Cyber sécurité

Menaces et vulnérabilités des systèmes d’information

Le développement rapide de l’usage des technologies de l’information dans le domaine de la santé constitue un facteur important d’amélioration de la qualité des soins, des prestations sociales et des expertises.

Toutefois, avec l’essor du numérique et le développement des objets connectés, les risques liés à la sécurité des systèmes d’information dans le secteur santé sont passés en quelques années, d’une dimension presque anecdotique à une menace multiple, structurée et organisée, pouvant provoquer des dégâts techniques et financiers considérables, porter atteinte aux informations conservées sous forme numérique et mettre éventuellement en jeu la vie des patients.

De ce fait, les systèmes d’information sur les périmètres du ministère du Travail, de la Santé et des Solidarités portent des enjeux forts. L’indisponibilité, la modification et la divulgation non autorisées de ces ressources, essentielles au bon fonctionnement du ministère et de ses opérateurs, entraineraient des impacts forts sur ses activités : perte de crédibilité, manquement grave aux obligations légales et règlementaires, atteinte au bon déroulement des activités, mise en danger de personnes, etc.

Au-delà des systèmes d’information numériques (informatiques), le terme « Systèmes d’Information » correspond à l’ensemble des ressources (les hommes, le matériel, les logiciels) organisées pour collecter, stocker, traiter et communiquer de l’information au sein même d’une organisation et dans ses relations avec l’extérieur.

Il est courant de confondre système d’information et système informatique, et par extension, leur sécurité. Il ne faut pas oublier que l’un est l’outil de l’autre. Le système d’information est généralement défini comme un groupement d’éléments et de ressources structurés qui permettent la transmission, l’interprétation et le stockage de données.

La politique de sécurité des systèmes d’informations des ministères sociaux (PSSI-MCAS)

La politique de sécurité des systèmes d’information des ministères sociaux (PSSI-MSS) repose sur la politique de sécurité des systèmes d’information de l’État du 17 juillet 2014 (PSSI-E), dont elle constitue la déclinaison sectorielle applicable aux ministères chargés des Solidarités et de la Santé.

Cet arrêté rend opposable la PSSI-MCAS aux établissements de santé publics et privés ainsi qu’à leurs prestataires et fournisseurs intervenant sur leur système d’information. Rappelons que le système d’information couvre les périmètres informatique, biomédical, technique (GTB, GTC) et tout composant comportant de l’informatique embarquée.

La PSSI-MSS est disponible ici

La politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S)

La PGSSI-S est une déclinaison sectorielle de la PSSI-MSS pour l’établissement de règles ou recommandations. Les référentiels et guides qui réalisés en concertation avec l’ensemble des acteurs du secteur, la PGSSI-S couvre l’ensemble des domaines de la santé et du médico-social et fixe le cadre de la sécurisation des systèmes d’information de santé. La mise en œuvre de la PGSSI-S permet de renforcer la confiance et l’adhésion des professionnels, des patients et plus largement du grand public.

Elle est applicable à l’ensemble des acteurs publics ou privés des domaines de la santé et du médico-social (professionnels de santé quel que soit leur mode d’exercice, intervenants professionnels dans ces secteurs, établissements de soins, offreurs de services du domaine, ministères et organismes publics, …). Elle s’applique aussi aux services proposés directement aux personnes concernées par les données (de type réseau social santé, site internet communautaire lié à une pathologie, …).

La PGSSI-S est consultable :

La chaîne fonctionnelle de sécurité

Pour assurer la sécurité des systèmes d’information (SSI) du ministère, il existe une chaîne fonctionnelle de sécurité reposant sur le haut fonctionnaire de défense et de sécurité (HFDS), assisté d’un fonctionnaire de sécurité des systèmes d’information (FSSI), dont les principales fonctions sont :

 la prise en compte et la participation à la rédaction de la règlementation interministérielle
 l’animation du pilotage ministériel de la SSI et l’élaboration de la réglementation ministérielle
 le contrôle de l’application de la réglementation ministérielle
 l’action de la sensibilisation des AQSSI
 le déploiement et la maîtrise des moyens sécurisés de communication
 la rédaction d’un rapport annuel.

Le FSSI est relayé par un réseau des responsables de la sécurité des systèmes d’information (RSSI), rattachés fonctionnellement à leur autorité qualifiée pour la sécurité des systèmes d’information (AQSSI).

Le pilotage de la sécurité des systèmes d’information (SSI) fait partie des attributions du haut fonctionnaire de défense et de sécurité fixées par les articles R1143-1 à R1143-8 du code de la défense.

Le HFDS est responsable de la diffusion, du suivi et du contrôle de la politique nationale de SSI devant être déployée par les responsables (AQSSI).
 Arrêté AQSSI

Les AQSSI étant les responsables juridiques du périmètre concerné, c’est à leur niveau que s’exerce :

 la maîtrise d’ouvrage (définition des enjeux de sécurité liés aux systèmes d’information), la responsabilité de passer des actes contractuels (marchés publics)
 la responsabilité de mettre en place des organisations (comité de pilotage de la SSI, logistique de crise)
 les arbitrages budgétaires
 la possibilité, le cas échéant, d’intenter une action en justice.

Il désigne un RSSI pour les assister.

Le responsable de la sécurité des systèmes d’information (RSSI) est nommé et mandaté par l’AQSSI pour mettre en place la politique générale de sécurité des systèmes d’information de la structure.

Le RSSI en est le responsable opérationnel et ses missions principales sont les suivantes :

 animer localement le pilotage de la SSI ;
 constituer et coordonner un réseau interne de correspondants de sécurité
 mettre en place les plans de sécurité adaptés, en cohérence avec la politique de sécurité des systèmes d’information de l’État et des ministères sociaux et les directives interministérielles
 contrôler régulièrement le niveau de sécurité du système d’information par l’évaluation des risques résiduels
 informer et sensibiliser les utilisateurs du système d’information aux problématiques de la sécurité
 améliorer la sécurité des systèmes d’information par une veille technologique active ainsi que par une participation aux groupes de réflexion ad hoc
 assurer la coordination avec les différents organismes concernés.