1. Insights
  2. Blog
  3. Santé
  4. [Témoignage] Etablissement de santé : connaître son niveau d’exposition aux menaces

[Témoignage] Etablissement de santé : connaître son niveau d’exposition aux menaces

Vincent Hubert, chef de projet SI chez HaD France, a été accompagné par nos experts afin de renforcer la protection des données de santé que traite quotidiennement son établissement. 

 HaD France est une entreprise spécialisée dans les soins à domicile. A quels risques informatiques fait-elle face ?

HaD France, comme tout établissement de santé, manipule des données sensibles. Un des risques majeurs pour nous est le risque d’intrusion engendrant soit le blocage du système (ex. ransomwares), l’arrêt des échanges d’informations et donc l’arrêt de l’activité, soit le vol de données. De plus en plus d’établissements de santé, en France ou à l’étranger en sont d’ailleurs victimes.

Pourquoi avoir choisi de réaliser un diagnostic de sécurité ?

Nous étions déjà sensibilisés à la sécurité informatique. Néanmoins, dans le cadre de la stratégie de transformation du système de santé #MaSanté2022, le ministère de la Santé a lancé un grand programme d’accompagnement financier visant à accélérer le virage numérique des établissements de santé (Hop’En). Il vise à amener les systèmes d’information des établissements de santé à un niveau de maturité plus élevé, nécessaire pour répondre aux nouveaux enjeux de décloisonnement du système de santé et de rapprochement avec les patients. Parmi les exigences du gouvernement, il y a la sécurité, la confidentialité et l’intégrité des données. Le fait de faire réaliser un diagnostic de sécurité était l’une des étapes qu’il nous fallait franchir afin de réaliser un état des lieux de la sécurité de notre système d’information et de mettre en place un plan d’actions correctrices.

Combien de temps a duré le diagnostic ? Comment s’est-il déroulé ?

Il a été réalisé en trois parties : une phase d’entretiens sur les processus et l’état des lieux, une phase technique réalisée par les consultants, puis, une phase de restitution. Il s’est étalé sur deux mois environ.

Quelles ont été les principales mesures de sécurité renforcées à la suite de ce diagnostic ?

 Des besoins de cloisonnements des réseaux Wi-Fi, de mises à jour de firmwares de matériels et de renforcement de l’Active Directory ont été mis en lumière. Il a été particulièrement intéressant de découvrir que des fournisseurs de services informatiques avec lesquels nous travaillons ont eux aussi été audités dans le cadre du diagnostic et certaines failles de sécurité ont été trouvées de leur côté. Ils se sont engagés à les corriger.

 Quels conseils donneriez-vous à une entreprise du secteur de la santé en termes de sécurité informatique ?

 Ne surtout pas négliger la sécurité informatique. Il est important d’inculquer les bonnes pratiques aux collaborateurs : aux personnels soignants dans leur usage quotidien des systèmes informatiques mais aussi aux directions qui peuvent juger que ce sujet engendre des coûts qui leur apparaissent parfois disproportionnés. Un établissement de santé a pourtant tellement à perdre quand l’incident arrive (même s’il est rare) qu’il ne faut surtout pas se dire que ça n’arrive qu’aux autres. Il est important de rester en alerte et d’avoir des partenaires dont l’expertise est prouvée.

Pour en savoir plus sur les diagnostics de sécurité, cliquez ici.

Partager l'article