Accueil L’AP-HM veille sur sa santé en évitant menaces et incidents

L’AP-HM veille sur sa santé en évitant menaces et incidents

» IT-Sécurité

La sécurité, des datacenters aux défibrillateurs, un objectif vital fixé par le responsable de la sécurité des systèmes d’informations des hôpitaux de Marseille.

 

> Philippe Tourron

« Nous recherchons, en mode préventif, à mieux repérer les menaces et les comportements qui seraient en dehors de ce qu’on attend en termes de sécurité. En outre, nous devons y réagir de façon rapide et efficace », résume Philippe Tourron, le RSSI de l’AP-HM, l’Assistance Publique des Hôpitaux de Marseille.

Cette mission, complexe en local, se complique dans un environnement multi-sites comptant 15 000 utilisateurs mobiles se partageant quelques 10 000 postes de travail et des dispositifs médicaux connectés. Les applications en place sont d’une grande diversité ; elles touchent au domaine biomédical, à la gestion d’infrastructures des bâtiments et au système d’information hospitalier : « Sur 300 applications de taille variable, nous avons 15 applications majeures et moins de 10 services hébergés à l’extérieur. Et de nombreux éditeurs spécifiques ont des besoins de remontées d’informations », note-t-il.

Des temps de réponse critiques

Avec plusieurs datacenters répartis sur les sites phocéens, l’AP-HM dispose depuis 2017 de nouvelles procédures associées à son propre plan de secours. « C’est une obligation réglementaire pour l’hébergeur de données de santé que nous sommes. Nous réfléchissons à présent à l’échelle régionale, dans le cadre du groupement hospitaliser des territoires. Nous voulons bâtir une solution de reprise en cas de crash, mutualisée avec d’autres établissements », explique-t-il.

La région PACA compte 13 établissements pouvant apporter des services continus en cas d’incident majeur. Par exemple, une expérimentation sur les services d’urgences a été menée récemment. En aucun cas, la sécurité informatique ne doit devenir un frein aux urgentistes : « Pour une raison métier, la problématique était d’ouvrir une session en moins de trois secondes. Nous avons mis en place un système de badges compatibles avec la CPS (Carte de Professionnel de Santé) pour répondre aux usages mobiles. Dans le domaine de la santé, les nouvelles procédures de sécurité doivent s’avérer plus pratiques que celles en place », observe-t-il.

La rapidité d’accès et la sécurité des accès doivent progresser ensemble. Des solutions open source et des produits du marché sont retenus dans l’infrastructure réseau : « Nous nous appuyons sur des solutions sûres et maintenues. avec trois à cinq niveaux de barrières à franchir pour accéder à la donnée. Dans le domaine de la protection des accès, nous utilisons le Bastion du français Wallix qui s’étend à l’ensemble du système d’informations de l’AP-HM. Nous avons l’obligation de maîtriser les flux des mainteneurs et de mettre en place un contrôle adapté aux dernières directives de notre branche », précise Philippe Tourron.

Davantage d’usages connectés

La mobilité et les objets connectés exigent de nouvelles protections pour les personnels utilisant une tablette ou un smartphone comme pour les patients porteurs d’un stimulateur cardiaque : « Le défibrillateur implanté est un dispositif médical actif ; c’est un objet connecté que l’on surveille à distance », confirme le RSSI. Il associe le contrôle des logiciels embarqués au morcellement de son système d’informations : « Nous devons rester vigilants sur tous les composants. Nous entrons dans l’ère du développement agile qui amène à développer plus rapidement, à partir de briques réalisées par d’autres. Comment assurer la sécurité des codes enfouis ? Qu’est-ce qui garantit qu’il n’y a pas de code malveillant ou de code espion récupérant des données lorsqu’elles transitent via ce service ? Il faut parvenir à maîtriser la complexité et la variété des composants, dont l’origine devrait être garantie ».

Certifié ISO 27001 sur son périmètre d’agrément pour l’hébergement, l’AP-HM doit retenir des équipements ayant, a minima, ce niveau de certification en sécurité. « Nous sommes dans une phase intermédiaire. Nous gérons un Cloud circonscrit, une bulle que l’on tend à rendre générique. Progressivement, nous approvisionnerons davantage d’environnements virtualisés et suivrons la maturité du Cloud », conclut-il.

 

Gérer les crises numériques

Depuis 2012, une gestion de crises est organisée qui déclenche des entraînements réguliers au sein des équipes techniques de l’AP-HM. « Cette pratique permet d’accélérer la détection de menaces, et la réaction aux évènements anormaux sur le réseau, par exemple lorsqu’on ne sait pas résoudre un incident avec une seule compétence, de façon simple », illustre Philippe Tourron, le RSSI de l’AP-HM.

La première étape consiste à repérer les comportements suspects, sans délai. Pour y parvenir, un SOC a été mis en place dès 2015. L’étape suivante intervient lorsqu’une menace est avérée. Dans ce cas, la réaction doit être rapide, soutenue par les procédures préparées d’avance, et par les listes de vérification contrôlant leur efficacité. n