« Nous constatons, aujourd’hui, un certain décalage entre la manière dont les équipements biomédicaux sont perçus par les responsables de la sécurité des systèmes d’information (RSSI) dans les établissements de santé, et leur réalité », explique Benoît Fondeur, ingénieur biomédical aux Hospices Civils de Lyon et co-pilote du groupe de travail Cybersécurité de l’AFIB. De nombreux RSSI les considèrent en effet comme des dispositifs purement informatiques et devant à ce titre être traités comme tels, cherchant par exemple à y intégrer des antivirus, ce qui serait pourtant en contradiction avec les exigences propres au marquage CE. « Qui porterait alors la responsabilité d’un dysfonctionnement du système d’exploitation ? », poursuit-il. La temporalité même des équipements biomédicaux n’est pas celle de l’informatique hospitalière : « Un poste de travail est changé tous les 3 à 5 ans, et un dispositif biomédical tous les 7 à 10 ans. Son système d’exploitation devient donc obsolète bien avant la période de renouvellement, et le marquage CE laisse dans tous les cas peu de marge de manœuvre pour effectuer des mises à jour », ajoute Sandrine Roussel, pour sa part ingénieure biomédicale au CHU de Besançon et co-pilote du même groupe de travail. Évoquant la nécessité de mener une réflexion à l’échelle européenne pour faire évoluer cette règlementation, elle souligne également l’urgence d’agir sans attendre de potentiels assouplissements : « Il nous faut identifier dès à présent des exigences communes sur le plan de la cybersécurité des équipements biomédicaux, vers lesquelles nous pourrions tendre en collaboration étroite avec ces partenaires que sont les constructeurs ».

Car l’évolution des pratiques sur le terrain avance, elle, à vitesse grand V : les médecins, notamment, sont très demandeurs d’une connectivité accrue des dispositifs biomédicaux. « Ils réclament, avec raison, des résultats directement intégrés à leurs outils métiers », indique Sandrine Roussel. Or le statu quo est souvent privilégié pour prévenir tout cyber-risque. « Ce n’est pas à notre sens la bonne approche. Nous sommes d’ailleurs convaincus qu’il est possible de mettre en œuvre une stratégie de cybersécurité transversale, qui permettra à la fois de tirer pleinement profit des dernières avancées technologiques et de maîtriser les risques informatiques », note-t-elle en rappelant qu’un système d’exploitation à jour ne constitue pas, pour autant, un totem d’immunité. « Cela est important, et nous devons trouver le moyen de contractualiser cette obligation avec les constructeurs. Mais il faut également que les DSI/RSSI et les ingénieurs biomédicaux travaillent de concert pour appliquer les bonnes pratiques d’hygiène informatique aux dispositifs biomédicaux – fragmentation des réseaux, surveillance des vulnérabilités, élaboration d’un mode dégradé, etc. Les premiers construisent les routes, les seconds roulent dessus », insiste Sandrine Roussel.

Prenant la problématique à bras-le-corps, l’AFIB a créé dès 2019 un premier groupe de travail, alors dirigé par Sandrine Roussel et associant uniquement des ingénieurs biomédicaux. Un an plus tard, l’association dévoilait un questionnaire recensant les principaux points de vigilance pour évaluer la sécurité numérique d’un dispositif biomédical. Face à l’intérêt suscité par la démarche, un deuxième groupe de travail, cette fois-ci co-piloté par Sandrine Roussel, Benoît Fondeur, Akselle Godin (CHU de Bordeaux) et Loïc Dubois (GH Sud Île-de-France), voit le jour. Ses travaux, qui font l’objet d’un financement par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Agence du numérique en santé (ANS), font également participer l’Association pour la sécurité des systèmes d’information de santé (APSSIS), le Service de santé des armées (SSA), le Commissariat à l’énergie atomique et aux énergies alternatives (CEA), et la centrale d’achat Uni.H.A. « Nous avons pu faire évoluer le format du questionnaire, qui propose désormais, face à chaque exigence informatique, trois à quatre questions auxquelles le constructeur est appelé à répondre. La note attribuée permet ainsi d’évaluer la maturité informatique de l’équipement, pour appuyer le processus de décision lors d’un achat. Ce document a donc vocation à trouver sa place dans les cahiers des charges des appels d’offres publics », explique Benoît Fondeur.

« Nous avons plus particulièrement identifié trois niveaux de maturité : le niveau 0, lorsque les exigences de cybersécurité n’ont pas été prises en compte lors de la conception de l’équipement ; le niveau 1, lorsqu’elles l’ont été mais que le constructeur n’est pas en mesure d’en fournir les preuves ; et le niveau 2, lorsque ces preuves existent et peuvent être consultées », détaille Sandrine Roussel. Elle précise néanmoins que l’initiative ne cherche pas à « punir » ceux n’ayant pas intégré de démarche cybersécurité : « Les constructeurs n’ont pas tous les mêmes ressources pour faire face à cet enjeu. Or l’existence d’un marché très concurrentiel doit à notre sens être préservée. L’idée est donc surtout de permettre à un établissement de savoir à quoi s’en tenir lorsqu’il acquiert un équipement biomédical, pour pouvoir mettre en œuvre une stratégie adaptée. Par exemple, lorsqu’un fournisseur est au niveau 0, nous suggérons des mesures compensatoires à déployer au niveau des interfaces techniques ». 

L’AFIB continue d’ailleurs de réfléchir au bon positionnement du curseur pour trouver le meilleur équilibre entre contraintes et exigences. « La tentation est grande de décorréler l’équipement de son système logiciel. Or, lorsque nous achetons un dispositif biomédical, nous achetons par la même occasion son système d’exploitation. Il s’agit d’un ensemble, que nous gérons comme tel. Aussi exigeons-nous que toute mise à jour de sécurité soit effectuée gratuitement dans le cadre des contrats de maintenance, car elle contribue au maintien en condition opérationnelle de nos équipements », insiste Benoît Fondeur. Sandrine Roussel abonde : « Nous sommes tout à fait disposés à chercher un terrain d’entente avec les constructeurs, mais nous n’abaisserons pas pour autant nos exigences. Par exemple, nous réfléchissons également à la mise en place d’un circuit de cybervigilance pour les équipements biomédicaux, sur le modèle de celui existant pour la matériovigilance. Un fournisseur ayant connaissance d’une faille de cybersécurité aura ainsi l’obligation d’en informer ses clients et d’agir en conséquence ». 

Pour justement nourrir cette réflexion, l’AFIB s’est rapprochée du SNITEM, le Syndicat national de l’industrie des technologies médicales, où la nouvelle mouture du questionnaire est en relecture. « Nous attendons un retour courant 2024 pour apporter éventuellement des ajustements et diffuser le document à plus large échelle. Mais cette version intermédiaire est déjà connue des adhérents de l’AFIB, et nos prochaines journées nationales, qui se tiendront fin septembre à Bordeaux, seront l’occasion d’en discuter entre nous », conclut-elle. En tout état de cause, la dynamique semble bel et bien lancée pour que la cybersécurité des équipements biomédicaux ne soit justement plus source d’inquiétudes.

L’édition 2023 de SantExpo était l’occasion pour le Mipih de mettre en avant plusieurs grands sujets d’actualité en lien avec la feuille de route du numérique en santé 2023-2027 : le renforcement de la digitalisation, la convergence des systèmes d’information et la cybersécurité.

Dans ce sillage, le Mipih présentait notamment son programme dh, un projet d’envergure voué à remplacer l’ensemble de son offre administrative et simplifier le quotidien de ses adhérents.

Plus d’informations : https://www.mipih.fr

 

Chères lectrices, chers lecteurs,

Quinze mois. Cela fait bientôt quinze mois que notre pays, et le monde, font face à une pandémie d’une ampleur exceptionnelle, qui n’en finit pas de nous réserver son lot de surprises. La France, et cela est heureux, n’est aujourd’hui pas la pire lotie, surtout en comparaison d’autres pays où la situation est plus que dramatique.

Mais, malgré la décrue, nos hôpitaux restent sous pression, leurs équipes, épuisées, aussi. La clef, nous le savons tous, réside dans une accélération franche de la campagne de vaccination, chez nous comme partout ailleurs. C’est pourquoi nous ne pouvons que saluer la récente annonce du président américain en faveur d’une levée temporaire de la propriété intellectuelle sur les vaccins anti-Covid. D’aucuns affirment qu’il ne s’agirait que d’un effet de manche. Celui-ci aura au moins eu le mérite de pousser l’Union Européenne à se positionner. Cela dit, elle joue également sa part en exportant, déjà, près de 50% de sa production.

À l’Hôpital, ces relatives querelles de clocher peuvent sembler lointaines. C’est que nos établissements de santé, en plus de lutter activement contre l’épidémie virale, font aussi face aux assauts des cyberpirates qui, depuis également quinze mois, les ciblent plus frontalement, pariant sur leur fragilisation pour tenter de (mal) acquérir une petite fortune – via un rançonnage en bonne et due forme, ou la vente des très précieuses données de santé sur le marché noir.

C’est sur cette problématique que nous avons surtout souhaité nous pencher dans ce numéro. Non qu’elle soit particulièrement inédite : cela fait en effet déjà quelques années que les établissements de santé sont devenus des victimes de choix pour des pirates informatiques sans foi ni loi. Mais cet état de fait, qui puise notamment ses racines dans certaines difficultés structurelles de l’Hôpital, semble enfin avoir été pris à bras-le-corps par les pouvoirs publics. L’heure de la riposte aurait-elle sonné ? Nous l’espérons sincèrement.

Cette contre-attaque doit toutefois être globale et massive : l’Hôpital, ouvert sur son territoire et fourmillant d’applications et d’équipements hétérogènes, ne peut se défendre seul. S’il doit assurément muscler sa cybersécurité, ses partenaires, quels qu’ils soient, doivent s’y mettre tout autant. Ce n’est qu’au prix d’une stratégie de défense collective et solidaire que l’Hôpital, et nous tous, usagers-citoyens, gagneront ce combat vital.

Bonne lecture, et rendez-vous à l’automne !
 

La sécurité numérique est au cœur des préoccupations du ministère des affaires sociales et de la santé. L’interconnexion, la multiplication des échanges et le partage des données entre la ville et l’hôpital multiplient les risques liés à la sécurité : piratage, vols ou détournements de données, blocage des systèmes... 

Au regard de l’augmentation du nombre d’attaques sur les systèmes numériques des établissements de santé, l’amélioration des actions de prévention et d’assistance portée devient prioritaire. La sécurité des systèmes d’information de santé permet que les données de santé soient disponibles, confidentielles, fiables, partagées et traçables. La protection des données de santé est indispensable pour assurer une meilleure coordination des soins et une prise en charge optimale des patients.
 

A partir du 1er octobre 2017, les structures de santé concernées devront déclarer leurs incidents de sécurité via le portail de signalement des évènements sanitaires indésirables depuis l’espace dédié aux professionnels de santé : www.signalement.social-sante.gouv.fr/

Celles-ci devront signaler toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de leurs systèmes d’information, une altération ou une perte de leurs données et plus généralement ayant un impact sur le fonctionnement normal de l’établissement. 
 

Afin d’apporter un appui et un accompagnement aux organismes concernés par la déclaration de ces incidents, le ministère des solidarités et de la Santé, en lien avec les agences régionales de santé (ARS) et l’ASIP Santé, met en place un dispositif pour traiter les signalements d’incidents de sécurité de leurs systèmes d’information.

L’ASIP Santé est désignée comme le groupement d’intérêt public (GIP) en charge d’apporter un appui au traitement de ces incidents, au travers de la Cellule Accompagnement Cybersécurité des Structures de Santé (Cellule ACSS), ouverte le 1^er octobre 2017 et placée sous la responsabilité du Fonctionnaire en charge de la sécurité des systèmes d’informations (FSSI) auprès du secrétaire général des ministères chargés des affaires sociales, haut fonctionnaire de défense et de sécurité (HFDS).
Les objectifs visés par ce dispositif vont permettre de :
- renforcer l’analyse et le suivi des incidents pour le secteur santé ;
- alerter et informer l’ensemble des acteurs de la sphère santé en cas de menaces ;
- partager les bonnes pratiques sur les actions de prévention, ainsi que sur les réponses à apporter suite aux incidents, afin de réduire les impacts et de mieux protéger les systèmes.

Pour ce faire, un portail dédié à l’information et la veille sera également disponible à partir du 1^er octobre 2017 à l’adresse suivante :https://www.cyberveille-sante.gouv.fr

Ce portail informera sur l’actualité SSI (Sécurité des Systèmes d’information), les vecteurs de menaces et les bonnes pratiques en matière de sécurité numérique. Il présentera des bulletins de veille sur certaines vulnérabilités logicielles critiques ou des menaces sectorielles, des fiches réflexes et des guides pour répondre à différents types d’incidents. Ce portail mettra également à disposition de la communauté SSI en santé un espace privé pour le partage entre spécialistes de la cybersécurité.