L’étude « Menaces informatiques et pratiques de sécurité en France » (MIPS), menée par le Clusif, se distingue par sa représentativité, la rigueur de sa méthodologie et l’expertise des analystes dédiés à l’analyse de ses données. Elle offre une vision précise des évolutions et des changements observés dans le domaine de la sécurité de l’information.
Aujourd’hui, nous souhaitons mettre en lumière la section relative aux « Etablissements de santé » de cette étude entre 2006 et 2018, soit une rétrospective de 12 ans de pratique cyber.
1- Politique et organisation de la sécurité de l’information
Lors de notre dernier relevé en 2018, 92% des établissements de santé avaient formalisé leur politique de sécurité de l’information, soit une hausse de 37 points en 12 ans.
Les établissements ont également en large majorité attribué la fonction de RSSI (90% d’entre eux) soit une hausse de 63 points en 12 ans. Leur mission se répartit entre les sphères techniques, opérationnelles, juridiques, fonctionnelles et communicationnelles.
- le manque de personnel qualifié (55%, en hausse de 12 points entre 2014 et 2018),
- Le manque de budget (52%),
- la réticence des métiers ou des utilisateurs (18%)
- le manque de connaissances (11% en baisse de 10 points entre 2014 et 2018)
2- Contrôle d’accès
Les répondants de nos enquêtes citent en moyenne 3,2 types différents de contrôle d’accès en vigueur dans les établissements de santé, soit 2 modes de contrôles supplémentaires en 12 ans. Parmi les contrôles d’accès les plus employés, sont cités :
- les modèles d’habilitation sur la base des profils (en forte hausse),
- l’authentification forte par « calculette » à mot de passe non rejouable,
- l’authentification forte par certificat électronique logiciel ou sur support matériel.
3- Sécurité liée à l’exploitation
Concernant l’exploitation, le nombre de types de protection différents cités par les hôpitaux est également en augmentation entre 2006 et 2018. Ces moyens s’étendent fortement sur les équipements mobiles les 4 dernières années.
Les types de protection cités sont :
- les sondes de prévention d’intrusion – IPS (61%),
- les outils de centralisation et d’analyse de journaux de sécurité – SIEM (55%),
- les antivirusLogiciel permettant le repérage et l'élimination d'un programme malveillant sur une machine. sur smartphones et tablettes (39%, +24 points en 4 ans),
- les outils de chiffrementEn cryptographie, le chiffrement est le procédé grâce auquel on peut rendre la compréhension d'un document impossible à toute personne qui n'en possède pas la clé. Voir aussi cryptage. (36%),
- les NAC – Network Access Control (31%),
- les pares-feux sur smartphones et tablettes (31%, +20 points en 4 ans).
4- Gestion des incidents cyber
La part des établissements de santé disposant d’une cellule de collecte et de traitement
des incidents de sécurité de l’information atteint 76% en 2018 soit une hausse de 47 points en 12 ans.
Entre 2014 et 2018, L’informatique liée à la gestion d’une part, et l’informatique du biomédical d’autres part font face à une hausse des incidents, tandis qu’ils sont en baisse pour l’informatique des services généraux.
En 2018, 8% des établissements de santé ont déposé des plaintes suite à des incidents
liés à la sécurité de l’information, soit une hausse de 6 points en 12 ans.
5- Conformité légale et réglementaire
En 2018, des hôpitaux de plus de 200 lits avaient mis en place des indicateurs et/ou un tableau de bord de la sécurité de l’information (TBSSI), soit une hausse de 37 points en 12 ans.
Les motivations avancées pour réaliser ces audits sont :
- le respect de la PSSI (41%, en baisse de 9 points en 12 ans)
- les exigences réglementaires ou contractuelles (31%, en hausse de 13 points dans la même période)
- les suites d’un incident
- un audit de tiers externe
Il est également à relever que les audits motivés par les suites d’un incident sont portés à 14% en 2018, soit en hausse de 5 points en 12 ans.
