Cette production de L’Agence nationale d’appui à la performance des établissements sanitaires et médico-sociaux (Anap), sous forme de fiches pratiques, fait le point sur la cybersécurité en établissement sanitaire et médico-social, et présente des mesures simples à mettre en place pour se protéger et limiter les risques.
Stéphane Pardoux, directeur général de l’Anap le souligne en introduction de ce document intitulé « La cybersécurité en établissement de santé : plan d’attaque contre les attaques » : « Les secteurs sanitaires et médico-sociaux poursuivent leurs transformations numériques. Les usages des outils numériques sont inscrits dans la pratique quotidienne de tous les professionnels de santé. Cependant, avec des cyberattaques toujours plus nombreuses, il est indispensable à tous de comprendre et de se protéger pour ne pas mettre en péril la prise en charge du patient et impacter les professionnels. »
Parmi les actions suggérées se trouvent cinq mesures d’hygiène informatique :
– la segmentation des réseaux : une meilleure fiabilisation technique globale du système d’information passe
par la division du réseau ;
– L’Active Directory (AD) * pour la gestion des droits et des identités : Pour renforcer la sécurité informatique de votre établissement, la gestion des droits et des identités doit s’appuyer sur l’Active Directory (AD) . Il offre plusieurs avantages ;
– la gestion des habilitations et des mises à jour pour combler les failles de sécurité : combler les failles de sécurité se traite aussi en limitant les droits d’accès nécessaires à chaque utilisateur et en maintenant à jour les logiciels par
l’application des correctifs publiés par les fournisseurs.;
– la sensibilisation au phishing : appelé également « hameçonnage », le phishing consiste à récupérer par duperie les données personnelles ou bancaires d’un collaborateur;
– la réponse aux incidents : l’objectif de la réponse aux incidents est de limiter les dommages causés par
une cyberattaque, de compliquer les chemins d’attaques, de restaurer les systèmes et de minimiser les interruptions des opérations. Ainsi, les trois piliers pour contrer les cybermenaces pour les établissements sont la réactivité, la connaissance du système informatique et la mise en place d’un centre opérationnel de sécurité (SOC).
Les dirigeants doivent pleinement appréhender les répercussions potentielles d’une attaque cyber, notamment les conséquences d’un arrêt d’activité ou d’Internet. Leur implication active dans les décisions stratégiques relatives à la cybersécurité doit être nécessairement au cœur de leur gouvernance.
• La cybersécurité en établissement de santé : plan d’attaque contre les attaques, Anap, 19 juin 2024. (PDF)
* L’AD est un service de répertoire qui recense l’ensemble des personnes autorisées à accéder au système d’information. Il gère l’authentification (identifiant, mot de passe), les droits d’accès (réseau, logiciels) et la gestion des politiques (lecture/écriture, horaires d’accès, accès local/distant, de vices autorisés, etc.).
