Cybersécurité en santé: des sous, de l’infrastructure mais encore ?
publié le 1 juin 2022
Alors que la vague de cyber-attaques se poursuit, voire s’amplifie, contre les établissements de soins de santé, divers gouvernements annoncent vouloir libérer des budgets pour aider au renforcement des infrastructures. Sur le terrain, les avis vont dans le sens d’une sonnette d’alarme qui doit doit couvrir un champ nettement plus large que le renforcement des infrastructures ou que la mise à jour et patching des logiciels et matériels.
Exemple au Canada où une récente décision, budgétaire et infrastructurelle, du gouvernement de la province de Saskatchewan a été jugé insuffisant. Le gouvernement a certes décidé d’investir dans la mise à niveau de son propre système informatique Health (1): remplacement de serveurs et systèmes dans le data center, mise à niveau de l’OS Windows, renouvellement de matériels.
Mais les professionnels de la cybersécurité, eux, demandent une action plus large. Ils plaident pour une surveillance renforcée, une formation plus appuyée des employés ayant accès aux “systèmes contenant les données les plus vulnérables”, une implication des patients qui “devraient participer activement au maintien de la confidentialité, de l’intégrité et de la disponibilité de leurs données” et la création d’un comité consultatif sur les infrastructures essentielles et la cybersécurité.
Les mises en garde sont identiques en France, où la direction générale de l’offre de soins (DGOS) et un responsable de sécurité systèmes d’information des ministères sociaux ont récemment annoncé qu’un “référentiel unique des mesures de sécurité” était en cours de développement. Il reprendra “l’ensemble des mesures de sécurité des systèmes informatiques contenues dans les multiples référentiels applicables aux établissements de santé”. En cause, notamment, le constat qu’ »un pic d’incidents cyber et non cyber est lié à des fournisseurs d’infrastructures et d’applications en mode SaaS (software as a service) comme le dossier patient informatisé”. Face à ce qu’ils appellent une « forte dépendance » à ce type de risques, un recensement a été lancé dans tout le territoire français afin de répertorier les fournisseurs d’IaaS, PaaS et Saas (infrastructure, platform et software as a service) “afin d’identifier les dépendances ».
Un référentiel des « mesures prioritaires” a en outre été élaborer afin de « mettre en avant des mesures pour lesquelles les établissements ont un niveau de conformité plus significatif et qui évolue positivement à court terme ».
(1) Au Saskatchewan, le système eHealth est responsable de l’exploitation, de la maintenance et du renouvellement de tous les systèmes informatiques qui servent le secteur des soins de santé de la province, des diagnostics aux produits pharmaceutiques en passant par les dossiers des patients. Source: ICI Radio Canada Saskatchewan.
Sources: ICI Radio et TIC Santé