Le mémento de cybersécurité « connaitre vos risques pour mieux y faire face » est principalement destiné aux Directions (Directeur, Président de la CME, Directeur des soins, DRH, …) des établissements de santé, publics comme privés ; mais il peut être lu par l’ensemble des professionnels de santé et des cadres de ces établissements.
A nos yeux, chez OM Conseil, ce mémento peut être lu par l’ensemble des professionnels et ce, quelque soit le secteur d’activité. Les principes qui y sont exposés sont universels et les recommandations sont valables quelque soit votre produit ou votre service. Et comme nous aimons le dire à nos clients qui ne sont pas dans la santé : quand vous savez faire de l’informatique de santé vous savez tout faire !
Dans un environnement où la digitalisation (ou numérisation) s’accélère et devient omniprésente, de nouveaux risques apparaissent. Il est donc essentiel d’être en situation de pouvoir les comprendre, les évaluer afin de mieux les maîtriser. Les méthodes et outils de la sécurité numérique ne manquent pas, mais ils perdent toute efficacité s’ils ne sont pas soutenus en permanence. Cela relève notamment du management des établissements de santé (directeur, directeur des soins, directeur des ressources humaines, président de commission médicale d’établissement) de les promouvoir et d’en accompagner la mise en œuvre.
Nous vous proposons une rapide présentation des pépites découvertes dans ce précieux document (il y en a sans doute d’autres mais nous avons fait une sélection de nos préférées) :
Qu’est-ce qu’un incident de sécurité informatique ?
Le guide de la DGOS nous présente l’incident de sécurité informatique d’une manière très simple et logique : Les dangers d’un coté qui un jour ou l’autre trouveront une vulnérabilité, ce qui crée une menace qui pourra être malencontreusement activée par l’événement redouté et ainsi aboutir à l’incident de sécurité.
Soutenir la politique de sécurité du SI est une exigence
La politique de sécurité ne se limite pas à la protection contre la perte, l’indisponibilité ou la divulgation de données personnelles médicales ou administratives, elle permet de créer un espace de confiance entre les professionnels et les patients et elle est un levier essentiel de l’amélioration de la qualité des soins. Il est donc de la responsabilité du management des établissements de santé (directeur, directeur des soins, directeur des ressources humaines, présidents des commissions médicales d’établissements) de la promouvoir.
Les différents types de risques liés au SI
L’analyse des situations à risques est indispensable pour évaluer les impacts potentiels. Une analyse de ces risques permet de construire les solutions visant à en réduire le plus possible les impacts. Les impacts des incidents de sécurité doivent être mesurés dans toutes leurs composantes.
Tout l’enjeu d’une démarche de gestion des risques est de les traiter, c’est‐à‐dire, de les réduire, les éviter, les partager ou les accepter. Pour cela il convient d’agir simultanément sur 4 niveaux :
- Connaître les dangers auxquels on est exposé ;
- Comprendre ses principales vulnérabilités et chercher à les réduire ;
- Essayer de détecter au plus tôt toute situation dangereuse ;
- S’organiser pour gérer l’incident de sécurité.
La cartographie des risques est la pierre angulaire de tout plan d’action sécurité du système d’information. Elle vise à définir toutes les actions nécessaires pour parvenir à un niveau de risque résiduel qui puisse être accepté en toute connaissance de cause, au bon niveau de décision.
Elle s’applique toujours sur un périmètre d’activité parfaitement défini.
Tout établissement de santé doit disposer d’une cartographie des risques liés à son système d’information (cf. les prérequis du programme Hôpital Numérique).
Selon les éditeurs et bureaux d’étude spécialisés, la France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Le nombre de cyber‐attaques recensées aurait progressé de 38% dans le monde en 2015, et 51% en France.
Il ne faut donc plus espérer de ne pas être la cible d’une attaque mais plutôt vous préparer à ce que ça vous arrive !
Besoin d’un accompagnement ?
Le RGPD (GDPR) c’est pour le 25 mai
Le nouveau règlement européen définit, dans son article 4, ce que sont les «données à caractère personnel concernant la santé » : il s’agit de « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Il précise qu’elles devraient comprendre « toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro ».
Il définit aussi les « données génétiques », « relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé », et les données biométriques, « résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique ».
Besoin d’aide pour vous mettre en conformité avec le GDPR ?
Les données de santé sont, par essence, des données dites « sensibles »
Et pour les protéger la réforme de la protection des données poursuit 3 objectifs :
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous‐traitants) ;
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.