La tendance que nous observions depuis de nombreux mois ne se dément pas, les établissements de santé sont de plus en plus visés par les attaques informatiques.
Un nouveau pas vient d’être franchi, mais cette fois à l’initiative du ministère des affaires sociales et de la santé.
En effet, depuis le 14 octobre 2016 une nouvelle circulaire (INSTRUCTION N° SG/DSSIS/2016/309) provenant du ministère des affaires sociales et santé vient de voir le jour. Il sera maintenant obligatoire de mettre en place un plan d’action SSI (« Sécurité des Systèmes d’Informations ») au sein des établissements de santé.
En 2015, le nombre de cyber-attaques a progressé de 51 % en France et sur le deuxième trimestre 2016, les cybercriminels ont particulièrement concentré leurs efforts sur le secteur de la santé. Dans cette période, près de 90 % des attaques de type « ransomware » ont visé les établissements de santé.
Cette circulaire révèle également, à titre d’exemple, qu’une intrusion avec mise hors-service des SI d’une ARS pendant 24 heures engendre des coûts d’intervention et de perte de productivité d’un montant estimé à 50 000€.
Un ransomware ou cryptovirus en EHPAD a également généré un coût de 50 000€ en dépenses directes et indirectes. Dans ce contexte, la réalisation d’un audit de sécurité nous apparaît comme un choix judicieux dans notre démarche de sécurisation des SIH.
Le plan d’action SSI vise ainsi à augmenter de manière considérable la sécurité des systèmes d’informations au sein de votre établissement. Tout comme un Schéma Directeur, le plan d’action SSI va devenir un fil conducteur visant à définir une stratégie de gouvernance de la sécurité informatique au cœur de votre SIH.
Le plan d’action se présente sous la forme d’un calendrier dont la répartition des mesures est classifiée par niveau de priorité :
Mesure de n°1 : à mettre en place dans les 6 mois
Gestion des ressources humaines [RH]
La fonction sécurité des systèmes d’information est identifiée et prise en charge parla direction. Cette fonction est éventuellement mutualisée entre plusieurs entités, notamment dans le cadre d’un GHT
Mise en œuvre d’une charte utilisateur annexée au règlement intérieur de la structure
Organisation [ORG]
Réalisation et tenue à jour d’une cartographie / d’un inventaire des ressources informatiques sous la responsabilité de la structure (postes de travail, serveurs, équipements actifs, équipements biomédicaux…) s’appuyant sur un outillage adapté
Établissement d’une procédure de signalement et de traitement des incidents de sécurité SI au sein de la structure en vue de la mise en œuvre de l’obligation de signalement des incidents graves de sécurité des systèmes d’information en application de l’article L.1111-8-2 du code de la santé publique.
Gestion du poste de travail [PC]
Équipement de tous les postes de travail par un antivirus, les postes nomades étant
équipés d’un pare-feu local
Gestion des comptes utilisateurs [USER]
Sécurisation des comptes par mots de passe robustes et renouvelés périodiquement
Gestion des sauvegardes [SAUV]
Mise en œuvre de sauvegardes régulièrement testées
Mesure de n°2 : à mettre en place dans les 12 mois
Organisation [ORG]
Établissement d’une procédure formelle d’appréciation du risque avant toute mise en production d’un SI (homologation)
Gestion du poste de travail [PC]
Versions maintenues des systèmes d’exploitation
Organisation du maintien en conditions de sécurité de l’ensemble des systèmes numériques (postes de travail, serveurs, équipements actifs, équipements biomédicaux…) notamment en appliquant les mises à jour proposées par les éditeurs et constructeurs
Gestion des réseaux [RES]
Identification et protection de tous les accès à internet et de télémaintenance
Sécurisation du wifi, séparation des réseaux professionnels et des réseaux invités
Gestion des comptes utilisateurs [USER]
Mise en œuvre d’une gestion des comptes utilisateurs avec profils et droits différentiés selon le principe du moindre privilège (utilisateur, prestataire, administrateur…)
Gestion des ressources humaines [RH]
Identification des actions de formation SSI et inscription d’au moins une action de sensibilisation à la SSI dans le plan de formation annuel des personnels de la structure
Mesure de n°3 : à mettre en place dans les 18 mois
Gestion des réseaux [RES]
Cloisonnement du réseau de la structure par grandes familles d’usage (administration, paie, plateau technique…) et par niveaux de sécurité homogène
Définition des modalités d’enregistrement et d’analyse des traces d’accès
Gestion des contrats de sous-traitance SI [PRESTA]
Encadrement contractuel de tous les accès par des prestataires au réseau de la structure et vérification des clauses de réversibilité
Organisation [ORG]
Réalisation et tenue à jour d’une analyse de risque SI de la structure; définition et mise en œuvre du plan d’action associé, ces 2 éléments étant validés par les instances de gouvernance de la structure
Engagement de la direction sur la réduction d’un nombre limité de risques chaque année
Les nouvelles mesures ne relèvent pas seulement d’aspects techniques, mais également de votre organisation interne et de la mise en place de bonnes pratiques au sein de votre établissement.
GPLExpert vous accompagne de A à Z dans la mise en place du Plan d’Actions SSI :
- Audit technique et organisationnel de votre SIH
- Mise en place du calendrier en fonction du niveau de priorité des mesures et de la maturité de votre SIH
- Mise en place du plan d’actions
- Accompagnement au changement
