Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris,
Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient 2
Les hôpitaux publics présentation de l échantillon 150 hôpitaux publics français de plus de 200 lits ont été interrogés 19% appartiennent à un groupement 21% comportent + de 1 000 lits Les personnes interrogées des RSSI dans 17 % des cas (contre 28 % en 2010) des responsables informatique dans 72 % des cas Les résultats sont redressés pour obtenir des chiffres représentatifs par taille d établissement 3
Formalisation d une PSSI: les hôpitaux de plus de 1 000 lits largement en tête 17% des établissements interrogés ont formalisé une PSSI pour être en conformité avec le programme Hôpital Numérique la Direction Générale soutient cette politique à 90% 88% l ont révisée il y a moins de trois ans Sources d inspiration principales : les normes ISO 27001 / 27002, et le guide PSSI de l ANSSI 4
Organisation et moyens : un bond des RSSI depuis 2010 Le RSSI ou le référent sécurité SI s impose désormais dans 60% des établissements hospitaliers (mais dans 74% des cas cette personne n est pas à temps plein sur cette activité) Un rôle qui demande aussi un intérêt et des compétences pour les aspects juridiques 5
Les budgets informatiques sont en hausse, les budgets sécurité sont globalement stables La dépendance au bon fonctionnement de l informatique est totale (mais pas supérieure à 2010) : 79 % de dépendance forte, 18% de dépendance modérée La part du budget sécurité dans le budget informatique régresse, même si 31% des répondants ne la connaissent pas (si l établissement ne dispose pas d un plan d actions sécurité formalisé) Freins : manque de budget (52%) manque de personnel qualifié (43%) 6
Les inventaires et classifications des biens progressent 29% ont inventorié les supports informatiques: augmentation du management des opérations informatiques, réduction des incidents de disponibilité 25% ont inventorié les informations et leur ont attribué un propriétaire : préparation à la certification des comptes 61% des établissements ont commencé à classifier les informations 7
Les analyses de risques se standardisent fortement 60% des établissements ont réalisé une analyse de risques 19% des AdR portent sur l ensemble du SI 27% sur les activités métiers (comme le recommande la DGOS) 13% sont limitées au périmètre de l informatique Méthodes utilisées : forte progression des méthodes standard 8
Les Chartes d'utilisation du SI se sont généralisées pour le personnel Plus de 80% impliquent la Direction dans l élaboration de la charte, qui est signée par les utilisateurs dans plus de 50% des cas Cible : le personnel (33 % seulement pour prestataires/fournisseurs) 1/3 des établissements a un programme de sensibilisation à la sécurité de l information (news dans l intranet, mails, articles dans le journal interne) 9
La sécurité physique du dossier papier est clairement du ressort des professionnels de santé La responsabilité de cette sécurité physique dépend du lieu de stockage : service de soins quand le patient est présent, puis archives quand le patient est sorti l absence de preuve signée (papier ou signature électronique), malgré la présence d éléments enregistrés/validées électroniquement, ne permettent pas forcément une prise en compte sur le plan juridique 10
Le «nomadisme» augmente mais sous le contrôle de la DSI Ouverture des accès à partir de l extérieur au SI ordinateurs portables : 75 % (+14 points par rapport à 2010) tablettes/smartphones : 46% fournis par l établissement, 23% en BYOD Accès vers l extérieur messagerie instantanée externe et réseaux sociaux interdits dans 70% des cas Mais accès à internet sans filtrage : 86% 11
Lutte antivirale, protection contre les intrusions et gestion des vulnérabilités Ordinateurs (fixes et portables) : protection classique très élevée (anti-virus, pare-feu, anti-spam) Smartphones et tablettes : protection pas à l ordre du jour? Chiffrement des données sur équipements mobiles : très faible (moins de 20% sur les ordinateurs portables, inexistant sur les smartphones/tablettes) Chiffrement des échanges de données: se généralise (75% des établissements, plus de 90% pour les établissements de plus de 1 000 lits) 12
Lutte antivirale, protection contre les intrusions et gestion des vulnérabilités (2) Utilisation d IDS et d IPS : moins répandue dans les hôpitaux que dans l industrie Déploiement des SIEM : 1 établissement sur 2 (en progression) NAC (Network Access Control) et DLP (Data Leak Protection) restent des technologies peu utilisées 13
Le recours à l infogérance stagne, avec un manque de suivi très important SI placés sous contrat d infogérance : 28% une partie, 3% la totalité établissements de + de 1 000 lits : 18% (ils en font un suivi dans 50% des cas. autres établissements : 35% (ils en font un suivi dans 34% des cas seulement) 70% des établissements n auditent pas leur infogérance (+ de 1 000 lits : 50%) 14
Contrôle des accès : vers le développement de la carte d établissement multifonction Authentification l emploi d une carte contenant le certificat numérique est le mode d authentification forte le plus répandu : 67% l authentification par certificat logiciel est employée dans 40% des hôpitaux, bien qu étant contraignante pour les utilisateurs l usage de la calculette est très limité : 10% la biométrie est refusée par la CNIL et rejetée par les utilisateurs (syndicats), car vue comme une atteinte à la personne Mots de passe et habilitations SSO : 34% forte progression des procédures de création / modification / suppression des comptes nominatifs des utilisateurs et des administrateurs 15
La veille en vulnérabilités : pas encore arrivée à un niveau de maturité suffisant pour être systématisée Procédures de gestion des correctifs de sécurité sont en léger recul : 43% effet probable d une forte augmentation de l informatisation des hôpitaux et du parc matériel parfois très spécifique Développement sécurisé quasiinexistant 16
Gestion des incidents et sinistralité 56% des hôpitaux (33% en 2010) ont une équipe chargée de collecter et traiter les incidents de sécurité Les dépôts de plainte n augmentent pas (hôpitaux de taille importante : plus de 9% ont déposé plainte au moins 1 fois) 17
La gestion de la continuité d activité progresse dans le monde des hôpitaux Processus formalisé : plus de 40 % Mais 1 hôpital sur 4 annonce ne pas avoir réalisé d évaluation de ses exigences de continuité Métier Exercices : leur fréquence a, en moyenne, diminué considérablement jamais testé par les utilisateurs : 51% jamais testé par équipes techniques : 45% 10% des hôpitaux seulement couvrent 100 % de leurs solutions lors des tests effectués 1/2 des hôpitaux dispose d une cellule de crise 1/4 ne dispose d aucun processus formalisé de gestion de crise 18
Le programme Hôpital Numérique comme moteur de la conformité 9 établissements sur 10 affirment être conforme (ou en cours) aux prérequis sécurité d Hôpital Numérique (fiabilité, disponibilité, confidentialité). La conformité par rapport à la CNIL reste à améliorer A peine, la moitié des établissements réalisent au moins un audit par an : Technique : 63% (+20 points) Organisationnel : 60% (+23 points) Tests d intrusion : 28% (+5 points) 19
Tableaux de bord : la disponibilité comme principale préoccupation Les indicateurs mesurés les plus importants reflètent les exigences des programmes de la tutelle (Hôpital Numérique, certification HAS) Cible : pilotage / stratégie SSI, Direction / Comité de direction 20