Comment les établissements de santé se positionnent-ils aujourd’hui sur le champ de la sécurité informatique ?
Hervé Morizot : Leur maturité est perfectible, en raison d’un manque de moyens, de la dématérialisation et de l’ouverture de SI qui n’ont pas été à l’origine conçus pour cela, et d’une sensibilisation relativement faible des responsables et utilisateurs aux risques informatiques. Ces derniers peuvent donc être à l’origine de failles capables de compromettre la confidentialité, la disponibilité et l’intégrité des données de santé, elles-mêmes très recherchées par les cyberpirates. Peu d’établissements sont par ailleurs équipés d’outils transversaux, par exemple une solution de supervision centrale qui permettra de gérer les vulnérabilités, effectuer les mises à jour, mettre en place des reportings, etc. D’où, d’ailleurs, le plan Cybersécurité annoncé en février par les pouvoirs publics.
Formind propose justement tout un éventail de prestations visant à muscler la cybersécurité des hôpitaux. Pourriez-vous nous en parler ?
La santé représente en effet un secteur-clé : les fuites de données, rançongiciels, malwares et autres piratages peuvent avoir des conséquences potentiellement graves pour les patients. Nos 170 experts en cybersécurité y sont donc très investis. Nous proposons notamment des audits de sécurité couplés à des tests d’intrusion, pour identifier les failles et mettre en œuvre les correctifs adéquats. Nous élaborons pour cela des plans d’actions 100 % opérationnels, afin de par exemple déployer les bons patchs de sécurité au bon moment pour ne pas perturber l’activité hospitalière. Nous sommes également en mesure d’accompagner la montée en compétence des équipes DSI et SSI qui souhaiteraient se mettre en conformité avec la PGSSI-S, le référentiel HDS, le programme HOP’EN, le RGPD, etc. Nous pouvons aussi organiser des actions à destination des utilisateurs pour les sensibiliser aux bonnes pratiques, comme la déconnexion systématique des applications métier après utilisation.
Vous proposez également une force d’intervention rapide en cas de cybercrise.
Nos experts techniques peuvent en effet intervenir en quelques heures. Un rançongiciel ne se gère pas de la même manière qu’une fuite de données, d’où la nécessité de faire appel à des équipes qualifiées et rodées à ces problématiques. En amont, Formind est également intégrateur de systèmes de sécurité informatique. Sondes d’intrusion ou de fuite de données, outils de chiffrement, systèmes de détection des vulnérabilités, nous maîtrisons tout un panel de solutions et pouvons les mettre en place, les paramétrer, rédiger leurs protocoles d’utilisation et former leurs utilisateurs. Les cybermenaces sont aujourd’hui protéiformes, comme l’a montré l’actualité récente. Les réponses doivent l’être également aussi, et c’est justement ce que nous proposons, avec pragmatisme et rigueur, aux établissements de santé.
Hervé Morizot : Leur maturité est perfectible, en raison d’un manque de moyens, de la dématérialisation et de l’ouverture de SI qui n’ont pas été à l’origine conçus pour cela, et d’une sensibilisation relativement faible des responsables et utilisateurs aux risques informatiques. Ces derniers peuvent donc être à l’origine de failles capables de compromettre la confidentialité, la disponibilité et l’intégrité des données de santé, elles-mêmes très recherchées par les cyberpirates. Peu d’établissements sont par ailleurs équipés d’outils transversaux, par exemple une solution de supervision centrale qui permettra de gérer les vulnérabilités, effectuer les mises à jour, mettre en place des reportings, etc. D’où, d’ailleurs, le plan Cybersécurité annoncé en février par les pouvoirs publics.
Formind propose justement tout un éventail de prestations visant à muscler la cybersécurité des hôpitaux. Pourriez-vous nous en parler ?
La santé représente en effet un secteur-clé : les fuites de données, rançongiciels, malwares et autres piratages peuvent avoir des conséquences potentiellement graves pour les patients. Nos 170 experts en cybersécurité y sont donc très investis. Nous proposons notamment des audits de sécurité couplés à des tests d’intrusion, pour identifier les failles et mettre en œuvre les correctifs adéquats. Nous élaborons pour cela des plans d’actions 100 % opérationnels, afin de par exemple déployer les bons patchs de sécurité au bon moment pour ne pas perturber l’activité hospitalière. Nous sommes également en mesure d’accompagner la montée en compétence des équipes DSI et SSI qui souhaiteraient se mettre en conformité avec la PGSSI-S, le référentiel HDS, le programme HOP’EN, le RGPD, etc. Nous pouvons aussi organiser des actions à destination des utilisateurs pour les sensibiliser aux bonnes pratiques, comme la déconnexion systématique des applications métier après utilisation.
Vous proposez également une force d’intervention rapide en cas de cybercrise.
Nos experts techniques peuvent en effet intervenir en quelques heures. Un rançongiciel ne se gère pas de la même manière qu’une fuite de données, d’où la nécessité de faire appel à des équipes qualifiées et rodées à ces problématiques. En amont, Formind est également intégrateur de systèmes de sécurité informatique. Sondes d’intrusion ou de fuite de données, outils de chiffrement, systèmes de détection des vulnérabilités, nous maîtrisons tout un panel de solutions et pouvons les mettre en place, les paramétrer, rédiger leurs protocoles d’utilisation et former leurs utilisateurs. Les cybermenaces sont aujourd’hui protéiformes, comme l’a montré l’actualité récente. Les réponses doivent l’être également aussi, et c’est justement ce que nous proposons, avec pragmatisme et rigueur, aux établissements de santé.
Article publié dans le numéro de mai d'Hospitalia à consulter ici
Plus d'informations sur le site de Formind consulting.
Envoyer à un ami
Version imprimable
Partager