Afin de protéger ces informations désormais numériques, la France,
sous l’impulsion de l’Etat et de ses agences (ANSSI, CNIL, DSIS, ASIP),
s’est dotée de l’arsenal réglementaire le plus avancé au monde -
arsenal qu’il convient désormais de mettre en oeuvre.

Les enjeux sont importants. Rappelons qu’en cas de piratage de
données médicales, il y a un risque vital pour les patients, un risque
juridique pour les professionnels et les établissements de santé, un risque pénal pour les
directeurs d’établissements et un risque financier pour les établissements de santé. La Loi
rappelle en effet qu’il revient aux directeurs d’établissements, et ce de façon non
déléguable, de conduire leur politique de sécurité – incluant le respect de la confidentialité
des données médicales personnelles – et, pour ce faire, de prendre toutes mesures
adossées aux moyens et ressources utiles. A défaut, ils encourent pénalement et à titre
personnel deux années de prison et 300.000 € d’amende.

Les nouveaux défis sécuritaires liés à l’évolution des outils de communications
Avec l’émergence rapide des technologies Web et cloud, ainsi que la prolifération des
appareils mobiles dans le milieu professionnel, les entreprises doivent faire face à de
nouvelles questions de sécurité liées à davantage de liberté du côté de l’utilisateur et à une
perte de contrôle pour l’entreprise.

L’utilisation d’outils de communications mobiles est en plein développement dans le milieu
hospitalier, où les médecins et infirmiers utilisent ces appareils pour se connecter au
réseau, accéder aux informations du patient, connaitre sa médication… Autre évolution : les
matériels médicaux (pompes à insuline, défibrillateurs, pacemakers, IRM, scanners, etc.)
deviennent connectables au réseau et facilitent donc la vie des professionnels de la santé
mais augmentent aussi les risques informatiques.

La tendance au SaaS ainsi que le problème de la maintenance de ces matériels dans les
établissements (PC, tablettes, mobiles, appareils médicaux, matériels d’imagerie et de
radiothérapie) conduisent à de nombreuses vulnérabilités au niveau de la sécurité
informatique des systèmes d’information de la santé.

Actuellement, dans le domaine sanitaire, on peut classer et pondérer les menaces de la
manière suivante :
• cyberattaques externes (quelques %)
• défaut de fonctionnement des infrastructures internes (> 45%)
• défauts de comportements (ignorance, négligence et malveillance interne) (> 45%).

Pour la plupart des organisations de santé, la sécurité reste un concept purement
périmétrique, bien que l’évolution des technologies et comportements (cloud computing,
BYOD, capteurs connectés…) étende les besoins sécuritaires au-delà du simple réseau. Dans
quelque temps, le DMP (Dossier Médical Personnel) et les Espaces Numériques Régionaux
de Santé devraient émerger, permettant l’accès centralisé aux données médicales
personnelles depuis l’hôpital, le cabinet du médecin traitant en ville, le domicile du patient
et/ou les établissements médico-sociaux (Maisons de retraite, EPHAD). Cette évolution
apportera davantage d’efficacité au secteur médical puisqu’avec l’accès aux données de
n’importe où, n’importe quand et à partir de n’importe quel appareil, les temps de décision
seront grandement diminués.

Avec un accès permanent au réseau, l’exposition aux risques devient un enjeu stratégique
de premier niveau pour les entreprises, les organisations et les Etats.
Vers la mise en place d’une solution de sécurité multi-menaces
Ces menaces et ces risques conduisent à définir des politiques de sécurité plus adaptées et à
appliquer des contrôles renforcés à l’égard des utilisateurs, des appareils et des
applications. Cela exige que les organisations sanitaires définissent leurs politiques de
sécurité et de gestion des risques selon trois axes : Savoir, Pouvoir, Vouloir.
• Savoir : se doter d’outils de veille sur l’actualité des menaces et des comportements
internes
• Pouvoir : se doter d’outils permettant la gestion des risques applicatifs sans quoi il
est impossible d’assurer un niveau de sécurité efficace
• Vouloir : prendre les mesures adéquates même et y compris au prix de sanctions

La mise en place de ces politiques va permettre aux organisations sanitaires de :
• Eliminer les failles potentielles
• Démontrer leur conformité aux législations en vigueur de l’industrie
• Réduire les temps de réponse des incidents de sécurité
• Accélérer l’adoption des bonnes pratiques et systèmes éprouvés
• Réduire les risques pouvant impacter la réputation et le chiffre d’affaires

Concernant plus spécifiquement la protection du réseau d’information, quelques
recommandations sont à prendre en compte par les organisations sanitaires pour minimiser
les risques de sécurité :

• Sécurité des données médicales du patient
• Encrypter les informations en transit de site-à-site
• Encrypter l’accès à distance aux applications médicales
• Segmentation du Réseau
• Segmenter les appareils biomédicaux
• Segmenter les applications métier
• Filtrage Web / Contrôle Applicatif
• Restreindre et surveiller le trafic Web des employés
• Restreindre l’utilisation des applications basées sur le web en
bloquant l’accès à certains types de sites Internet
• Surveiller les fuites d’informations : Empêcher que les données
sensibles, du type cartes de crédit, numéros de sécurité sociale et
numéros d’identification du patient soient envoyées à des personnes
non autorisées.

Les organisations du secteur de la santé doivent donc segmenter, surveiller et contrôler les
différents aspects de leurs opérations, y compris les utilisateurs et leurs comportements ;

les données ; les dispositifs ; les systèmes d’exploitation ; et les applications.

Dans un tel contexte, Fortinet recommande vivement aux organisations sanitaires d’opter
pour la mise en place d’une stratégie de sécurité informatique complète. L’approche de la
consolidation des fonctions de sécurité au travers du déploiement de dispositifs de gestion
intégrée des menaces est le meilleur moyen pour ces organisations de gagner une visibilité
et un contrôle de bout-en-bout tout en réduisant le coût et la complexité de leur
infrastructure de sécurité.