Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Enjeux cybersécurité


Les cyberattaques dans les services publics, comme les établissements de santé (hôpitaux, CMS, maisons de santé, etc.) ou d’éducation (écoles, collèges, lycées, universités, etc.), ont des conséquences majeures en raison de leur ampleur et de leur pouvoir de nuisance. Depuis deux ans, elles se sont multipliées et les signalements d’incidents de sécurité ont par exemple doublé en 2021 par rapport à 2019 et 2020 dans le secteur santé (CERT Santé). Pour réussir leur transformation digitale sans sacrifier la sécurité, ces organisations doivent mettre en place des plans de sécurité pour protéger la confidentialité, l'intégrité et la disponibilité des informations. Comment comprendre ces enjeux, anticiper et intégrer la cybersécurité dans son activité, de la prévention à la reprise d’activité ? Tour d'horizon des enjeux et solutions avec les experts de Cisco.

  • Accueil
  • Paroles de marque
  • A la une
  • Action publique : tous les acteurs mobilisés pour “cybersécuriser” la santé 

Cet article vous est proposé par Cisco

Action publique : tous les acteurs mobilisés pour “cybersécuriser” la santé 

Publié le 28/06/2022 • Par Auteur partenaire • dans : Contenu partenaire

Action publique : tous les acteurs mobilisés pour “cybersécuriser” la santé 
D.R.
Les pouvoirs publics ont pris conscience ces dernières années de la menace encourue par les établissements de santé en matière de cybersécurité. Si l’État investit massivement pour sécuriser les systèmes informatiques de santé, d’autres acteurs publics comme les Agences Régionales de Santé (ARS) et les instances européennes, veulent contribuer à faire de l’hôpital un espace à la fois connecté et sûr.

Selon l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé, le CERT Santé, les signalements d’incidents de sécurité par les établissements de santé ont doublé en 2021 par rapport à 2019 et 2020.
Dès avant la crise Covid, dans le cadre du plan Ma Santé 2022, l’État avait défini une feuille de route permettant « d’accélérer le virage du numérique » dans ce secteur. Celle-ci repose sur cinq orientations que sont :

Mais avec le développement de la télémédecine, favorisé par le remboursement des téléconsultations par l’Assurance Maladie depuis mars 2020, et la perspective d’une prise en charge forfaitaire de la télésurveillance, le système de santé devient plus ouvert, générateur de données, et donc plus fortement ciblé par les hackers. À ce jour, quatre référentiels ont été publiés par la Haute Autorité de Santé pour encadrer le suivi à distance de quatre pathologies chroniques.
Le Ministère des Solidarités et de la Santé (MSS) et l’Agence du Numérique en Santé ont également construit un référentiel opposable permettant de garantir une identité numérique unique pour les patients, élément-clé pour garantir une exploitation paisible de leurs données.

Un plan d’investissement historique pour sécuriser la transition

Face à ces enjeux, le gouvernement a annoncé en 2021 le déblocage de deux milliards d’euros dans le cadre Ségur du Numérique en santé pour accélérer la digitalisation au sein des établissements de santé.  L’enveloppe prévoit ainsi de dédier 350 millions au renforcement de la sécurité des systèmes d’information de ces structures. « Cisco est capable de proposer une réponse technologique globale à cette prise de conscience des instances gouvernementales et des directions d’établissement en matière de cybersécurité. » souligne Pierre Balloteau responsable cybersécurité secteur public chez Cisco.
Toutefois, ces aides n’affranchissent pas les établissements de prendre en charge leur sécurité. L’État a également annoncé que le financement d’un projet informatique serait désormais conditionné au fait qu’au moins 5 à 10 % du budget global soit consacré à sa sécurisation.

Des efforts de sensibilisation accrus

Fidèle au principe selon lequel la cybersécurité est d’abord une affaire de vigilance, les pouvoirs publics multiplient également les efforts pour acculturer le secteur médical aux problématiques de cybersécurité, avec par exemple la campagne #TousCybervigilants lancée en 2019. Les cursus généraux de formation des acteurs de la santé devraient également à l’avenir intégrer une sensibilisation aux bonnes pratiques « d’hygiène numérique ».

Un écosystème d’accompagnement dynamique

Le secteur bénéficie enfin du support d’organisations spécialisées.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) soutient les structures de santé victimes de cyberattaques. En 2021, elle s’est notamment mobilisée directement auprès de 29 établissements de santé publics, dont 18 opérateurs de services essentiels (OSE), 2 établissements privé, un  EPHAD, un groupement de Coopération Sanitaire, un prestataire de solutions métier pour les établissements médico-sociaux. Ces derniers ont parfois dû fonctionner en mode dégradé pendant plusieurs mois.
Le CERT Santé met à la disposition des établissements de santé un portail de cyberveille, mais également des fiches réflexes, des webinaires et d’autres ressources pour se prémunir ou limiter les effets des cyberattaques.
En cas de crise, ce service national aide les hôpitaux à identifier l’origine de la compromission et leur propose un plan de remédiation. « La clé pour accompagner un acteur de santé comme il se doit, c’est de bien comprendre son métier avant de recommander une solution de cybersécurité » précise Pierre Balloteau, responsable cybersécurité service public, Cisco.
Enfin, face à la prolifération de dispositifs médicaux ou biomédicaux connectés, l’État a développé un portail spécialement dédié aux industriels de la e-santé. Baptisée Convergence, cette plateforme contribue à ce que la cybersécurité soit prise en compte « by design », c’est-à-dire dès la conception du produit de santé.

Et au niveau européen ?

Au niveau européen, la directive NIS encadre depuis 2016 la sécurité des réseaux et systèmes d’information des activités dites “essentielles” des pays.

En 2021, 135 groupements hospitaliers français ont été classés OSE (Opérateur de Service Essentiel). Ce statut, introduit par la directive NIS, définit des règles de sécurité informatique très strictes pour ces acteurs. Les contrôles sont effectués par l’ANSSI et les établissements concernés peuvent s’appuyer sur les Agences Régionales de Santé (ARS) pour se mettre en conformité.
Sur la question de la data, la Commission européenne a publié en mai 2022 un projet de règlement pour l’espace européen des données de santé (European Health Data Space ou EHDS). La mise en place d’une démarche coordonnée est en marche, dans un contexte évolutif dans lequel acteurs locaux, nationaux et européens auront tous un rôle à jouer, avec l’appui de partenaires technologiques tels que Cisco.

Contenu proposé par Cisco

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement