Début

Sécurité des SIH : « la blockchain, un outil stratégique pour la cybersécurité de demain » (mc2i)

Paris - Publié le vendredi 17 juin 2022 à 14 h 13 - n° 14695 « Une autre piste est en train d’émerger pour renforcer la sécurité de nos systèmes : la blockchain. (…) Cette technologie en plein développement [pourrait s’imposer] comme un outil stratégique pour la cybersécurité de demain, notamment en matière de santé. » C’est en partie la vision partagée par Margot DufazaMargot DufazaMargot Dufaza, project manager - mission UnicancerUnicancerUnicancer au sein du cabinet de conseil en transformation numérique mc2imc2imc2i, et Cédric AubouyCédric AubouyCédric Aubouy, consultant et manager SISISystème d’Information de santé et de protection sociale au sein de la même société.

Dans une tribune relayée en exclusivité sur H&TI, les deux experts reviennent sur les enjeux de la cybersécurité dans les établissements de santé :
• I- retour sur les propositions du Ségur en matière de cybersécurité ;
> 1. La prise en compte du risque numérique pour renforcer la sécurité ;
> 2. La création d’indicateurs de suivi sur la menace cyber ;
• II- premiers constats un an après le Plan de renforcement 2021 de cybersécurité en santé ;
> 1. La perception des français en matière de cybersécurité ;
> 2. La poursuite des travaux d’amélioration de la sécurité des SI.


Introduction :

« En février 2022, l’Agence du numérique en santé (ANS)Agence du numérique en santé (ex Asip Santé)Agence du numérique en santé (ex Asip Santé) déclarait que les incidents de sécurité informatique avaient doublé en 2021 par rapport à 2020, soit plus de 730 déclarations d’incidents enregistrées contre 369 en 2020. Début mars 2022, l’Assurance maladieCaisse nationale d’assurance maladie déclare quant à elle, avoir subi une cyberattaque, les hackeurs avaient alors réussi à se connecter à des comptes Amelipro et à récupérer les données de près de 500 000 assurés.

Aujourd’hui, alors que les cyberattaques se multiplient dans les établissements de santé, qu’ils soient publics ou privés, la question se pose de savoir comment le gouvernement et les établissements de santé se structurent pour lutter contre elles, et quels sont les moyens engagés pour y faire face. »
De gauche à droite : Margot Dufaza et Cédric Aubouy - © D.R.
De gauche à droite : Margot Dufaza et Cédric Aubouy - © D.R.

TRIBUNE


I- Retour sur les propositions du Ségur en matière de cybersécurité

En février 2021, alors que le Président de la RépubliqueEmmanuel Macron faisait le constat de l’augmentation des cyberattaques, un plan d’accélération de la stratégie nationale en matière de cybersécurité était présenté. Celui-ci visait à structurer l’écosystème cyber et à le rendre plus robuste : 1 milliard d’euros devaient être investis pour pouvoir mener à bien cette stratégie.

Le Président avait annoncé : « Les structures de santé seront invitées à consacrer systématiquement 5 à 10 % du budget à la cybersécurité, notamment au maintien en condition de sécurité des SI dans la durée. »

1. La prise en compte du risque numérique pour renforcer la sécurité

Bien que l’essor du numérique en santé représente un véritable atout dans la stratégie de modernisation de notre système de santé, celui-ci s’accompagne inéluctablement d’une augmentation des cyber-risques. Il est donc essentiel de prendre conscience de ce risque et d’y être formé pour y répondre le plus rapidement et efficacement possible. La cybersécurité devient un enjeu de priorité nationale.

En ce sens, le Plan de renforcement 2021 de la cybersécurité en santé prévoyait entre autres au niveau des structures de santé :

  • la prise en compte du risque cyber dans la politique de maîtrise des risques de l’établissement ;
  • l’existence ou la désignation d’un responsable de la sécurité des SI (RSSI) ou correspondant SSI et d’un délégué à la protection des données (DPD) ;
  • l’allocation de 5 à 10 % du budget informatique à la cybersécurité ;
  • la réalisation d’audits biennaux réalisés par l’Agence nationale de la sécurité des systèmes d’information (Anssi)Agence nationale de la sécurité des systèmes d’information et le CERT Santé ;
  • la sensibilisation de l’ensemble des personnels ;
  • la préparation à faire face à des incidents numériques et cyberattaques ;
  • la déclaration des incidents aux travers des portails de signalement mis en place :

2. La création d’indicateurs de suivi sur la menace cyber

Pour mettre en œuvre cette stratégie de renfort de la sécurité numérique, le ministère en charge de la SantéMinistère des Solidarités et de la Santé s’appuie sur l’ANS et plus  particulièrement sur le CERT Santé (ex-Cellule accompagnement cybersécurité des structures de santé (Acss)).

Le CERT Santé a pour missions :

  • d’enregistrer les signalements des incidents de sécurité des SI ;
  • d’analyser et qualifier les signalements notamment en étant proactif auprès des éditeurs de SI ;
  • d’alerter les autorités compétentes ;
  • d’animer la communauté cyberveille santé ;
  • d’apporter son appui pour répondre aux incidents ;
  • d’animer un webinaire trimestriel sur la cybersécurité.

Le CERT Santé est également chargé de produire chaque année un rapport public de son activité et communique chaque mois aux autorités ministérielles un indicateur sur l’état de la menace cyber. Il est aujourd’hui reconnu comme un expert national du dispositif de lutte contre les cyberattaques, notamment par l’Anssi et l’InterCERT-FR.

Pour rappel, l’Anssi assure la mission d’autorité nationale en matière de défense et sécurité des SI. L’InterCERT-FR a pour objectif de renforcer la capacité des Computer Emergency Response Team (CERT) / Computer Security Incident Response Team (CSIRT) membres à détecter et à traiter les incidents de sécurité.

Aussi, si les cyberattaques augmentent en pourcentage c’est parce qu’elles sont mieux détectées par les différentes structures mises en place, que les actions portées notamment par le CERT Santé sont en train de montrer leurs premiers résultats. 

II- Premiers constats un an après le Plan de renforcement 2021 de cybersécurité en santé 

1. La perception des français en matière de cybersécurité

Une enquête Ifop pour Galeon rapporte que 9 français sur 10 veulent un renforcement de la cybersécurité. Cette enquête porte sur la perception des français et leurs inquiétudes quant à la confidentialité de leurs données personnelles.

L’enquête met notamment en avant que dans la perspective d’un piratage, les craintes liées aux données se portent sur :

  • le vol de données bancaires, à hauteur de 88 % ;
  • l’usurpation d’identité, à hauteur de 86 % ;
  • le vol de données médicales, à hauteur de 59 % ;
  • l’accès à l’historique de navigation, à hauteur de 51 % ;

Aussi, sur l’échantillon de 1 005 personnes questionnées, l’enquête fait un zoom sur le profil des français inquiets du vol de leurs données médicales lors d’un piratage. Le niveau de confiance des français vis-à-vis des différents acteurs pour gérer leurs données personnelles est également mis en avant : il s’élève à 79 % pour les hôpitaux et autres établissements de santé, 78 % pour la Sécurité Sociale et autres organismes sociaux, contre 73 % pour les banques ou encore 55 % pour les collectivités locales.

Enfin, l’étude met en avant que les 18 à 24 ans ont majoritairement (à hauteur de 88 %) confiance dans les hôpitaux et autres établissements de santé pour gérer leurs données personnelles.

On constate ainsi que malgré l’augmentation notable des cyberattaques depuis quelques années et la nécessité de renforcer la sécurité de nos SI, la confiance des français semble quant à elle s’améliorer depuis 2019.

Cependant, on peut se poser la question de la bonne visibilité des français quant à la réalité des attaques et du niveau de risque réel auquel les SI sont exposés. En effet, l’enquête révèle que 83 % des français sous-estiment le nombre de cyberattaques contre les établissements de santé qui ont eu lieu en 2021 : en moyenne 573 attaques estimées contre 730 attaques réelles.

2. La poursuite des travaux d’amélioration de la sécurité des SI

Publié en avril 2022, le référentiel sur l’identification électronique se positionne comme un grand pas pour la sécurité et les usages du numérique en santé.

En effet, le processus d’identification à un service et notamment à un service de santé est essentiel pour garantir la sécurité de données. Aussi, depuis plus d’un an le ministère des Solidarités et de la Santé, l’ANS, la CnilCommission Nationale de l'Informatique et des Libertés et l’Anssi travaillent à la construction d’un référentiel opposable.

Les premières exigences définies dans le référentiel sont les suivantes :

  • imposer l’utilisation de mots de passe forts et de facteurs d’authentification (code à usage unique…) ;
  • se baser sur des informations d’identification vérifiées et issues des répertoires de référence (identifiant national de santé (INS), répertoire partagé des professionnels de santé (RPPS), fichier national des établissements sanitaires et sociaux (Finess)). 

Le secteur de la santé est donc en train d’opérer sa transformation mais reste vulnérable pendant cette phase de transition.

Une autre piste est en train d’émerger pour renforcer la sécurité de nos systèmes : la blockchain.

Pour rappel, la blockchain (chaîne de blocs) est une technologie de stockage et de transmission d’informations qui se veut transparente, sécurisée et fonctionnant sans organe central de contrôle. Déjà utilisée dans de nombreux secteurs tels que l’alimentaire, le luxe, l’assurance… elle permettrait dans le secteur de la santé :

  • d'assurer la sécurité des données de santé, en décentralisant et rendant inaltérable les données de santé à travers l’ensemble des SI. Ainsi, les historiques seraient garantis et infalsifiables, et les opérations tracées.
  • de sécuriser le stockage, en s’écartant de la problématique actuelle d’un hébergeur unique seul décisionnaire, et en garantissant la non-modification des données et leur non-compromission face à des cyberattaques.
  • de favoriser l’interopérabilité des SI, en enregistrant les données médicales provenant de l’ensemble des parties prenantes du système de santé et en facilitant ainsi les synergies.

Cette technologie en plein développement s’imposerait alors comme un outil stratégique pour la cybersécurité de demain, notamment en matière de santé.

mc2i
Fiche n° 4670, créée le 16/06/22 à 02:37 - MàJ le 16/06/22 à 14:43

mc2i

Activité : cabinet de conseil en transformation numérique : conseil, pilotage de projets IT et Amoa (assistant à maîtrise d’ouvrage), sur des problématiques sectorielles et auprès des fonctions corporate et DSI (direction des systèmes d’information).
Création : 1989
Siège : Paris
Direction : Arnaud Gauthier, président, et Nidal Alakl, vice-président


  • Catégorie : Autre
  • Effectif : Plus de 2000



mc2i
51, rue François 1er
75008 Paris - FRANCE
Téléphone : 01-44-43-01-00
vCard meCard .vcf VCARD

Fin
loader mask
1