Sécurité des données

Les recherches internationales montrent que le secteur de la santé est devenu au fil des dernières années une cible privilégiée d’actes de cyber-malveillance de plus en plus rodés. Les hôpitaux et les établissements de soins sont particulièrement concernés. La technique du rançongiciel est par ailleurs maintenant bien connue dans le milieu de la santé.

Consciente des enjeux et des risques, imad porte une attention particulière à ce sujet en adoptant des mesures de sensibilisation destinées aux collaboratrices et collaborateurs et contrôle régulièrement les failles potentielles de sécurité de l’information.

Sur 2’300 systèmes d’archives médicales analysés à travers le monde, 590 étaient accessibles depuis un navigateur sans aucun mot de passe. (Source : Rapport de Greenborne Network (société allemande de sécurité) sur le niveau de sécurité)

Rançongiciel : logiciel malveillant qui entrave le fonctionnement d’un système informatique pour exiger une rançon en échange du déblocage par une clé de déchiffrement par exemple.

Les développements de la mobilité et des nouveaux outils de communication rendent la notion de périmètre de l’institution de plus en plus mouvante et extensible. L’information à protéger est désormais distribuée et mobile.

La sécurité doit répondre aux problématiques rencontrées sur les réseaux :

• Violation de confidentialité
• Usurpation d’identité
• Manipulation de l’information
• Fraude à l’usage
• Déni de service (DoS).

Déni de service : attaque informatique qui a pour but de rendre indisponible un service, et d’empêcher les utilisateurs légitimes d’un service de l’utiliser.

Afin de limiter ces risques et de contribuer à sécuriser les communications et les canaux de collaboration avec l’institution, imad a pris plusieurs mesures:

• Généralisation du principe d’authentification forte à double facteur pour les accès aux systèmes d’information depuis l’extérieur
• Mise en place d’une plateforme d’échange sécurisé de données avec les prestataires et les intervenant·e·s externes. Il est désormais possible de transférer instantanément des fichiers sans limite de taille, en lecture seule ou en mode collaboratif, en assurant des options de contrôle et de traçabilité conformes au cadre législatif genevois sur la protection des données
• Mise en service d’une plateforme collaborative utilisée par les membres du Conseil d’administration pour assurer un meilleur contrôle du cycle de vie des données confidentielles traitées en séance
• Chiffrement du flux de messagerie avec les partenaires du réseau de santé grâce à l’adhésion de imad à la plateforme HIN (Health Info Net) en 2018. La communauté de cette plateforme ne cesse de croître et compte, à l’échelle de la Suisse, plus d’un millier d’organisations
• Publication d’une directive interne sur le nomadisme numérique à l’attention des collaboratrices et collaborateurs. Elle précise les règles d’usage qui permettent de garantir au mieux la sécurité des informations.

• Limiter les risques
• Contribuer à sécuriser les communications et les canaux de collaboration avec l’institution

Le nomadisme numérique désigne toute forme d’utilisation de terminal mobile permettant à un collaborateur d’accéder au système d’information de imad depuis des lieux distants, non maîtrisés par l’institution, tels que les transports en commun, salles d’attente, espaces de coworking, ou tout autre espace public.

imad intègre dans sa culture le gène de la sécurité de l’information : tout le personnel doit en être acteur.

Deux mesures ont été réalisées en 2019 :

• imad a sensibilisé quelque 1’000 collaboratrices et collaborateurs pour qu’ils et elles prennent mieux conscience des enjeux autour de la protection des informations sensibles traitées.
• Les équipes de développement de la direction des systèmes d’information se forment au « Secure Coding » (ou programmation sécurisée). Cette nouvelle compétence permet d’éviter les failles de sécurité lors des phases de conception, de production et d’utilisation des applications développées en interne.

La continuité de service et la disponibilité des systèmes d’information sont indispensables pour garantir la continuité des nombreuses prestations de imad.

Pour minimiser le risque qu’un sinistre majeur affecte les centres informatiques et mette à mal l’institution et ses processus, imad dispose d’un plan de reprise d’activité informatique.

Chaque année, elle procède à un test de bascule et de montée en charge. Le dernier a été réalisé avec succès au mois de novembre 2019.