La maîtrise du risque numérique est un axe majeur du Ségur de la santé. Le nouveau référentiel de la Haute Autorité de Santé en fait d’ailleurs mention.
Mais de quoi s’agit-il au juste lorsque l’on parle de la maîtrise du risque numérique et comment surtout avancer concrètement sur le sujet ?
Il est admis qu’un établissement commence à maîtriser le risque numérique, lorsque celui-ci :
- S’appuie sur un système d’information sécurisé où sont identifiés les traitements
- prévoit un plan d’action de continuité
- sensibilise l’ensemble des professionnels concernés par l’utilisation des outils informatique pour accroitre l’implication des acteurs et la vigilance collective.
- Met en place une veille de sécurité numérique, c’est-à-dire une prévention active de la sécurité des systèmes d’information.
Sécuriser son système d’information implique le démarrage des étapes suivantes :
Cartographier les traitements que mène votre établissement, car on ne peut bien protéger que ce qui est identifié.
Il s’agit tout d’abord d’inventorier les traitements que vous menez pour identifier de quoi est composé votre système d’information : comptabilité, paie, vidéoprotection, télémédecine, dossier médical, dossier administratif, facturation, planning des temps de travail, animation etc.
Il s’agit ensuite de vérifier et de préciser, pour chacun d’entre eux, leur légitimité (base légale), leurs objectifs et de savoir quelles catégories de personnes concernent-elles et quelles données sont gérées, mais aussi leur durée de conservation et bien entendu l’ensemble des mesures organisationnelles et techniques prises pour les protéger de consultations inopinées, de déformation ou pire de destruction (contrôle d’accès, protection anti-virus et anti-intrusion, sauvegarde, traçabilité, sécurité électrique, règles d’hygiène informatique divers
Sans oublier l’aspect contractuel avec les sous-traitants devant présenter des garanties suffisantes en termes de sécurité
La sécurité des systèmes d’information (SSI) s’impose comme une composante essentielle de la protection de des établissements dans ses intérêts propres et dans ceux liés à la santé des résidents.
Bien que cela soit difficile à évaluer, l’insécurité peut avoir des répercussions catastrophiques sur la prise en soins des résidents et sur la réputation de l’établissement.
Face aux risques encourus, et dans le contexte fonctionnel et organisationnel propre à l’EHPAD, il convient d’identifier ce qui doit être protégé, de quantifier l’enjeu correspondant, de formuler des objectifs de sécurité et d’identifier, arbitrer et mettre en ½uvre les parades adaptées au juste niveau de sécurité retenu.
Cela passe prioritairement par la définition et la mise en place au sein de l’EHPAD d’une « Politique de Sécurité des Systèmes d’Information » (PSSI).
La PSSI relève d’une vision stratégique de l’organisme et traduit un engagement fort de la direction générale. Elle s’inscrit nécessairement sur le long terme.
La PSSI est de mettre en ½uvre la stratégie de sécurité numérique en s’appuyant sur une connaissance actualisée des risques numériques qui pèsent sur les activités de l’organisation.
Elle se déclinera ensuite au niveau de l’organisme par un approfondissement du contexte (enjeux, menaces, besoins) et une explicitation des dispositions de mise en ½uvre, au travers d’un plan d’action SSI : comité de crise, PCA, PRA.
La sécurité informatique et la cyber vigilance n’est pas uniquement l’affaire de spécialistes ; elle concerne tous ceux qui participent à faire vivre le système d'information.
Il est nécessaire de prendre du temps avec votre personnel car la sécurité repose avant tout sur des mesures simples et l'application de précautions élémentaires que vous devez rédiger dans votre charte informatique et appliquer sans modération Fondées sur le bon sens, ces précautions élémentaires ne peuvent être négligées sans s’exposer à des risques, qui exploitent souvent des vulnérabilités connues.
Se protéger sur Internet n’est plus une option pour les établissements.
Identifier un mail frauduleux, élaborer des mots de passe robustes, mettre à jour vos logiciels, contrôler la diffusion de vos informations personnelles, respecter les usages, alerter en cas de problèmes, adopter des règles simples en cas de nomadisme numérique… mais aussi mieux comprendre les techniques utilisées par les cybercriminels et leurs objectifs, c’est agir pour être mieux protégé sur Internet…
Il est donc très important de prendre du temps pour développer uneposture collective contre les menaces potentielles.
Une veille de sécurité numérique préventive et active doit être mise en place.
Le CERT en France :
- centralise les demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations
- traite des alertes et réaction aux attaques informatiques
- met à jour une base de données des vulnérabilité
- Diffuse des informations sur les précautions à prendre pour minimiser les risques d’incident ou au pire leurs conséquences ;
Assure éventuellement un travail de coordination avec des tiers opérateurs
Ces veilles de sécurité doivent s'inscrire das la politique de sécurité du système d'information (PSSI) de l'établissement.
Nous voyons bien ici que la protection des données est un véritable métier ouvrant la nécessité d’une grande cohésion entre les directions d’établissement, les DPO, les prestataires informatiques et autres sous-traitant. Ce rôle de cohésion est notre c½ur de métier, nous pouvons nous aider à conduire ces changements dans la durée.
Vous souhaitez avoir plus d'informations ?
N'hésitez pas à nous contacter :
- email : guy.rodier@rtoconseil.fr, téléphone (06 87 76 60 60)
- ou sur l'onglet contact, nous vous rappellerons.