La révolution numérique progresse rapidement et le monde de la santé y participe dans une démarche d’excellence opérationnelle. L’utilisation des technologies de l’information et de la communication appliquées au domaine de la santé doit être abordée selon différents angles :
• technique, avec les outils permettant aux professionnels de santé de partager les informations de santé, de gérer l’ensemble de ces données, l’ensemble des systèmes d’aide au diagnostic, de délivrance et de contrôle thérapeutique ;
• prospectif, avec le développement de solutions de télémédecine/télésanté, que ce soit pour l’hospitalisation à domicile ou le suivi de pathologies chroniques ;
• économique, avec un objectif de rationalisation de coûts tout en augmentant la qualité des soins.
Sécurité, les patients en premier lieu
Pour tous ces motifs, personne ne saurait aujourd’hui remettre en cause l’intérêt des systèmes d’information dans le monde de la santé. Le travail des professionnels est facilité mais, surtout - et c’est l’objectif premier - une meilleure prise en charge des patients est possible. Dans cette révolution, doit être prise en compte l’arrivée massive des objets connectés, mais également toutes les applications dites de m-santé.
L’interconnectivité des technologies et la vulnérabilité
Citons le piratage d’un centre de radiothérapie ou le vol de dossiers médicaux associé à une demande de rançon. L’utilisation des ransomwares s’est diversifiée. Les cyberattaques par rançongiciel (la prise de contrôle du dispositif et le chiffrement des données par un tiers malintentionné, suivis d’une demande de paiement) ont particulièrement touché les établissements de santé.
Priorité aux enjeux
Les enjeux de la sécurité des systèmes d’information représentent un défi majeur. Il est nécessaire de bien comprendre que la sécurité des systèmes d’information n’est pas qu’une question technique ou qu’un sujet d’organisation et de communication. Elle nécessite un changement de vision. Il est essentiel de mettre en place une gouvernance de la sécurité adaptée à la culture de l’organisation, capable de fédérer l’ensemble des actions. La sécurité ne peut pas être considérée comme une pratique à part. La stratégie de l’organisation doit être un appui et une facilitation d’intégration.
La gestion des risques liés aux systèmes d’information, la sécurité de ces mêmes systèmes et la confiance numérique sont étroitement liées.
La première est une démarche pour appréhender les risques auxquels l’organisation est exposée via ses systèmes d’information numériques.
La deuxième se rapproche des moyens mis en œuvre pour défendre le patrimoine informationnel de l’organisation.
La dernière correspond à une démarche qui doit permettre à l’organisation de tirer parti de la chaîne de valeur liée aux dispositifs mise en place pour assurer la confiance.
Aujourd’hui, cela est encore trop vite instrumentalisé, considérant que cela n’est qu’un problème technique et ramené aux seuls dispositifs de sécurité.
RSSI, l’homme de l’art et le coordinateur
Le RSSI (Responsable de la sécurité des systèmes d’information) doit bénéficier d’une marge de manœuvre qui dépend de son positionnement hiérarchique. Un organisme tirera avantage de rapprocher le RSSI du pouvoir décisionnel et au mieux de le voir rattaché à la direction générale. Cette organisation est décrite dans la déclinaison sectorielle de la Politique de sécurité des systèmes d’information (PSSI) de l’État. Au plan organisationnel, il est demandé que le RSSI soit, dans la mesure du possible rattaché au plus proche de la direction, mais dans tous les cas, qu’il puisse avoir, a minima, des points de situations avec sa direction.
Un cadre de gestion
L’objectif est d’atteindre un niveau de maturité en sécurité de l’information convenable pour une organisation. Les processus de sécurité de l’information doivent être normalisés, intégrés, documentés et implémentés conformément aux bonnes pratiques de sécurité de l’information. Pour ce faire, il convient pour un établissement d’adopter une politique et un cadre de gestion, désigner les principaux intervenants en sécurité de l’information, identifier les actifs critiques, mettre en place les mesures de sécurité associées, définir et mettre en œuvre les processus de gestion des risques, de gestion des incidents et de gestion des droits d’accès, élaborer un plan de formation et de sensibilisation.
Gouvernance : qui, pourquoi, comment
La gouvernance de la sécurité de l’information implique des décisions stratégiques, qui relèvent bien de l’autorité de la direction. Le RSSI, quant a lui, doit renforcer – ou inculquer – la culture de la sécurité avec le concours de l’ensemble des responsables des directions fonctionnelles, techniques et les parties prenantes de l’organisation (utilisateurs clés, décideurs, DSI, MOA, MOE, etc.).
Expliquer
La gouvernance de la sécurité des systèmes d’information permet de démontrer qu’existe un véritable support de création de valeur et non une simple contrainte. Elle a pour objectif de satisfaire les exigences d’une direction. Elle permet d’expliquer aux acteurs les enjeux de la sécurité pour une organisation, concilier les visions, réunir les acteurs autour d’un minimum d’échanges sur les risques concernant les systèmes d’information numériques, harmoniser les actions, évaluer et contrôler les actions réalisées. Elle est le prérequis indispensable pour assurer une sécurité efficiente des systèmes d’information. Ainsi pourra-t-on minimiser le risque vital, économique et légal.
Série sous la direction de Jean-Pierre Blum.
Transition de genre : la Cpam du Bas-Rhin devant la justice
Plus de 3 700 décès en France liés à la chaleur en 2024, un bilan moins lourd que les deux étés précédents
Affaire Le Scouarnec : l'Ordre des médecins accusé une fois de plus de corporatisme
Procès Le Scouarnec : la Ciivise appelle à mettre fin aux « silences » qui permettent les crimes