Afin d’assurer la protection des données de santé des patients et d'accompagner les professionnels de santé, l'ANS met à leur disposition un guide de bonnes pratiques. Ce mémento rassemble les règles d’hygiène informatique de base ne nécessitant pas de connaissance technique approfondie. Le document intègre également une annexe pour leurs prestataires informatiques, sous forme de liste avec les points de sécurité qui doivent être vérifiés. Cette liste peut être intégrée au contrat avec le prestataire ou faire l’objet d’une vérification point par point avec son prestataire. (en savoir +)
Un Club des RSSI des établissements sanitaires existe en Occitanie. Des échanges sont actuellement initiés pour identifier les missions qui sont actuellement portées par ce Club et les pistes pour développer les partenariats et actions communes. Par ailleurs, l’ambition régionale est de fédérer un réseau de compétences volontaires issues des établissements de la région en vue de favoriser l’entraide face à la survenance d’une crise touchant un établissement.
Une stratégie de sensibilisation régionale est actuellement en construction. Elle prendra en compte les grands enjeux pour impliquer, mobiliser et diffuser les bons messages, au bon moment, aux bonnes personnes. Des campagnes de sensibilisation peuvent s’appuyer sur différents médias et outils qui peuvent ensuite être adaptés au contexte spécifique des différents professionnels de santé (ESMS, libéraux, établissements sanitaires, …). En Occitanie, le GRADeS étudie actuellement plusieurs outils mutualisables qui ont déjà été mis en place dans d’autres régions et qui bénéficient de retours d’expériences favorables, on peut citer :
- Des jeux sérieux sur le thème de la cybersécurité ;
- Des plateformes de sensibilisation permettant de diffuser des vidéos couplées à de la formation en e-learning ;
- Des plateformes permettant de réaliser des campagnes de phishing pédagogiques. L'hameçonnage (ou phishing en anglais) est une technique frauduleuse destinée à leurrer l'internaute pour l'inciter à communiquer des données personnelles.
Le CERT Santé accompagne la résolution d’incidents de cybersécurité, il maintien et diffuse une veille, propose des actions de sensibilisation et des audits aux établissements de santé. (en savoir +)
Pour les établissements de santé, un autre accompagnement intéressant à bien identifier est le parcours cybersécurité proposé par l’ANSSI, dans le cadre du volet cyber de France Relance. Elle leur permet, après un diagnostic cyber, de se mettre à niveau, notamment au travers de la sensibilisation et de la formation, et de déployer un ensemble de mesures organisationnelles et techniques de cybersécurité. (en savoir +)
Dans le cadre du plan de renforcement de la cybersécurité et du Ségur du numérique en Santé, nous étudions actuellement en Occitanie avec le GRADeS, la possibilité de mettre à disposition des établissements sanitaires et médico-sociaux un ensemble d’outils et prestations mutualisés. Sont notamment à l’étude :
- Des prestations techniques permettant de réaliser un scan de vulnérabilité, un test d’intrusion, des audits cybersécurité, des exercices de cyber crise (prestations proposées via des marchés mutualisés et non pas directement réalisées par le GRADeS) ;
- Des prestations d’accompagnement en cas d’incident ou dans des opérations de remédiation (prestations proposées via des marchés mutualisés et non pas directement réalisées par le GRADeS) ;
- Une espace ressource pour identifier rapidement les ressources régionales ou nationales ;
- Un plan de sensibilisation, s’appuyant sur un outil de sensibilisation mutualisé ;
- Une contribution active au Club des RSSI régionaux pour favoriser les partages d’expérience et l’entraide.
Cette offre portée par le GRADeS sera progressivement mise en place sur 2022.
Pour inciter les structures publiques à se saisir des enjeux de cybersécurité, France Relance et l’ANSSII financent intégralement le pack initial, puis co-financent les packs relais du parcours de cybersécurité.
Il est possible de s’adresser au CERT-Santé pour bénéficier d’un audit de cybersurveillance (« test d’intrusion ») voir https://www.cyberveille-sante.gouv.fr/cybersurveillance
Les établissements de santé désigné OSE (Opérateur de Service Essentiel) ont dans ce cadre des obligations de sécurité supplémentaires et à ce titre bénéficient, selon conditions, de financements directs
Il suffit de se rendre sur le site https://www.ssi.gouv.fr/FranceRelance, et de suivre les modalités de candidature.
Le financement des prestations qui composent les Parcours de cybersécurité s’effectue au travers de subventions directes aux établissements de santé principaux de GHT. Dans tous les cas, un co-financement par le bénéficiaire est demandé. (en savoir +).
L’élaboration d’une politique de sécurité nécessite une approche globale, portant à la fois sur l’aspect technique, la sécurité informatique et la sécurité des réseaux mais également la sécurité physique, organisationnelle ainsi que les aspects liés à l’humain.
Cette conception est un travail d’équipe piloté la plupart du temps par le Responsable de la Sécurité du Système d’Information (RSSI) à l’aide de la direction et de chaque personne composant la gouvernance de la sécurité de l’information (Directeur du Système d’Information, Délégué à la Protection des données personnelles, …).
La politique générale de sécurité des systèmes d'information de santé (PGSSI-S) fixe les exigences de sécurité des services numériques en santé. Depuis 2012, la politique générale de sécurité des systèmes d’information de santé (PGSSI-S) rassemble des référentiels d’exigences, des guides de bonnes pratiques et propose un cadre commun de niveau de sécurité des SI du secteur de la santé. Pour les acteurs de la santé et du médico-social, elle permet de comprendre la réglementation qui leur incombe et d'être informé des bonnes pratiques.
En savoir +
Le test d’intrusion (Penetration testing) a pour objectif de déceler les failles existantes de votre système en simulant une cyber-attaque, pour infiltrer votre réseau de faille en faille, jusqu'à son cœur. Et ce jusqu’à la prise de contrôle de vos données sensibles et confidentielles, voire le contrôle du réseau et des appareils connectés.
A notre connaissance, il n’existe pas de « cahier des charges » universel, certains documents cadre peuvent néanmoins être intéressants à consulter :
- Mémento de cybersécurité à l’usage du directeur d’établissement de santé : (en savoir +).
Mémento de sécurité informatique pour les professionnels de santé en exercice libéral : (en savoir +).
Un contrat de maintenance cybersécurité a pour but de garantir via un prestataire externe un niveau constant de cybersécurité, un accompagnement pour tout type de menace de cyber attaque, et d'anticiper tous risques liés à une évolution de votre système d’exploitation. Il inclut également un bilan annuel de la politique de cybersécurité mise en place, et un accompagnement indispensable au bon fonctionnement de votre système de sauvegarde des données.
Oui, il est important de s'assurer que toutes les applications critiques nécessaires à l'activité de l'établissement soient disponibles, même en cas de sinistre ou de redémarrer l'activité le plus rapidement possible avec le minimum de perte de données. Le Plan de Continuité d’Activité est un des points essentiels de la politique de sécurité informatique.
Le test d’intrusion, comporte généralement 5 étapes décisives :
- Collecte de renseignements sur le système, ses applications et les employés.
- Analyse des failles du réseau (applications et système) sur la base des informations recueillies au cours de l'étape 1.
- Exploitation des failles ainsi décelées, franchissement des verrous du système de cybersécurité mis en place par la société, prise de contrôle des applications et/ou du système d’information.
- Implantation au sein du système, détection des failles pour prévenir toute action malveillante (espionnage, vol de données, sabotage…).
- Rapport final détaillant l'ensemble de ces vulnérabilités et présentation des solutions à mettre en œuvre pour sécuriser au mieux le Système d'Information par une politique pertinente de protection des données.
Il est très difficile de déceler une cyberattaque sans la présence d’éléments actifs de supervision ou de détection, et de mises en place de bonnes pratiques pour les utilisateurs du système d'information. Il n’y a en effet le plus souvent aucune trace détectable d'une cyberattaque. Les accompagnements proposés, la sensibilisation peut permettre de se prémunir de ces attaques.
Le Règlement Général sur la Protection des Données (RGPD) impose de mettre en place de mesures efficaces pour sécuriser les données personnelles traitées.
Les données personnelles sont protégées notamment par le droit à la vie privée (article 9 du Code civil), mais également la loi « informatique et libertés » de 1978, et la « Charte des droits fondamentaux de l’Union Européenne de 2000 ».
Dans tous les états membres de l’Union Européenne, il existe une autorité indépendante qui veille au respect de la vie privée dans le monde numérique. En France, il s’agit de la « CNIL » (en savoir +).
En cas de perte ou de vol de votre téléphone, il est impératif de joindre rapidement l’opérateur pour suspendre la ligne. Il est également nécessaire de déposer une plainte au commissariat ou en gendarmerie afin de bloquer l’utilisation du smartphone.
On ne peut bien réagir à un incident de sécurité (panne, catastrophe naturelle, malveillance) qu’en s’y étant préparé : mise en place d’un PRA (Plan de reprise d’activité), rédaction de procédures dégradées (conformité à l’indicateur prérequis P2.1 d’HOP’EN), et organisation d’exercices de gestion de crise cyber (voir NOTE D’INFORMATION N° SG/SHFDS/2021/253 du 14 décembre 2021 relative à la mise en œuvre d'exercices cyber (PCA NUM) dans les établissements de santé ou le guide de l’ANSSI « Organiser un exercice de gestion de crise cyber » https://www.ssi.gouv.fr/guide/organiser-un-exercice-de-gestion-de-crise…).
Dès détection de l’incident, évaluer le type d’incident, agir rapidement et de manière adapté à l’incident afin d’éviter que la situation ne s’aggrave (Guide de l’ANSSI Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? https://www.ssi.gouv.fr/guide/attaques-par-rancongiciels-tous-concernes-comment-les-anticiper-et-reagir-en-cas-dincident/), appliquer les différentes procédures prévues par le PRA.
Le plus rapidement possible (avant la fin de l’incident) faire une déclaration en ligne sur le portail des signalements (https://signalement.social-sante.gouv.fr choisir « Vous êtes un professionnel de santé » puis en bas de page « Cybersécurité ». Cette déclaration en ligne permet d’alerter la chaîne de réponse aux incidents SSI, localement l’ARS, nationalement le CERT-Santé (qui peut proposer son assistance) et si nécessaire jusqu’au haut fonctionnaire SSI (HFD-SSI) au ministère de la santé et l’ANSSI (agence nationale de sécurité de SI).
La déclaration en ligne est obligatoire pour les incidents graves de sécurité depuis 2017.
En cas de violation de données à caractère personnel, l’incident doit être signalé à la CNIL (l’indisponibilité de données est une violation de données).
Si l’établissement de santé est OSE, il doit faire une déclaration directement auprès de l’ANSSI.
Toutes les précautions utiles sont prises pour assurer la sécurité et la confidentialité de vos données personnelles, notamment pour empêcher leur perte, altération, destruction ou utilisation par des tiers non autorisés. A cet effet, conformément à l’article 35 du RGPD, une étude d’impact sur la vie privée (EIVP) a été réalisée pour garantir le respect de votre vie privée. En outre, l’Assurance Maladie exige de ses sous-traitants qu’ils mettent en place des mesures de sécurité techniques et organisationnelles appropriées afin de garantir la confidentialité des données personnelles et un niveau de sécurité adapté au risque.
Les données de Mon Espace Santé sont hébergées en France.
La fiabilité du système de sécurisation des données de santé personnelles contenues dans Mon espace santé s’appuie sur la mise en œuvre d’un ensemble de garanties techniques :
- la conception et l’hébergement en environnement certifié HDS (Hébergeurs de Données de Santé) ;
- l’accompagnement par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ;
- l’homologation RGS (Référentiel Général de Sécurité) du produit Mon espace santé.
L’objectif étant de définir des profils d’habilitation en séparant les tâches et les domaines de responsabilité, afin de limiter l’accès des utilisateurs aux seules données qui leur sont strictement nécessaires. Les procédures doivent être appliquées systématiquement à l’arrivée, au départ ou au changement d’affectation d’une personne. Des défaillances dans la gestion des habilitations peuvent induire de véritables vulnérabilités pour le SI tels que des incidents de sécurité et des violations de données :
- Consultations de données par une personne non autorisé
- Modification ou suppression de données par une personne qui ne devrait pas y avoir accès
- Installations de logiciels malveillants, arrêt de composants du système
En savoir plus : les exigences du PGSSIS en matière d’authentification des acteurs de santé
(PATRIOT ACT)
À partir du moment où vos données sont stockées à l'étranger, elles sont soumises à une autre réglementation concernant la protection des données. Le Patriot act permet aux autorités américaines d’avoir accès aux données européennes hébergées sur des infrastructures de cloud américaines, y compris si ces dernières sont localisées sur le territoire européen.
