Protection des données et cybersecurité, rencontre avec Nicolas JOLIVET du SIB

DSIH – L’intégration des enjeux de cybercriminalité et de cybermalveillance est capitale pour les hôpitaux

A lire dans le numéro 30 du magazine DSIH paru en juin 2020.

Acteur historique de l’hébergement de données de santé, le SIB place la protection et la sécurité de ces données au coeur de son offre de services. Lui-même hébergeur de données de santé certifié, par ailleurs membre du Pôle d’Excellence Cyber (PEC), le groupement d’intérêt public s’appuie sur une équipe dédiée pour accompagner et conseiller ses adhérents ou clients en termes d’intégration des enjeux de cybercriminalité et de cybermalveillance en santé. Cette équipe les aide également à identifier les risques associés. Rencontre avec Nicolas Jolivet, responsable du pôle Protection des données et Cybersécurité du SIB

Quel est le leit-motiv du SIB en matière de protection des données et cybersécurité ?

Nous oeuvrons chaque jour pour une meilleure prise en compte de la cybersécurité et de la protection des données par nos adhérents. En tant que milieu ouvert, l’hôpital se prête aisément aux cyberattaques, à partir d’un bureau, d’une salle d’attente, etc. Et la culture du cyber-risque y est peu mature. Ces deux caractéristiques rendent plus efficaces les cyberattaques, notamment par phishing ou randsomware, comme en atteste l’analyse du modus operandi des récentes attaques de systèmes d’information hospitaliers, dont celle du CHU de Rouen fin 2019. Protéger efficacement les SIH est essentiel pour le secteur de la santé ; les conséquences de ces cyberattaques peuvent être majeures.

Mais la mise en application du RGPD complexifie la tâche. Les établissements doivent consentir à d’importants investissements pour réaliser cette mise en conformité qui requiert des compétences spécifiques. À cela s’ajoute le contexte actuel lié au Covid-19 qui bouleverse les pratiques. Le télétravail et les téléconsultations – devenus incontournables pour assurer la continuité des soins et du service public – majorent le cyber-risque. Le déploiement de nouvelles solutions peut ouvrir des brèches dans les SI par manque de maîtrise ou tout simplement par mégarde, à cause de la pression due à la crise. Il faut impérativement veiller à la sécurité de ces mesures exceptionnelles. Le contexte du Covid-19 constitue en effet une aubaine pour les hackers.

En quoi consiste l’accompagnement du SIB ?

Nous avons commencé par accompagner nos adhérents à la mise en conformité au RGPD, avec des formations spécifiques au secteur de la santé et des audits. Notre offre s’est étoffée avec notamment des prestations de DPO externalisé. En juin 2018, nous avons obtenu la labellisation Cnil « Gouvernance RGPD » et en 2019 nous avons remporté l’appel d’offres de l’Association nationale pour la formation permanente du personnel hospitalier, l’ANFH, pour réaliser des formations auprès de l’ensemble des établissements publics de santé français. Notre périmètre d’intervention s’est ensuite étendu à des prestations orientées sur la cybersécurité. Nous intervenons en tant que RSSI mutualisé ou dédié.

Le SIB propose également un accompagnement organisationnel (norme ISO 27001, HDS…) dans le but de mettre en place un système vertueux d’amélioration. Nous sommes aussi sollicités pour des tests d’intrusion qui permettent de révéler des failles directement exploitables par un attaquant et y sensibiliser tant les agents que la direction générale. C’est un bon levier dont disposent les DSI pour attirer l’attention de la direction sur les cyberattaques et obtenir des moyens. L’intégration des enjeux de sécurité de l’information est capitale pour les hôpitaux.

Pourquoi faire appel au SIB plutôt qu’à d’autres ? 

Grâce à sa longue expérience dans le secteur de la santé (47 ans), le SIB a une très bonne compréhension des SI de santé. Notre activité d’hébergement nous a sensibilisés très tôt aux enjeux de la protection des données de santé. Depuis la création du pôle, nous avons développé un réseau de partenaires de confiance pour seconder les établissements, dont certains sont des opérateurs d’importance vitale (OIV). Concrètement, nous nous adaptons à la maturité des structures et à leurs besoins pour proposer un accompagnement personnalisé mobilisant les moyens conséquents nécessaires.

Enfin, le SIB est la première structure de référence en numérique et santé à intégrer le Pôle d’Excellence Cyber. Celui-ci fédère sur le plan national l’ensemble des acteurs de la recherche, de la formation et de l’industrie pour contribuer au développement d’une cyberfilière française. Notre localisation au coeur de la cyber valley bretonne, notre lien permanent avec les spécialistes de la cybersécurité ainsi que notre statut public font du SIB un partenaire évident pour les établissements de santé et les collectivités.