Pour les Assises de la Sécurité, 4 axes principaux ont donc été déterminés pour être traités autour de tables rondes du pôle Santé. Des aspects qui reflètent bien la problématique Santé et Sécurité actuelle et les chantiers à mettre en oeuvre de façon urgente : la convergence des stratégies ; les contraintes dues aux risques et menaces ; le caractère fondamental et stratégique de la mise en place de la politique de sécurité qui échoit aux DG et à mettre réellement en oeuvre ; enfin la fonction de RSSI qui doit enfin exister et être considérée à sa juste place.
Par suite, méthodologie et pilotage sont indispensables ; rappelons que la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est recommandée de manière forte dans l’administration publique. Elle est portée par l’ANSSI et constitue un outil complet de gestion des risques des systèmes d’information. Elle permet d’apprécier et de traiter ses risques. “Il faut rappeler qu’il existe un monde entre un plan de reprise d’activité et la continuité d’activité. Il est nécessaire d’avoir une garantie sur 4 points lorsque l’on parle de Sécurité des Systèmes d’Information de Santé. Tout d’abord la garantie pour le patient qu’il y ait une prise en charge avec une médecine de qualité, ce qui sous-entend une architecture fonctionnelle nominale c’est-àdire en bon état de marche avec la certitude de la continuité de service. La garantie également de la sécurité des personnels. Une garantie de sécurité des flux financiers de l’hôpital bien entendu car l’investissement hospitalier est majeur, 50,9 milliards d’euros selon le PLFSS 2009. Il est clair que dans un tel contexte le Hacker se moque des données médicales, et qu’il vise la vente des données financières. D’ailleurs, il y a peu de temps en France, un hôpital a été attaqué et délesté de données de cet ordre. Aujourd’hui encore certains pays de l’Est utilisent et ce, plus au Sud, les données Carte Bleue récupérées … Et pour terminer, la garantie absolue de la confidentialité des données personnelles des patients. Pour ce faire, l'autorité administrative doit, protéger les systèmes d'information (à ne pas confondre avec les systèmes informatiques) et donc, identifier l'ensemble des risques pesant sur la sécurité du système et des informations qu'il traite, eu égard notamment aux conditions d'emploi du système ; fixer les objectifs de sécurité, notamment en matière de disponibilité et d'intégrité du système, de confidentialité et d'intégrité des informations ainsi que d'identification des utilisateurs du système, pour répondre de manière proportionnée au besoin de protection du système et des informations face aux risques identifiés ; en déduire les fonctions de sécurité et leur niveau qui permettent d'atteindre ces objectifs et respecter les règles correspondantes du référentiel général de sécurité. Dans les conditions fixées par le référentiel susmentionné, l'autorité administrative doit réexaminer régulièrement la sécurité du système et des informations en fonction de l'évolution des risques”, résume JP. Blum.
