Enjeux de la sécurité informatique à l’hôpital : risques et impacts

Par Guillaume Deraedt, RSSI CHU Lille

À l’ère de la digitalisation, les hôpitaux changent leurs pratiques afin d’améliorer la qualité de vie des patients. Cependant, l’apparition de systèmes connectés et mobiles entraînent des failles de sécurité : virus, ransomwares ou cryptolockers se multiplient.  Comment peut-on alors y faire face ?

Dans un premier temps, la sécurité n’est pas uniquement l’affaire de la Direction des Systèmes d’Information (DSI). En effet, il est rare que le Biomédical et le Système d’Information (SI) soient gérés dans la même équipe et leurs priorités ne sont pas les mêmes. Si les équipes biomédicales priorisent les équipements médicaux, la DSI se focalise sur le SI de l’hôpital : la communication entre ces deux services est donc primordiale.
Par ailleurs, il est important de savoir que le marquage CE ne valide pas la sûreté du fonctionnement : il permet de responsabiliser les industriels qui doivent prouver que leur dispositif n’apporte pas de risques, mais ne traite pas la sécurité. Des mises à jour régulières sont donc indispensables.

De plus, en termes de sécurité, les fournisseurs ne sont pas les alliés du service biomédical. En effet, ils ne maîtrisent pas toujours le virage numérique. C’est pourquoi, il n’est pas rare de lire, dans la majorité des contrats, une exclusion de responsabilité en cas de pertes de données ou d’inexactitudes. Il est donc très important de lire attentivement les contrats. Face à ce constat, nous sommes amenés à penser à la sous-traitance, mais les données des patients sont sensibles et se vendent chères sur le Darknet et bien souvent, les serveurs ne sécurisent pas leurs données correctement. Ainsi en France, c’est plus de 47 000 données de dossiers patients qui sont accessibles par le public.

Pourtant, pour améliorer la sécurité de ces dispositifs, il n’est pas nécessaire d’avoir de grandes compétences techniques. Il existe de nombreuses solutions pour faire face aux attaques : choisir une bonne EDR (Endpoint Detection and Response) détectant les menaces lors d’échanges avec les serveurs ou avoir un SOC (Security Operation Center) avec des logiciels de traitement spécifiques, permettra de sécuriser au maximum les données.

Pour conclure, l’ingénieur biomédical est au cœur de la sécurité des patients. La maîtrise des contrats, des mises à jour, de l’installation de services opérés et travailler avec sa DSI sont importants pour augmenter le niveau de sécurité.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.