La cybersécurité et la protection des données, un enjeu majeur pour les Etablissements Publics de Santé aujourd’hui et demain

Les enjeux de systèmes d’information au sens large n’épargnent pas le secteur de la santé. La vaste cyberattaque liée au virus "Wannacry" qui a déstabilisé en mai 2017 notamment un grand nombre d’hôpitaux britanniques, a permis de montrer que le sujet des risques de cybersécurité était plus que jamais un enjeu pour les établissements publics de santé.

Les systèmes d’information sont au cœur du fonctionnement des hôpitaux publics, qu’ils soient relatifs au dossier patient, aux équipements médicaux informatisés utilisés dans la dispensation des soins (scanners, radios, pacemakers…) ou encore à la gestion des flux financiers. Certaines évolutions récentes démontrent l’implication de plus en plus importante des outils informatiques dans le recueil et le traitement des données patient (paiement par Internet des factures patient, prise de rendez-vous par Internet, centre de données unique dans le cadre des GHT…).

Si le secteur de la santé français n’est pas le seul acteur de l’environnement public à pouvoir être la cible d’attaques informatiques, la nature hautement confidentielle des données patient ainsi que les risques liés à la fiabilité des soins dispensés rendent majeurs, selon nous, les enjeux de sécurisation des données et des flux.

Or la sensibilisation des établissements publics de santé à ces risques semble à la fois récente et insuffisante au regard des moyen alloué à l’informatique (un peu moins de 2% en moyenne selon l’Atlas des SIH 2017). La réforme européenne de protection de données personnelles (RGPD) applicable en mai 2018 (voir sur le site de la CNIL l’article « Règlement européen sur la protection des données : ce qui change pour les professionnels ») instaurant des sanctions financières plus sévères en cas d’infractions devrait inciter les acteurs du secteur hospitalier à renforcer leur analyse des risques et à mettre en œuvre des mécanismes permettant de renforcer la sécurité de leur système d’information.

Cette analyse devra identifier les zones de fragilité des systèmes d’information notamment par exemple au travers de tests d’intrusion afin d’éviter les risques de piratage externe mais également par une analyse des déficiences de contrôle interne (partage des mots de passe, habilitations inadaptées…). Les établissements publics de santé pourront alors mettre en œuvre les solutions les plus adaptées à la sécurisation de leurs données.

À ce jour, aucune des déficiences connues récemment relevées en matière de systèmes d’information n’a eu de conséquence majeure. Cependant, les exemples récents de défaillance des systèmes d’information, ou d’objets connectés (pacemaker par exemple),  au sein d’établissements publics ayant déjà alloué des moyens importants à la maîtrise de ces risques font dire à notre expert en charge des questions et thématiques de cybersécurité David Luponis, « que les établissements publics de santé vont devoir consentir des investissements conséquents, s’ils veulent pérenniser les conditions de sécurité de leur mission de Service Public ».

Les spécialistes de Mazars sont disponibles pour vous accompagner

Découvrez nos offres :

Audit et mise en conformité GDPR

Cybersécurité