Pouvoir s’appuyer à tout moment sur une data fiable et sécurisée. C’est le challenge que doivent relever les établissements de santé.
Contribuant à la cybersécurité, l’hébergement des données en externe le leur permet.
Explications de Fabien Trouvé, RSSI du Groupe SIGMA.
Fabien Trouvé : En profondes mutations (vieillissement de la population, déserts médicaux…), l’univers de la santé comme d’autres secteurs vit aussi une transformation digitale sans précédent. Les objets connectés s’y multiplient et génèrent des flux importants de données. Poussé par les instances nationales, le secteur de la santé s’ouvre également à l’extérieur sous l’effet notamment de la digitalisation. En parallèle, la cybersécurité n’avance pas au même rythme.
F. T. : Depuis le 1er octobre 2017, 693 incidents de sécurité ont été déclarés par les structures de santé*, dont 43 % d’origine malveillante. Ces chiffres ne sont guère étonnants puisque les données de santé figurent parmi celles, qui peuvent atteindre la plus forte valeur financière.
F. T. : Trois enjeux prioritaires se posent à eux. Le premier est la disponibilité du SI, en particulier pour les applications métiers critiques. Lorsqu’une urgence est à traiter dans le secteur de la santé, la donnée doit être immédiatement disponible pour tous les professionnels intervenant. Le 2nd enjeu réside dans l’intégrité des données : il est essentiel qu’elles soient fiables tout au long de leur cycle de vie. La confidentialité des données, enfin, constitue le dernier enjeu. Les acteurs de la prise en charge du patient doivent pouvoir ouvrir ces données et les partager en toute sécurité. En cas de faille entraînant par exemple leur divulgation, les professionnels de santé voient leur responsabilité engagée.
F. T. : Faire héberger ses données de santé participe en effet pleinement à la stratégie de cyberdéfense, déployée par les établissements de santé. En s’appuyant sur un hébergeur certifié HDS, dont c’est le coeur de métier, ils bénéficient d’une garantie de niveau de service. Outre son expertise professionnelle, ils accèdent également à un spectre élargi de technologies pour sécuriser leur SI. Ces dernières années, nous avons nous-mêmes renforcé notre offre de solutions en cybersécurité pour toujours mieux servir nos clients.
F. T. : Hébergeurs agréés de santé depuis 2012, certifiés HDS depuis le 20 mai 2019, nous permettons aux DSI de tracer les opérations d’administration grâce à diverses technologies d’enregistrement. Nous pouvons déterminer par exemple si un incident provient ou non d’un acte d’administration du SI. Outre ce que nous mettons en place en termes d’infrastructures réseaux, nous avons également investi dans les dispositifs de continuité et développé des mesures de sécurité face aux attaques. Mais notre plus-value réside également dans l’humain. Pour répondre aux besoins de nos clients, dans le cadre de leur transformation digitale, nous favorisons le croisement des compétences. Avec une capacité à réunir expertises techniques et expertises métiers autour d’un même projet. Ces approches collaboratives, intégrant la réalité terrain, sont souvent des plus fructueuses !
F. T. : Il est important de travailler sur les aspects stratégiques que sont l’authentification forte des accès administrateurs, la traçabilité des actions d’administration, la sécurisation de la liaison réseau ou encore celle de la liaison Internet (étanchéité, WAF, système de détection d’intrusion, etc.). En complément des solutions techniques, une véritable démarche opérationnelle de Détection / Réaction / Sensibilisation est également nécessaire via le déploiement d’un dispositif dédié à la sécurité (SOC) et des outils associés. La certification HDS apporte l’obligation au client de formaliser ses exigences en termes de disponibilité, de capacité et de continuité d’activité, et à l’hébergeur d’y répondre. Ce dernier point permet a minima que les professionnels de Santé se posent les questions prépondérantes de leur SI. C’est dans cette dynamique constructive que le groupe SIGMA s’inscrit. En dialogue avec les structures de santé, nous leur apportons ce socle de sécurité de base et obligatoire.
