Rapport 2018 du CLUSIF : « Menaces informatiques et pratiques de sécurité en France »

Le CLUSIF réalise, comme tous les 2 ans, un bilan approfondi des usages en matière de sécurité de l’information en France.

La sécurité des Systèmes d’Information de santé est soumise à un cadre réglementaire en constante évolution. L’enquête va permettre de mesurer certains effets d’Hôpital numérique et autres exigences réglementaires (PGSSI-S, Certification des comptes, etc.). Elle traduit aussi les premiers impacts de la règlementation RGPD et des mises en œuvre des GHT : nouveaux métiers, stratégies de territoire, mutualisation…

Quelques résultats marquants sont précisés ci-dessous:

Un des faits majeurs de l’étude est la Croissance spectaculaire du nombre d’établissements ayant formalisé leur PSSI (de 50% des établissements en 2014 à 92% en 2018). Le pilotage de la sécurité de l’information s’appuie majoritairement sur des normes ou des référentiels.

Beaucoup d’établissements ont effectué un inventaire au moins partiel de leurs risques, et en ont déduit un plan de réduction de ces risques. Le gestionnaire des risques est principalement le RSSI. Il est très positif de noter globalement une « croissante forte de la fonction RSSI » qui est attribuée dans 80% des établissements.

On constate par contre que les établissements sont incapables de bien évaluer les coûts liés à la sécurité de l’information (81% des répondants). De même, peu d’établissements (1/3) font une analyse de l’impact financier des incidents.

Cependant ces mêmes établissements affirment que le budget sécurité de l’information est en augmentation pour 1/3 d’entre eux.

Tous les établissements ou presque ont une charte d’utilisation du SI.

L’inventaire des actifs (informations et supports) est quasiment généralisé.

On constate une très nette priorité à la protection des outils de mobilité qui prend ainsi en compte la transformation des usages en particulier le nomadisme.

Le fait notable dans les pratiques de sécurité est le filtrage des accès internet qui explose, puisqu’il passe de 14% en 2010 à 75% des établissements en 2018.

Le recours à des spécialistes de l’hébergement de données de santé est relativement répandu puisque 42% des établissements ont externalisé tout ou partie de leur SI.

Les établissements semblent se donner les moyens de collecter les incidents de façon plus exhaustive, et d’être plus efficaces dans leur traitement

La gestion de la Continuité d’Activité continue à progresser dans le monde des hôpitaux à travers la mise en place de dispositifs de gestion de crise, ou la progression des tests de PCA/PRA.

Enfin, et concernant la conformité, plus de 8 établissements sur 10 déclarent être conformes aux exigences du Programme Hôpital Numérique. 56% des établissements seraient (partiellement) prêts pour le Règlement Général sur la Protection des Données (RGPD). Cette tendance, se matérialise en particulier à travers les audits puisque 7 établissements sur 10 déclarent mener en moyenne de 1 à 5 audits par an.

Téléchargez le Rapport complet sur le site du CLUSIF

Partager ce document sur les réseaux