12 janvier 2021

HOP’EN, le programme renforçant la sécurité des structures hospitalières

Introduction

Dans la continuité du programme « Hôpital Numérique » (HN, 2012-2017), le programme « Hôpital Numérique ouvert sur son environnement » (HOP’EN, 2018-2022) s’inscrit dans la Stratégie de Transformation du Système de Santé (STSS) « Ma santé 2022 » et dans le cadre du Grand Plan d’Investissement, Initiative 23 – Construire l’État de l’âge numérique : Accélérer la transition numérique du système de santé (2018-2022).

La cybersécurité et la performance du système d’information doit être optimale afin de ne pas engendrer une perte de chance (Impossibilité de recevoir les bons soins dans le temps imparti) pour les patients.

Le socle commun de ce programme est constitué de :

Quatre prérequis :

  • Identités, mouvements
  • Sécurité (fiabilité, disponibilité dans le programme HN)
  • Confidentialité
  • Échange et partage (nouveau prérequis dans le programme HOP’EN)

Sept domaines fonctionnels :

  • Partager les résultats d’imagerie, de biologie et d’anatomopathologie
  • Développer le Dossier Patient Informatisé (DPI) et interopérable et le Dossier Médical Partagé (DMP)
  • Informatiser les prescriptions alimentant le plan de soins
  • Programmer les ressources et partager l’agenda du patient
  • Piloter ses activités médico-économiques
  • Communiquer et échanger avec les partenaires (nouveau domaine fonctionnel)
  • Mettre à disposition des services en ligne aux usagers et aux patients (nouveau domaine fonctionnel)

Objectifs

Les objectifs de ce programme sont de :

  • Renforcer le socle de maturité pour une transition numérique
  • Accompagner la transformation numérique des établissements de santé
  • Développer et moderniser les services numériques des établissements de santé
  • Faciliter et sécuriser le partage des données hospitalières

Focus sur les prérequis Sécurité et Confidentialité

P2 Sécurité

La numérisation des données devient omniprésente et incontournable dans le secteur médical.

La sécurité du système d’information est importante pour un établissement hospitalier, elle permet l’accès aux dossiers des patients, mais aussi le contrôle de dispositifs médicaux (scanner, radiographie, etc.). La panne d’applications ou l’indisponibilité des services d’un hôpital peut avoir de lourdes conséquences, notamment sur les patients.

La mise en place de sécurité informatique est l’une des bases fondamentales pour la transition numérique.

Ainsi, l’objectif de ce prérequis est de disposer d’un système d’information maîtrisé et résilient via les actions suivantes :

P2.1 Continuité d’activité

  • Identification des activités essentielles
  • État des lieux des procédures de redémarrage des applications
  • État des lieux des procédures de fonctionnement dégradé et de rétablissement
  • Plan de sauvegarde
  • Procédure de restauration des applications
  • Élaboration d’un plan de reprise d’activité
  • Élaboration de procédure de fonctionnement en mode dégradé du système d’information
  • Test de Plan de Reprise d’Activité (PRA) et de fonctionnement en mode dégradé

P2.2 Définition et évaluation de taux de disponibilité des applicatifs

  • Définition du taux de disponibilité de chaque application
  • Évaluation du taux de disponibilité de chaque application
  • Suivi des taux de disponibilité et des incidents

P2.3 Inventaire de procédures de fonctionnement en mode dégradé et retour à la situation normale (fusionné au point P2.1 dans le cadre d’HOP’EN)

P2.4 Présence d’une Politique de Sécurité des Systèmes d’Information (PSSI) et réalisation d’un plan d’action SSI (INSTRUCTION N°SG/DSSIS/2016/309 du 14 octobre 2016).

  • Création d’un poste de responsable sécurité indépendante de la DSI
  • Définition de la PSSI de l’établissement
  • Analyse de risques du Système d’Information de l’établissement
  • Mise en œuvre de la politique de sécurité

P2.5 Cyber sécurité : réalisation régulière d’audit externe

  • Tests d’intrusions
  • Audit de vulnérabilités
  • Audit d’application des PSSI

P3 Confidentialité

Les établissements de santé hébergent des données de santé à caractère personnel. Ces données sont très convoitées par les cyberattaquants. En effet, un dossier médical se revendait 200$ sur le dark Web en 2016. L’hébergement de ces données convoitées contraint les centres hospitaliers à un certain nombre d’obligations légales tel que la protection de ces données ou la déclaration d’incident impliquant des données personnelles à la CNIL.

L’objectif de ce prérequis est de protéger et inventorier les applications traitant des données à caractère personnel via les actions suivantes :

P3.1 Mise en place d’une politique de sécurité (reporté sur le P2.4)

P3.2 Mise en place d’une charte d’accès et usage du SI

  • Élaboration de la charte d’accès et d’usage du SI
  • Procédure de diffusion et d’acceptation de la charte

P3.3 Information des patients sur les conditions d’utilisation des données de santé à caractère personnel

  • Élaboration d’une procédure de diffusion d’information aux patients concernant l’utilisation des données de santé à caractère personnel.

P3.4 Capacité des applications à intégrer un dispositif d’authentification personnelle

  • Identification des applications hébergeant ou traitant des données de santé à caractère personnel
  • Identification des applications ne disposant pas de dispositif d’authentification et évolution ou remplacement.

P3.5 Taux d’applications permettant une traçabilité des connexions (Intégré à la P3.4)

P3.6 Création du poste de Délégué à la Protection des Données (DPD)

  • Le délégué à la protection des données conseille et accompagne les organismes qui le désignent dans leur conformité
  • Possibilité de faire appel à une offre de service externe et d’avoir un DPD pour un groupement d’établissements de santé
  • Mise en place d’un registre de traitement des données à caractère personnel avec droits d’accès


Accompagnement de BSSI aux objectifs fixés aux Centres Hospitaliers

Avec son offre de service « Diagnostic Cybersécurité », BSSI accompagne les RSSI dans leur objectif de sécurisation du SI avec une évaluation de la maturité sécurité globale, une identification des risques et des propositions de plan d’actions.

Avec son offre de service « Pentest » et sa certification PASSI, BSSI est en mesure de répondre au besoin d’audit et pentest régulier demandé par le programme HOP’EN.

La PSSI est un document incontournable. Selon l’ANSSI, « La PSSI reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration…) en matière de sécurité des systèmes d’information (SSI) ». BSSI accompagne les entreprises dans la rédaction de PSSI.

Enfin, BSSI dispose également de DPO certifié pour vous accompagner dans la mise en conformité GDPR (certifications PECB CDPO et CIPP/E).

Cybermenaces et sanctions dans le domaine hospitalier et médical

Cas de cybermenaces

En 2018, le centre hospitalier de Saint-Denis a été victime d’une attaque de type rançongiciel rendant indisponible un scanner.

Le 10 août 2019, le groupe privé Ramsay-Générale de santé a subi une attaque informatique paralysant des serveurs d’infrastructure et de messageries.

En 2019, hausse de 20% des incidents dans les établissements de santé (392 incidents déclarés par 300 établissements) :

  • Légère augmentation des incidents d’origine malveillante (43%)

Septembre 2020, une patiente dans un état critique a dû être transférée dans un autre hôpital en raison de la fermeture des urgences de l’hôpital de Dusseldorf causé par une attaque rançongiciel en cours sur le système informatique de l’hôpital allemand. La patiente n’a pu être prise en charge par le second hôpital qu’une heure plus tard et est décédée des suites de son état. Ce décès n’a pas été imputé à cette cyberattaque, mais montre que l’impact d’un rançongiciel n’est pas que financier.

Fin septembre 2020, la chaîne d’hôpitaux Universal Health Services a essuyé une attaque informatique rendant partiellement indisponible leur système informatique.

Les conséquences de cette attaque ont été les suivants :

  • Globalement une perte de chance pour les patients
  • Rallongement des temps d’attente aux urgences
  • Impossibilité de prise en charge de patients
  • Problèmes d’accès aux dossiers des patients
  • Problèmes avec des appareils médicaux

Cas de sanction RGPD

Dans le domaine hospitalier :

En 2018, au Portugal, l’hôpital de Barreiro-Montijo a été condamné à 400 000 euros d’amende pour non-respect du RGPD :

  • Violation des principes d’intégrité et de confidentialité des données
  • Violation du principe de limitation d’accès aux données
  • Incapacité pour le responsable du traitement des données à garantir l’intégrité des données

Autres domaines d’activités :

Fin novembre 2020, Carrefour s’est vu infliger une amende de 3 millions d’euros pour manquement grave au RGPD :

  • Conservation de données clients (conservation de 10 ans d’informations clients inactifs)
  • Traitement de manière licite, loyale et transparente
  • Transparence et modalités
  • Information et accès aux données à caractère personnel
  • Droit à l’oubli
  • Droit d’opposition
  • Sécurité du traitement des données à caractère personnel
  • Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Sources :

https://www.legifrance.gouv.fr/download/pdf/circ?id=41533

https://esante.gouv.fr/sites/default/files/media_entity/documents/ANS_ACSS_Rapport_Public_Observatoire_Signalements_ISSIS_2019_V1.0.pdf

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042563756/

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042564657/

https://www.village-justice.com/articles/appelle-perte-chance-dans-cadre,22430.html

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *