Écosystème de santé
Introduction
L’hébergement de données de santé à caractère personnel nécessite une maturité de la part des équipes de la DSI. C’est un projet à part entière qui nécessite de tenir compte de composantes techniques, organisationnelles et humaines. Comme tout projet de transformation digitale, il convient d’adopter les bons réflexes afin d’éviter d’éventuels dysfonctionnements futurs.
Après un préambule consacré au contexte des cyberattaques dans le secteur de la santé, le présent chapitre présente les sept erreurs à commettre pour rater son hébergement de données de santé. Autant donc les connaître pour éviter ces erreurs et suivre les conseils préconisés à la fin de chaque section.
Enfin, une présentation du référentiel de certification HDS en vigueur et de celui à venir sera proposée en fin de chapitre.
Préambule
1. Le ransomware, mon meilleur ennemi !
Depuis fin 2019, les établissements hospitaliers français d’envergure sont clairement ciblés : CHU de Rouen, CH de Dax, CH Villefranche-sur-Saône, gestionnaire ORPEA… Certains services auront mis plus de quatre mois avant de pouvoir redémarrer en mode normal. Il n’y a plus aucune éthique de la part du hacker !
À chaque fois, il s’agit du même mode opératoire : une attaque par phishing, un ransomware, un chiffrement des postes de travail et serveurs, une paralysie du SI et une demande de rançon. Et dans la majorité des cas, il faut repartir de zéro :
-
Fabrication des postes de travail et serveurs à partir d’une image disque (appelée "master").
-
Restauration des données et VM à partir des sauvegardes.
La rançon : l’angoisse de tout utilisateur
En 2020, un premier ransomware est suspecté d’être à l’origine d’un décès en Allemagne (hôpital de Düsseldorf) : impossibilité d’accéder aux urgences et décès durant le transfert vers un autre établissement.
2. L’ANSSI confirme
À date (avril 2021), il y a "une tentative d’attaque par semaine sur des infrastructures de types EHPAD, CHU, hôpitaux et cliniques ou d’autres entités en lien avec des services de santé". Dans le monde industriel privé, il y a aussi beaucoup d’attaques mais c’est moins visible et moins critique que les hôpitaux, avec cependant des contre-exemples comme l’attaque de mai 2021 de Colonial Pipeline, un des plus grands systèmes d’oléoducs de puits pétroliers raffinés aux USA. Une version obsolète d’Exchange a permis aux hackers de bloquer les activités pendant 5 jours et de demander une rançon de 5 millions de dollars (rançon a priori payée). Cette cyber-attaque aux conséquences organisationnelles et économiques effrayantes pour la population a même obligé la Maison blanche à réagir en renforçant les lignes de défense des entreprises privées américaines.
Les cyber-attaques contre le système...
Les sept erreurs à commettre pour être certain de rater son projet HDS
1. Faire l’impasse sur une vraie analyse de risques
a. Verbatim
« L’analyse de risques ? Pas vraiment le temps, je veux que tout soit disponible tout le temps. Et puis, chez un hébergeur HDS, c’est lui qui porte l’entière responsabilité du bon fonctionnement de mon SI, il y a même des pénalités pour cela ! »
b. L’analyse de risque
Il est tentant de vouloir externaliser son DPI (Dossier Patient Informatisé), pour des raisons réglementaires par exemple, et de vouloir aller vite. Mais quels en sont réellement les risques ? Indisponibilité du système, altération des données, divulgation des données... Seuls l’analyse de risques et son résultat permettent d’être en capacité d’appréhender sereinement la cible à atteindre. Mieux, cette analyse est indispensable avant de lancer son projet d’externalisation. « Quel est le périmètre exact que je souhaite externaliser ? Suis-je menacé, par quoi, par qui et comment ? Quelles sont mes vulnérabilités ? » Un travail préparatoire méticuleux est indispensable : identification des biens essentiels, des biens supports et de leurs relations - étude des événements redoutés et des scénarios de menaces - appréciation et évaluation des risques - mesures de sécurité et plan d’action. En fonction de l’évaluation des risques et de la classification de ceux-ci en prenant en compte différents facteurs comme la probabilité d’occurrence et les impacts, un ensemble de mesures de sécurité doit être mis en place afin de réduire les risques.
Cela dit, deux exemples à presque vingt ans d’intervalle permettent d’illustrer que le risque zéro n’existe pas :
-
11/09/2001 - New York : certaines entreprises possédaient leurs salles informatiques dans les deux tours jumelles (la production dans la tour n°1 et le secours dans la tour n°2). Événement à faible probabilité (effondrement des deux tours en même...
La certification HDS
1. Le référentiel HDS 1.0 (en vigueur)
Le référentiel de certification HDS de juillet 2018 introduit une rupture avec le précédent système d’agrément HDS qui était basé sur une procédure déclarative sans contrôles de la part des autorités. Désormais, il s’agit d’une certification qui repose sur des exigences et notamment sur la nécessité de se baser sur une certification ISO 27001, un ticket d’entrée non négligeable.
Les principales exigences de la certification HDS
-
Exigences de référence normative
-
ISO 27001/décembre 2013 : SMSI, intégralité de la norme ainsi que 4 exigences complémentaires.
-
ISO 20000-1/juin 2012 : gestion des services - Partie 1. Exigences du système de management des services, en partie : 4 chapitres ainsi que 1 exigence complémentaires, soit 26 exigences.
-
ISO 27018:2014 : code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans le cadre d’hébergement de type « cloud », en partie, soit 30 exigences.
-
Exigences spécifiques santé : 5 nouvelles exigences
Deux types d’hébergeurs et six niveaux
L’hébergeur d’infrastructure physique nécessite d’obtenir la certification HDS de niveau 1 et de niveau 2 :
-
N1 : housing
-
N2 : housing avec fourniture et MCO de matériel physique
L’hébergeur infogéreur nécessite d’obtenir la certification HDS de niveau 3 à 6 :
-
N3 : PaaS
-
N4 : IaaS
-
N5 : infogérance d’exploitation (niveau assez flou au final)
-
N6 : sauvegarde externalisée
Un hébergeur ayant la certification sur les six niveaux est donc en capacité de proposer six offres d’hébergement bien distinctes : fourniture de mètres carrés sécurisés au sein d’un datacenter...