• Perspective
Publié le 8 décembre 2015

Sécurité des données de santé

« La sécurité en matière de santé est la même que pour une banque » Philippe Loudenot (FSSI santé, lors de l’ISSN2015)

On était prévenu : «2015, l’année du piratage des données de santé» (sante.lefigaro.fr). Reflet d’une société de plus en plus connectée, le domaine de la santé n’a pas échappé pas à la tendance : open data, cloud, objets connectés, BYOD, etc. Ce n’est donc pas si étonnant de voir les pirates se tourner vers le vol de données à caractère personnel de santé dont la valeur est maintenant supérieure à celle des données bancaires, et de constater une explosion des cyberattaques contre les hôpitaux (+600% en 10 mois).

Mais alors quelles sont les actions en cours pour protéger nos données de santé au sein des établissements de santé?

Concernant la sécurisation des systèmes d’information hospitaliers (SIH), l’ajout de plus d’une dizaine d’exigences du programme Hôpital Numérique à la certification HAS (Qualité et sécurité des soins) devrait permettre d’installer les premières briques d’une gouvernance sécurité. Le manuel de certification révisé v2014 mentionne notamment, la nomination d’un responsable Sécurité (aujourd’hui, il n’y a qu’une quarantaine de RSSI pour plus de 1000 établissements de santé en France), l’élaboration et la diffusion d’une Politique de Sécurité des SI (PSSI) et la mise en place d’un Plan de Reprise d’Activité.

Si certaines régions ont considérablement avancé sur le sujet, la « culture sécurité » a beaucoup de difficulté à se propager dans les plus petits établissements. Une adresse de déclaration des incidents de sécurité a été mise en place (ssi[at]sg.social.gouv.fr) afin de comptabiliser le nombre d’incidents majeurs et d’alimenter des retours d’expériences qui aideront les directeurs d’établissements à prendre conscience des enjeux de la sécurisation des données de santé.

Il est évident que la simple mise en place d’une gestion de la sécurité de l’information dans les établissements de santé ne suffit pas à protéger les données sensibles de manière acceptable. Cependant, cela permettra à minima d’identifier les risques majeurs et de prioriser les chantiers sécurité en fonction du niveau de risques et du budget alloué.

Pour compléter ce constat, nous vous invitons à écouter le très bon podcast du comptoir sécurité sur le sujet : comptoirsecu.fr/episode-31-la-ssi-dans-le-monde-de-la-sante/

Article rédigé par
Erwan Brouder