AUDIT DE SECURITE INFORMATIQUE d’un hôpital : Identifier et réduire les risques auxquels est exposé son Système d’Information Hospitalier

Un important groupe hospitalier parisien confie à BV Associates, la réalisation de l’audit de sécurité de son système d’information.

La sécurité du système d’information est devenue un objectif majeur de toutes les organisations, qu’elles soient privées ou publiques. Pour ce qui concerne les établissements de soins, ils sont dans l’obligation de faire évaluer annuellement leurs dispositifs de sécurité du système d’information qui doivent fait l’objet d’actions d’amélioration dans le cadre des procédures de certification mises en place par les pouvoirs publics et portées par les Agences Régionales de Santé (ARS).

Il est à noter que ce groupe hospitalier est d’autant plus conscient des enjeux de la sécurité de son SI qu’il a été confronté en janvier dernier à des attaques informatiques de grande ampleur. Il est donc devenu primordial d’établir un diagnostic objectif des risques auxquels il est exposé.

L’audit de sécurité mené sur une période de 3 semaines a visé d’une part à vérifier que les mesures de sécurité actuelles étaient efficaces et appliquées mais aussi à en identifier les limites au travers d’une analyse des risques formalisée.

La démarche mise en œuvre par BV Associates pour ces audits de sécurité repose sur la méthodologie EBIOS développée par l’Agence nationale de la sécurité des systèmes d’Information (ANSSI) et s’enrichit de son expertise technique et de son expérience dans le fonctionnement des systèmes d’information.

Elle repose sur 4 phases

> Identification du périmètre (critères de sécurité, biens, mesures de sécurité existantes)
> Etude des menaces (sources, scénario, vulnérabilité)
> Analyse des risques et hiérarchisation
> Etude des mesures de sécurité et constitution du plan d’actions

L’ensemble des travaux menés au cours de l’audit de sécurité font l’objet de livrables conformes aux exigences de certification (HAS, Plan Hôpital Numérique), à savoir :

L’analyse des risques, le rapport d’audit sécurité du SI et le plan d’actions d’amélioration de la sécurité du SI.

Dans la pratique, l’audit de sécurité conduit par BV Associates s’appuie sur 3 éléments principaux :

> des entretiens avec les équipes en charge de la sécurité du système d’information et un panel d’utilisateurs des domaines prioritaires à savoir le processus de soins
> des observations sur l’environnement de travail et les infrastructures techniques de production informatique et de secours
> des tests techniques (tests d’intrusion) et organisationnels  (vérification d’application de la politique de sécurité du SI)

Les échanges avec les équipes de la DSI de ce groupe hospitalier ont permis d’identifier les événements redoutés, les sources de menaces, les scénarios de menaces et les vulnérabilités qui combinés ensemble constituent des risques intolérables pour le système d’information.

Par ailleurs, les tests d’intrusions ont mis en évidence de nouvelles sources de menaces ainsi que des scénarios de menaces pour lesquels le système d’information du Groupe Hospitalier n’était pas correctement et suffisamment protégé.

L’ensemble des risques identifiés a été hiérarchisé selon des critères de vraisemblance et d’impacts comme préconisé par la méthode EBIOS. Cette grille de lecture des risques a permis d’établir l’existence de 4 risques intolérables et de 7 risques significatifs pour lesquels des objectifs de mise en sécurité ont été validés dans le cadre d’une réunion d' »arbitrage des risques » réalisée avec le DSI et le RSSI.

La dernière phase de l’étude a conduit à construire un plan d’action à partir des 15 mesures de sécurités préconisées par BV Associates pour atteindre les objectifs de sécurité définis.