Reportage

Le SIH dans un monde de cybercriminalité

Publié le 29/05/2012

Article réservé aux abonnés

Alors que le débat sur la sécurité dans les établissements de santé s’était longtemps polarisé sur la sécurité physique des personnels et du matériel, il s'est progressivement élargi à l’intégrité du système d’information hospitalier dans une logique de prise en charge efficace du patient. Haute disponibilité des données, accès verrouillé aux outils et contrôle des attaques constituent des éléments à surveiller de près par le responsable de la sécurité des systèmes d’information.

La sécurité doit faire l’objet d’une stratégie globale au sein de l’établissement. Les personnels soignants doivent être protégés, tout comme les patients. Des mesures sont prises depuis de nombreuses années pour pallier les actions d’insécurité physique potentielles et réelles au sein des hôpitaux. L’une des plus médiatisées aura été l’irruption de bracelets antivol de nouveaux-nés au sein des maternités. Il est désormais résolu par des technologies retenues par plusieurs hôpitaux, parmi lesquels celui de Montfermeil-Drancy (93). Qu’en est-il des données numériques relatives au patient ? À l’heure de la généralisation des systèmes d’information hospitaliers (SIH), le débat et les préoccupations sur la sécurité s’ouvrent à la cybercriminalité. Comment protéger les données du patient et le SIH pour garantir sa bonne prise en charge ? Les outils existent désormais mais doivent évoluer régulièrement pour prendre en compte une menace devenue ondoyante et diverse, insidieuse et paralysante.

Politique générale de sécurité

Afin d’asseoir une stratégie de sécurité des systèmes d’information de santé (SIS) confrontés à des menaces multiples, les pouvoirs publics ont confié à l’Asip Santé la réalisation d’une politique générale de sécurité ou PGSSI. Sa finalité, contribuer à la création d’un cadre réglementaire en la matière. Celui-ci doit permettre aux professionnels de santé de se recentrer sur la prise en charge du patient. À cette fin, ce programme vise à créer un espace de confiance numérique contribuant à la promotion du partage et des échanges de données médicales personnelles. Et prévoit des référentiels évolutifs assortis de dispositifs et de mesures qui accompagneront le secteur de la santé dans ses évolutions : types de menaces, de scénarios de risques, d’exigences de sécurité des SIS, de trajectoires de mesures de sécurité, etc. Cet outil se positionne également comme un support d’évaluation de la maturité des systèmes d’information hospitaliers. Il s’inscrit dans un contexte de mise sur orbite de nombreux téléservices en France et celui du lancement opérationnel du DMP. Et permet d’apporter aux professionnels de santé et patients des garanties fortes et homogènes en matière de confidentialité et de sécurité des données de santé personnelles utilisées par les différents dispositifs de SIH déployés.

Carte de professionnel de santé

En attendant la généralisation de cette politique, les cyberattaques qui se sont multipliées sur le terrain poussent les hôpitaux à renforcer leur vigilance. Pour ce faire, la fonction de responsable de la sécurité des systèmes d’information, généralement déployée dans l’industrie et le monde financier, fait son chemin dans le milieu hospitalier. Et occupe une place de plus en plus importante dans les grands établissements. Sa mission : définir la politique à appliquer par les utilisateurs, professionnels de santé et administratifs. Et contrôler sa mise en musique. Un travail de longue haleine, sachant que la sécurité est également une affaire culturelle.

Au-delà de cette remarque, la lutte contre la cybercriminalité passe par l’intégration d’antivirus, et de dispositifs de verrouillage de l’accès aux données dont l’offre est multiple. Si la carte de professionnel de santé (CPS) constitue un outil de choix qui permet à ses détenteurs de s’authentifier et de s’identifier avec à la clé une traçabilité de ses accès, d’autres outils existent. C’est le cas des systèmes de sécurité contextuelle permettant de garantir la confidentialité des données dans un contexte de mobilité des professionnels de santé. Des badges comme Blue Lock ont le mérite d’activer et de désactiver la session d’un soignant, selon qu’il se présente ou s’éloigne d’un poste de travail utilisateur. Efficace dans un service de soins d’urgences, par exemple.

Du reste, l’un des chantiers primordiaux des établissements est la mise en place de plan de reprise et de continuité d’activité (PRA et PCA) qui permettent de garantir un accès aux données en cas de mise à mal du SIH.

Emmanuel Mayega