Enjeux de la sécurité informatique à l’hôpital : risques et impacts

À l’ère de la digitalisation, les hôpitaux changent leurs pratiques afin d’améliorer la qualité de vie des patients. Cependant, l’apparition de systèmes connectés et mobiles entraînent des failles de sécurité informatique à l’hôpital : virus, ransomwares ou cryptolockers se multiplient. Comment peut-on alors y faire face ?

La sécurité à l'hôpital

Dans un premier temps, la sécurité n’est pas uniquement l’affaire de la Direction des systèmes d’information (DSI). En effet, il est rare que le biomédical et le Système d’information (SI) soient gérés dans la même équipe. Leurs priorités ne sont donc pas les mêmes. Si les équipes biomédicales priorisent les équipements médicaux, la DSI se focalise sur le SI de l’hôpital : la communication entre ces deux services est donc primordiale.

Par ailleurs, le marquage CE ne valide pas la sûreté du fonctionnement. En effet, il a seulement pour rôle de responsabiliser les industriels qui doivent prouver que leurs dispositifs n’apportent pas de risques. Il ne traite donc pas la sécurité. Des mises à jour régulières sont alors indispensables.

De plus, en termes de sécurité, les fournisseurs ne sont pas les alliés
du service biomédical. En effet, ils ne maîtrisent pas toujours le virage
numérique. C’est pourquoi, il n’est pas rare de lire, dans la majorité des contrats, une exclusion de responsabilité en cas de pertes de données ou d’inexactitudes. Il est donc très important de lire attentivement les contrats. Face à ce constat, nous sommes amenés à penser à la sous-traitance. Mais les données des patients sont sensibles
et se vendent chères sur le Darknet et bien souvent, les serveurs ne sécurisent pas leurs données correctement. Ainsi en France, c’est plus de 47 000 données de dossiers patients qui sont accessibles par le public.

Pourtant, pour améliorer la sécurité de ces dispositifs, il n’est pas nécessaire d’avoir de grandes compétences techniques. Il existe de nombreuses solutions pour faire face aux attaques : choisir une bonne EDR (Endpoint Detection and Response) détectant les menaces lors d’échanges avec les serveurs ou avoir un SOC (Security Operation Center) avec des logiciels de traitement spécifiques, permettra de sécuriser au maximum les données.

Pour conclure, l’ingénieur biomédical est au cœur de la sécurité des patients. La maîtrise des contrats, des mises à jour, de l’installation de services opérés et le travail avec sa DSI sont importants pour augmenter le niveau de sécurité informatique de l’hôpital.

  • Guillaume Deraedt, RSSI CHU Lille

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *