Depuis le début de la crise Covid, les cyberattaques contre les établissements de santé se sont intensifiées, paralysant régulièrement le bon fonctionnement des pôles hospitaliers. Entre des systèmes d’information souvent taxés d’obsolètes et des services encore parfois ébranlés ou dépassés par la situation de pandémie, les hôpitaux sont des cibles de choix pour tous types de cyberattaques. C’est pourquoi la question de la protection des données et des systèmes est plus que jamais centrale pour les établissement de santé. Pour répondre à cette urgence, le gouvernement a mis en place des mesures exceptionnelles.
Des mesures exceptionnelles pour la protection des données dans les hôpitaux
Suite aux récentes attaques d’ampleur sur plusieurs établissements hospitaliers français, le ministre de la Santé Olivier Véran, ainsi que le secrétaire d’Etat au Numérique Cédric O, ont annoncé des mesures exceptionnelles pour le renforcement de la sécurité informatique dans les hôpitaux. Ces mesures impliquent un budget exceptionnel de 350 millions d’euros. On lit par ailleurs dans l’Usine Digitale que 25 millions des 136 millions d’euros de budget alloué à l’Agence nationale de la sécurité des systèmes d’information (Anssi) seront destinés à la réalisation d’audits dans les établissements de soins, pour les accompagner dans la démarche de sécurisation. Enfin, ces mesures exceptionnelles précisent qu’à partir de maintenant, pour qu’un projet soit accepté en pôle hospitalier, 5 à 10% du budget alloué à l’informatique devra être consacré à la sécurité informatique.
Connaître la vulnérabilité des systèmes d’information
Tous les pôles d’activité sont concernés par la transition numérique et la protection des données, qu’il s’agisse des métiers liés directement aux soins ou encore les fonctions support qui soutiennent le fonctionnement de l’hôpital. Cette numérisation implique l’accumulation de données personnelles et confidentielles, qui de facto attirent les convoitises de cyberdélinquants. Les technologies du numérique sont partout, qu’il s’agisse des dossiers patients informatisés (DPI), de mesure des constantes biologiques chez les patients, de l’application des plans de soin ou encore des outils et données de laboratoires, le stockage de médicaments ou de matériel, etc. Dans ce cadre, une connaissance des points de vulnérabilités de l’hôpital et des risques liés à la donnée est primordiale. À cet effet, le Ministère des Solidarités et de la Santé a publié un memento à l’usage des directeurs d’établissements hospitaliers.
La mission du DSI : évaluer les risques pour mieux les anticiper
Il incombe à la direction des systèmes d’information (DSI), d’évaluer tout risque lié à l’utilisation de systèmes d’information. Ces risques peuvent se situer à plusieurs niveaux :
- Risque stratégique : Correspond à l’incapacité du pôle hospitalier à s’adapter aux évolutions des environnements et des attentes des patients.
- Risque opérationnel : implique toutes les défaillances à l’externe ou l’interne qui peuvent nuire gravement au fonctionnement de l’hôpital
- Risque juridique : Il concerne tout manquement à appliquer une loi ou un règlement, notamment dans le cadre de la protection des données. Elle peut impliquer la direction du pôle hospitalier à un niveau pénal.
- Risque financier : Il concerne toute perte de revenus liés à la gestion des systèmes d’information, pénalités ou amendes, etc.
- Facteurs humains : C’est le risque le plus difficile à quantifier et anticiper, il peut venir autant des agents hospitaliers que des patients.
- Image de l’établissement : Bien entendu, les défauts de gestion des systèmes d’information qui mènent à des incidents peuvent porter atteinte à l’image et à la réputation de l’établissement, induisant une perte de confiance.
Parmi les missions de la DSI figure donc celle de connaître les points de vulnérabilité de l’établissement hospitalier, afin de les traiter autant que possible. Elle doit en permanence être opérationnelle sur plusieurs niveaux en même temps. La DSI doit avoir connaissance de tous types de dangers auxquels peut être exposé l’hôpital, avoir connaissance des vulnérabilités de l’établissement et agir pour les gommer, être capable d’identifier le plus tôt possible une situation à risque et enfin, elle doit être capable de gérer rapidement et efficacement les incidents de sécurité.
Quel cadre de protection de la donnée ?
Dans les pôles hospitaliers, la protection des données incombe au délégué à la protection des données personnelles (DPDP ou encore DPO pour Data Protection Officer), il a pour mission d’accompagner l’établissement dans un cadre de conformité, notamment vis-à-vis du RGPD. Il est cependant à noter que selon un arrêté du 13 décembre 2016, la responsabilité de la sécurité des systèmes d’information dans les établissements de santé publics incombe au directeur, qui devient Autorité Qualifiée pour la Sécurité des Systèmes d’Information (AQSSI). Par ailleurs, les données relatives à la santé étant stockées et archivées, les questions de sécurité informatique à un niveau logiciel et d’hébergement figurent parmi les principaux enjeux de protection des données.
