Le pilotage de la sécurité informatique du secteur de la santé en pleine mue

PARIS, 4 octobre 2017 (TecHopital) - L'obligation faite aux établissements de santé de signaler les incidents informatiques à leur tutelle à compter du 1er octobre et la création d'un comité de maîtrise des risques numériques dans les ministères sociaux marquent "une prise de conscience de plus en plus forte" de la sécurité informatique, ont témoigné leur directrice informatique, Hélène Brisset, et le fonctionnaire de la sécurité des systèmes d'information (FSSI), Philippe Loudenot.

"Il y a une vraie augmentation de la menace informatique avec des attaques de plus en plus ciblées. Nous faisons en sorte de nous tenir prêts pour sortir intacts de ces attaques, ou pour en limiter l'impact", a assuré Hélène Brisset, faisant notamment référence à l'attaque au rançongiciel qui a paralysé des dizaines d'hôpitaux britanniques en mai.

La stratégie de gestion du risque informatique dans la santé a connu d'importants changements ces derniers mois, sous l'effet de plusieurs textes législatifs et réglementaires, rappelle-t-on.

Un décret d'application de la loi de modernisation de notre système de santé publié en septembre 2016 a rendu obligatoire la déclaration des incidents les plus graves affectant les systèmes d'information des établissements et services de santé (laboratoires de biologie médicale, centres de radiothérapie, etc.) aux agences régionales de santé (ARS).

"Ce nouveau mécanisme de signalement [a pris] effet le [dimanche] 1er octobre et constitue une grosse nouveauté. Nous sommes le seul secteur ministériel, hormis les télécommunications, à avoir cette exigence aujourd'hui", a fait valoir Philippe Loudenot.

Il existait déjà un mécanisme de remontée des incidents touchant les établissements de santé, mais il fonctionnait sur la base du volontariat, a rappelé le FSSI. Il a indiqué avoir reçu 1.341 signalements d'incidents via ce canal en 2016.

Mais ce dispositif a rapidement été confronté au manque de moyens de l'administration pour traiter les incidents. "Nous sommes trois dans mon service pour gérer l'ensemble des incidents du monde de la santé, du travail, des sports et d'une partie de l'éducation nationale. Au niveau santé, cela représente déjà des milliers d'établissements. Il n'était pas raisonnable de continuer comme ça", a expliqué Philippe Loudenot.

"Industrialiser" la remontée d'incidents

Dorénavant, la remontée des incidents informatiques se fera directement depuis le portail de signalement des évènements indésirables, sur lequel a été créé un formulaire spécifique pour les attaques contre les systèmes d'information.

Une cellule de l'Agence des systèmes d'information partagés de santé (Asip santé) sera chargée d'aider les établissements à répondre aux incidents jugés "graves et significatifs".

"Nous allons aussi travailler en étroite collaboration avec l'Anssi [Agence nationale de la sécurité des systèmes d'information] dans les cas les plus graves, et avec l'ANSM [Agence nationale de sécurité du médicament et des produits de santé] sur la sécurité des dispositifs médicaux", a détaillé Philippe Loudenot.

Cette "industrialisation" de la remontée d'informations sur les attaques informatiques va permettre au ministère de "capitaliser sur ces incidents pour affiner nos fiches d'informations et de bonnes pratiques", a-t-il poursuivi.

Elle permettra aussi de venir en appui des établissements de santé, "notamment des plus petites structures qui n'ont pas d'informaticien" afin de "discuter d'une seule voix vis-à-vis des fournisseurs" de logiciels pour les amener à mettre à jour leurs outils.

Textes européens et plan d'action national

Le FSSI a également noté que d'autres textes allaient avoir un impact sur la gestion de la sécurité informatique, à l'instar du règlement européen relatif à la protection des données personnelles qui entrera en vigueur le 25 mai 2018 et de la directive européenne NIS (Network and Information Security) qui définit les établissements de santé comme des "opérateurs de services essentiels".

La transposition de la directive dans le droit français fait actuellement l'objet de travaux à l'Anssi, a indiqué Philippe Loudenot.

A l'échelle nationale, une instruction de la délégation à la stratégie des systèmes d'information de santé (DSSIS) publiée fin 2016 a détaillé un calendrier d'actions prioritaires pour assurer la sécurité informatique des établissements et structures de santé.

Les laboratoires d'analyse font partie des secteurs "les plus pro-actifs" pour mettre en oeuvre ce plan d'action, a constaté le FSSI, chargé du suivi de ce plan d'action avec les ARS. "Une des difficultés porte aujourd'hui sur la dette technique des structures qui ont un parc applicatif ancien, beaucoup plus cher à entretenir", a-t-il ajouté.

Une instruction a par ailleurs précisé les mesures à mettre en oeuvre par les établissements et services sociaux et médico-sociaux (ESMS) en matière de sécurité, notamment informatique.

Une stratégie pour les administrations centrales et déconcentrées

Dernier acte de l'évolution de la gestion de la sécurité informatique en santé: la création, par un arrêté publié le 15 septembre 2017, d'un comité de maîtrise des risques numériques au sein du secrétariat général des ministères sociaux.

La première réunion de ce comité a eu lieu mardi 26 septembre. La DSI des ministères sociaux, Hélène Brisset, et le haut fonctionnaire adjoint de défense et de sécurité des ministères, Arnaud Martin, copilotent ce comité.

Le périmètre couvert concerne uniquement les systèmes d'information des administrations centrales et déconcentrées des ministères sociaux. "Il s'agit de faire progressivement monter le niveau de sécurité de l'informatique mise à disposition en interne", a expliqué Philippe Loudenot, qui fait aussi partie du comité.

Les directions administratives du ministère de la santé (DGOS, DGS, DSS etc.) sont donc directement visées.

Du côté des ARS, dont un représentant prend part aux réunions du comité de maîtrise des risques numériques, cela concerne essentiellement les outils informatiques mis à disposition de l'ensemble des agences par le ministère de la santé, et non pas les projets locaux, ou les systèmes d'information ouverts vers les professionnels de santé, hospitaliers ou de ville.

L'ordre du jour de la première réunion du comité comprenait le lancement d'une cartographie des risques des systèmes concernés, et la revue des "principales actions stratégiques à mettre en place côté directions métiers et DSI", a expliqué Hélène Brisset.

"Quelles sont les applications critiques ? Les points des fragilités ? Et quelles sont les priorités à traiter ?", a-t-elle résumé, jugeant "qu'un véritable mouvement de fond a été amorcé" sur la sécurité informatique en santé.