17 mai 2023
HaD France, comme tout établissement de santé, manipule des données sensibles. Un des risques majeurs pour nous est le risque d’intrusion engendrant soit le blocage du système (ex. ransomwares), l’arrêt des échanges d’informations et donc l’arrêt de l’activité, soit le vol de données. De plus en plus d’établissements de santé, en France ou à l’étranger en sont d’ailleurs victimes.
Nous étions déjà sensibilisés à la sécurité informatique. Néanmoins, dans le cadre de la stratégie de transformation du système de santé #MaSanté2022, le ministère de la Santé a lancé un grand programme d’accompagnement financier visant à accélérer le virage numérique des établissements de santé (Hop’En). Il vise à amener les systèmes d’information des établissements de santé à un niveau de maturité plus élevé, nécessaire pour répondre aux nouveaux enjeux de décloisonnement du système de santé et de rapprochement avec les patients. Parmi les exigences du gouvernement, il y a la sécurité, la confidentialité et l’intégrité des données. Le fait de faire réaliser un diagnostic de sécurité était l’une des étapes qu’il nous fallait franchir afin de réaliser un état des lieux de la sécurité de notre système d’information et de mettre en place un plan d’actions correctrices.
Il a été réalisé en trois parties : une phase d’entretiens sur les processus et l’état des lieux, une phase technique réalisée par les consultants, puis, une phase de restitution. Il s’est étalé sur deux mois environ.
Des besoins de cloisonnements des réseaux Wi-Fi, de mises à jour de firmwares de matériels et de renforcement de l’Active Directory ont été mis en lumière. Il a été particulièrement intéressant de découvrir que des fournisseurs de services informatiques avec lesquels nous travaillons ont eux aussi été audités dans le cadre du diagnostic et certaines failles de sécurité ont été trouvées de leur côté. Ils se sont engagés à les corriger.
Ne surtout pas négliger la sécurité informatique. Il est important d’inculquer les bonnes pratiques aux collaborateurs : aux personnels soignants dans leur usage quotidien des systèmes informatiques mais aussi aux directions qui peuvent juger que ce sujet engendre des coûts qui leur apparaissent parfois disproportionnés. Un établissement de santé a pourtant tellement à perdre quand l’incident arrive (même s’il est rare) qu’il ne faut surtout pas se dire que ça n’arrive qu’aux autres. Il est important de rester en alerte et d’avoir des partenaires dont l’expertise est prouvée.
Pour en savoir plus sur les diagnostics de sécurité, cliquez ici.