L’AP-HP réunit 38 hôpitaux franciliens, pour 6,9 millions de prises en charge de patients en 2020. Le groupement a 889 ETP à la DSI qui dispose d’un budget d’investissement et de fonctionnement de 127 ME pour 1 000 applications 10 000 serveurs et 68 000 postes de travail.
Ses priorités sont les suivantes pour protéger ses systèmes et ses données :
– mise en œuvre de moyens d’identification et d’authentification robustes pour les patients et les professionnels de santé, dans le cadre du référentiel d’identification électronique de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) ;
– corriger les vulnérabilités techniques, suite à des scanners de vulnérabilité et des audits de sécurité. « Nous avons une vision assez précise des failles de sécurité, explique Didier Perret, responsable de la sécurité informatique de l’AP-HP lors du webinaire “cybersécurité & santé”. Sur les environnements serveur, la priorité des corrections est donnée aux éléments critiques (systèmes exposés sur Internet, serveurs d’infrastructure, serveurs de messagerie, contrôleur de domaine de l’active directory), dans un délai de 2 mois car cela génère des coupures de service. Nous essayons de raccourcir les délais par des processus d’automatisation mais c’est compliqué. Si le Common Vulnerability Scoring System (CVSS) est supérieur ou égal à 9,8, le plan d’urgence est engagé pour corriger en moins d’un mois. »
– segmentation des réseaux, des systèmes techniques, et du système d’information hospitalier pour limiter l’impact d’attaques ;
– sécurisation de la télémaintenance ;
– sécurisation du réseau d’administration.
Pour Didier Perret, il faudrait plus de troupes : si 1 personne sur 200 travaille à la sécurité des SI dans une banque, dans un hôpital c’est 1 sur 6 000.