La cybersécurité dans le secteur de la e-santé
La cybersécurité vise à protéger au niveau adéquat les systèmes d’informations des acteurs de santé (établissements de santé, des professionnels du secteurs) et des services à destination des patients.
L’analyse consiste à confronter le besoin métier de protection (disponibilité, intégrité et confidentialité) aux menaces qui pèsent sur les systèmes.
La cybersécurité recouvre un ensemble de mesures et de bonnes pratiques permettant de protéger les systèmes d'information, les partages de données, ...
Cela comprend plus précisément :
- l’évaluation des risques,
- l’identification et priorisation des vulnérabilités de sécurité,
- la mise en œuvre des mesures de protection des actifs afin d'assurer la disponibilité du service, la confidentialité et l’intégrité des informations manipulées et la traçabilité des événements.
Une volonté de renforcement du niveau de sécurité global du secteur de la santé
Le programme CaRE (Cybersurveillance accélération et Résilience des Etablissements) a été mis en place pour favoriser le renforcement de la cybersécurité des établissements de santé.
Le développement d’applications et de solutions dédiées aux professionnels de santé et aux patients nécessitent une vigilance accrue des éditeurs, afin de fournir des solutions sécurisées. Les éditeurs jouent ainsi un rôle primordial dans la maitrise des risques et la sécurité opérationnelle des établissements de santé.
La Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) offre un cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière de e-santé.
Les objectifs de la PGSSI-S sont multiples :
- aider les porteurs de projet dans la définition des niveaux de sécurité attendus ;
- permettre aux industriels de préciser les niveaux de sécurité de leurs offres ;
- soutenir les établissements de santé dans le choix et l'application de leur politique de sécurité.
La PGSSI-S représente un maillon normatif important pour renforcer la confidentialité, l’intégrité et la disponibilité des données, ainsi que la continuité des services de santé.
Elle bénéficie aux utilisateurs de système d'information de santé afin de disposer de solutions sécurisées adaptées à l'écosystème santé et médico-social.
Consultez le corpus documentaire de la PGSSI-S
Le référencement des solutions pour garantir la sécurité
L'Etat prévoit différents niveaux d’accompagnement et de financement afin de favoriser l’innovation dans le secteur de la e-santé.
L’auto-évaluation permet tout d’abord d’identifier la maturité de votre solution d’après les critères établis par la Doctrine du numérique en santé. Les résultats obtenus vous aideront à mettre en place une feuille de route en vue d’accélérer le développement de votre solution.
La Vague 2 du Ségur du numérique en santé
Le Ségur du numérique en santé a pour ambition de sensibiliser les éditeurs sur les cibles à atteindre en matière de sécurité du système d'information et leur permettre ainsi de prioriser leurs travaux tout en limitant la surface d’attaque au sein des établissements de santé. Ainsi, 3 niveaux d’exigences ont été définis :
- une dizaine d’exigences permettant de garantir un niveau de sécurité suffisant de la solution de l’éditeur ;
- une douzaine d’exigences en lien avec le référentiel d'identification électronique opposable de la PGSSI-S, dans la situation où le produit à référencer permet la connexion de professionnels de santé et de structures de santé tierces ;
- une demi-douzaine d’exigences (pour les solutions hospitalières) répondant aux objectifs de déploiement d’une solution de Single Sign-On (SSO) puis d’Identity and Access Management (IAM) pour les établissements de santé.
Dans le cadre du Ségur numérique en santé, il est donc demandé aux éditeurs de solution logicielle de :
- réaliser un test d’intrusion auprès d’un prestataire qualifié PASSI (Prestataire d’audit de le sécurité des systèmes d’information) ;
- fournir des preuves de la documentation et pratiques de sécurité mises en œuvre dans le cadre des produits ;
- effectuer des captures vidéo mettant en évidence les sécurités déployées.
L'ANS à vos côtés
Equipe Relation Industriels
Notre équipe Relation Industriels dédiée aux ENS vous accompagne dans vos démarches, notamment à travers l'Espace Authentifié du Portail Industriels. Cet espace vous propose un suivi personnalisé, des informations ciblées et un accès facilité à vos outils pour réaliser vos démarches de mise en conformité.
Equipe Innovation
L'équipe Innovation dédiée entreprises innovante vous accompagne également dans toutes les phases du développement de vos projets pour faciliter la mise en marché de vos solutions. A travers une offre dédiée, nous vous proposons notamment des sessions collectives organisées par des experts de l'ANS, des fiches synthétiques visant à sensibiliser sur des problématiques majeures et stratégiques mais aussi des diagnostics de la maturité cybersécurité de votre entreprise (gouvernance, conception sécurisée du produit, moyens de sécurité, ...).