Rechercher

Cybersécurité : Philippe accompagne les établissements de santé

Philippe Sautjeau est consultant en cybersécurité. Il apporte notamment son aide aux organismes de santé.

Avant de travailler dans l’informatique, tu as étudié la biochimie. Qu’est-ce qui a motivé ce choix, puis ta réorientation ?

Passionné de biologie depuis toujours, j’ai suivi des études en biochimie et me suis spécialisé en immunologie. Face à l’émergence des usages de l’informatique en biologie, et ayant commencé à découvrir ce domaine par moi-même, j’ai choisi il y a trente ans de me réorienter vers l’informatique afin de concilier ces deux domaines d’intérêt.

Tu travailles dans la sécurité informatique depuis presque quinze ans. Comment as-tu vu notre secteur évoluer ?

Il y a vingt ans, les besoins de sécurité informatique étaient largement sous-estimés. La sécurité portait quasi-uniquement sur les risques provenant de l’extérieur, compensés par la mise en place d’une protection périmétrique inspirée de la muraille des châteaux-forts. Depuis une dizaine d’année, cette approche a largement évolué, d’une part avec une approche de sécurité plus en profondeur, basée sur plusieurs couches successives de sécurité. D’autre part, on s’intéresse de plus en plus au secteur industriel, de plus en plus ouvert et communicant. Les technologies évoluent très vite, les risques associés également, tout comme les méthodes des attaquants… toutes les entreprises sont aujourd’hui tenues de considérer la sécurité informatique.

Aujourd’hui, quelles sont tes missions chez Orange Cyberdefense ?

Je travaille au sein de l’équipe Conseil & Audit Sud-Ouest dans l’accompagnement et la formation de responsables sécurité (RSSI). Je suis spécialisé dans la sécurisation des données de santé et j’accompagne les organisations dans leur mise en conformité avec l’ensemble des exigences règlementaires attachées à ce type d’information (définition des stratégies d’hébergement, certification HDS, etc.). J’accompagne également les entreprises dans leurs démarches de certification ISO27001 et d’homologation (II901, RGS, etc.).

Quelles sont les problématiques des entreprises de santé en termes de sécurité ?

Les données de santé ont un caractère personnel et ultra-sensible. Leur gestion est donc très règlementée. Au-delà des besoins évidents de disponibilité et d’intégrité des systèmes d’information de santé, la confidentialité et la traçabilité doivent être prises en compte en permanence, au plus haut niveau d’exigence. Les équipes informatiques des établissements de santé (hôpitaux, cliniques, EHPAD, …) sont pourtant souvent réduites et très occupées par l’ensemble des tâches de gestion des systèmes d’information de santé. En outre, la mise en place d’équipements de sécurité informatique nécessite des investissements financiers importants.

Quel est leur niveau de maturité concernant la sécurité informatique ?

L’intérêt croissant des cybercriminels pour les données de santé est démontré par la multiplication des attaques ces dernières années. De plus, la sécurité dans ce secteur continue d’évoluer en permanence notamment grâce aux programmes gouvernementaux pour le développement et la modernisation des systèmes d’information hospitaliers (Hôpital Numérique (2012-2017) et Hop’en (2019-2023)). Ces programmes s’appuient sur des indicateurs et se structurent autour de pré–requis et de domaines prioritaires fixant un palier de maturité à atteindre pour les systèmes d’information hospitaliers.

Quelle est la règlementation en vigueur concernant l’hébergement des données de santé pour les entreprises concernées ?

La règlementation en vigueur permettant d’encadrer l’hébergement de données de santé a évolué en 2018 pour passer d’une procédure d’agrément délivré sur dossier par l’ANS* (ex ASIP-Santé) à une procédure de certification basée sur un référentiel d’exigences incluant notamment l’ensemble du référentiel ISO 27001. La procédure de certification repose sur une évaluation de conformité au référentiel de certification par un organisme de certification accrédité par le COFRAC** et choisi par l’hébergeur. L’audit de certification se déroule en deux étapes :

  • Étape 1 : audit documentaire et revue documentaire du SMSI*** du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel.
  • Étape 2 : audit sur site et recueil des preuves d’audit

Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur. Chaque année, un audit de surveillance est effectué.

Quels conseils donnerais-tu aux organisations de santé pour se protéger ?

Une publication récente du CERT Santé pointe l’utilisation privilégiée des accès VPN par les attaquants pour pénétrer dans le système d’information des établissements de santé. La surveillance et le renforcement de ces points d’accès sont donc essentiels. Quels que soient les moyens déployés pour améliorer la sécurité des données et des systèmes d’information, le point clé reste toujours le même : le facteur humain. Il est donc impératif d’inclure systématiquement la sensibilisation de l’ensemble des acteurs à tout programme d’amélioration de la cybersécurité.
Bien que souvent perçue comme une contrainte, la sécurité est primordiale et nous concerne tous.