles de sécurité informatique plus strictes et le contrôle par l’ANSSI du bon respect de ces règles.
Enfin, penser « Security by Design » pour insuffler la sécurité dans l’organisation de l’hôpital ou au niveau d’un un pôle d’activité dès la phase de réflexion, cette approche a l’avantage de porter en elle des problématiques techniques, juridiques ou contractuelles. Cette démarche offre la possibilité de faire certifier par un tiers de confiance sa stratégie en matière de sécurité. La « cybersecurity by design » participe à la mise en place d’une bonne hygiène informatique, à une maîtrise optimale du niveau de risque et minimise les surfaces d’attaques de la structure de santé.
Rappelons toutefois que le risque zéro n’existe pas. Il y aura toujours des vulnérabilités techniques ou humaines. Quel que soit le prix payé, la croyance en l’infaillibilité de toute solution technique est une illusion. Le dernier rempart de la sécurité informatique reste l’utilisateur.
Source, veille & inspiration
- https://www.dsih.fr/article/4107/cybersecurite-des-hopitaux-a-la-merci-des-hackers.html
- https://sante.lefigaro.fr/article/comment-venir-a-bout-de-la-crise-de-l-hopital-public/
- https://www.journaldunet.com/solutions/dsi/1496005-hopitaux-et-cybersecurite-a-l-heure-de-covid-19/
- https://www.gouvernement.fr/la-strategie-nationale-de-cybersecurite-des-etablissements-de-sante
- https://www.docaufutur.fr/2020/09/21/cybersecurite-les-hopitaux-plus-que-jamais-en-premiere-ligne-par-stephane-prevost-stormshield/
- https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services
La sécurité informatique est aujourd’hui un enjeu de premier plan dans notre société, où la multiplication des cyberattaques menace aussi bien les entreprises que les hôpitaux et les administrations. La France et l’Allemagne ont donc investi des milliards d’euros dans des programmes destinés à renforcer la sécurité de ces secteurs d’importance critique
Les établissements de santé endossent la responsabilité non seulement du bien-être physique des patients, mais aussi de la protection des renseignements médicaux sensibles contre les cybermenaces à l’ère numérique.
L’hôpital reste une cible de première choix pour les hackers tant que les niveaux de confidentialité ou de sensibilité peuvent différer d’un service à un autre. L’hôpital reste une multi-société où le chacun pour chez soit prévaut encore. La culture du silo est toujours prédominante.
