Le vendredi 19 octobre s’est tenu au ministère des Solidarités et de la Santé, le 4ème colloque sur la cybersécurité des systèmes d’information dans les établissements de santé. Cette journée a réuni plus d’une centaine de décideurs, directeurs des systèmes d’information et responsables sécurité en établissements sanitaires et médico-sociaux autour des problématiques de sécurisation des systèmes d’information. Au programme : sensibilisation en matière de prévention, présentation du dispositif d’Accompagnement de Cybersécurité des Structures de Santé (ACSS) et échanges de bonnes pratiques et retours d’expérience.
Le numérique est au cœur de notre système de santé. Les échanges de données de santé des patients deviennent incontournables et le partage de l’information indispensable. Or les attaques numériques restent une menace permanente, surtout au sein des établissements de santé où les données de santé sont des données sensibles et confidentielles qui se revendent à prix d’or. Une vigilance particulière est dès lors demandée aux établissements de santé qui souhaitent être sensibilisés sur ces questions. Cette journée a été l’occasion de se retrouver pour échanger sur les bonnes pratiques et présenter différents retours d’expérience.
Durant la session plénière de la matinée, le socle de sécurité a été défini comme un élément incontournable de la politique de gestion des risques des systèmes d’information des établissements de santé. Après des témoignages d’établissements qui ont dû faire face à des cyber-attaques (cryptage des données de santé des patients, demande de rançon en bitcoin…) passant de l’établissement de santé à l’EPHAD, il en ressort qu’un besoin d’accompagnement reste indispensable et que les campagnes de sensibilisation en interne renforcent les attitudes du personnel de l’établissement face aux menaces numériques. En effet, les principales vulnérabilités proviennent essentiellement du manque de vigilance ou de la méconnaissance du système de stockage ou d’hébergement (absence ou non sécurisation des mises à jour, clés et mot de passe choisis par défaut, absence de chiffrement des communications, interface de débogage…).
L’après-midi a permis d’accompagner les établissements dans cette approche de sensibilisation des utilisateurs. L’ASIP Santé en a profité pour présenter la cellule ACSS (cellule d’Accompagnement Cyber-sécurité des Structures de Santé), et pour réaliser un point d’étape un an après son lancement. ACSS propose en effet un accompagnement et un appui aux structures de santé dans le cadre du traitement de leur incident ainsi qu’un portail de veille et d’échange. A ce jour, on relève environ 27 déclarations d’incidents par mois en moyenne, et une quarantaine de demandes d’accompagnement depuis octobre 2017. La déclaration de ces incidents est essentielle pour prévenir les risques encourus, et anticiper toute autre attaque pouvant avoir des répercussions sur des établissements similaires.
Les « serious game » sont aussi un moyen ludique de présenter aux utilisateurs les enjeux de la sécurité à travers des jeux de rôles, des vidéos les impliquant dans un cas concret. Plusieurs exemples ont été présentés tels Info-sentinel, the Fugle, etc.
Ce colloque était co-organisé par le secrétariat général des ministères sociaux, le Haut fonctionnaire de défense et de sécurité/Fonctionnaire de sécurité des systèmes d'information (HFDS/FSSI), la délégation à la stratégie des systèmes d’information de santé (DSSIS), la direction générale de l’offre de soins (DGOS), la direction générale de la cohésion sociale (DGCS) et l’ASIP Santé.
La journée a également été suivie sur Twitter avec le hashtag #SSIS18. Retrouvez tous les tweets de la journée rassemblés ici.