logo agaetislogo agaetis
Accueil > Idées > La cybersécurité et les établissements de santé
28/10/2020| Célyneread_time 2 min.

La cybersécurité et les établissements de santé

Les questions autour de la sécurité des systèmes d’information ont toujours été importantes mais depuis la crise sanitaire du COVID-19, elles prennent une tout autre dimension. 

Les établissements de santé sont en première ligne face aux cybers attaques. Mais pour quelles raisons et quelles sont les solutions qu’ils peuvent mettre en place pour assurer la pérennité de leur SI et de leur activité ? Cédric Lamouche, consultant en cyber défense chez Agaetis répond aux questions que vous pouvez vous poser.

Pour quelles raisons les établissements de santé se retrouvent-ils obligés de faire évoluer leur SI ? Quels sont les buts de toutes ces évolutions ? 

Il y a plusieurs raisons à une évolution du SI, les nouvelles réglementations sur la protection des données, la sécurisation des données de santé, des usages de plus en plus informatisés, des nouvelles technologies intégrées dans le traitement et la prise en charge des patients. Le SI doit perpétuellement évoluer afin de s’assurer d’être en capacité de traiter les nouvelles informations tout en gardant des pré requis au niveau sécurité.

Quel est le rôle du SI pour un établissement de santé ? 

Le SI doit permettre d’assurer l’activité de l’établissement pour cela il doit répondre à des exigences de sécurité, de disponibilité et de traçabilité.

Pourquoi les “cyber malveillants” attaquent-ils les SI des établissements de santé ? 

Les SI de santé sont composés de vastes infrastructures avec de multiples accès où la sécurité est un réel enjeu mais avec un périmètre difficile à couvrir. Ces attaques ont souvent un but lucratif et sont loin des préoccupations éthique. 

La crise sanitaire du Covid a forcé certaines structures à ouvrir leur SI pour permettre une continuité d’activité. Elles se sont exposées au monde extérieur avec une politique de sécurité non adaptée pour se prémunir de cyber attaque. Ces structures deviennent alors des cibles fragiles et parfaites pour mener ce genre d’actions en vue de compromettre les infrastructures et de rendre inopérant le SI.

Ces deux derniers mois, une cyberattaque visant les systèmes informatiques du secteur de la santé a eu lieu tous les trois jours dans le monde.

Europe 1 (2020, 26 mai).

Une fois le système attaqué, sur quoi l’établissement de santé peut-il compter pour s’en sortir ? 

Une politique de sauvegarde est essentielle pour retrouver rapidement son SI. Cette politique implique une prise en charge complète du SI avec des exigences de stockage afin d’assurer la disponibilité du support de sauvegarde et de son exploitabilité.

Quel est le rôle d’une PSSI (Politique de Sécurité des Systèmes d’Information) et comment se compose-t-elle ? 

Une PSSI régit les exigences de sécurité pour le SI. Elle doit couvrir l’ensemble du SI et définir des mesures de sécurité pour protéger les éléments, les actifs les plus importants pour l’établissement. Elle doit être unique et correspondre aux attentes en sécurité de l’établissement, elle est construite autour d’une analyse des risques qui définit les exigences à mettre en oeuvre pour assurer une gestion des cyber risques.

Quels sont les autres solutions à mettre en place pour protéger son SI ? 

Une fois la PSSI définie avec des exigences formulées il est nécessaire de mettre en place des solutions techniques pour couvrir les exigences et de pouvoir mesurer les niveaux de sécurité suite aux incidents et changements sur le SI.

Un plan de défense est aujourd’hui nécessaire pour assurer un bon niveau de résilience. Il doit être capable de répondre aux besoins de surveillance, de détections et de gestion des incidents. Il se construit pas à pas en fonction des priorités définies dans l’analyse de risques du SI.

Aujourd’hui, Agaetis accompagne ses clients dans une stratégie de défense de son SI. Nous nous appuyons sur des méthodologies reconnues et des approches de défense basées sur des scénarios d’attaques réelles. Notre savoir faire s’adapte aussi bien aux petites, qu’aux grandes structures en prenant en compte différents objectifs :  financiers, humains, organisationnels. 

Nos adresses

Clermont-Ferrand
9, allée Evariste Galois
63170 Aubière
Tél. 04 73 35 47 51
Paris
21, rue de la banque
75002 Paris
Tél. 01 44 63 53 13
Lyon
52, Quai Rambaud
69002 Lyon