Sécurité des systèmes d’information : une protection comparable à la sécurité incendie

Eté 2008, une caisse régionale de la Caisse nationale d'assurance maladie est paralysée à la suite d'un incendie survenu dans la salle informatique. Il faut plusieurs semaines aux équipes informatiques pour redémarrer une activité minimale. Hiver 2009 : des hôpitaux français attaqués par le virus informatique Conficker voient certaines de leurs applications altérées : laboratoires, dossier médical informatisé, messagerie électronique, accès au Vidal, etc. L'actualité regorge de sinistres informatiques ayant pour origine une malveillance, une inondation, un incendie, etc. avec pour conséquence une forte perturbation voire l'arrêt total de l'activité. Aucune structure n'est à l'abri. Et s'il apparaît impossible de prévenir toutes les menaces qui pèsent sur le système d'information, les établissements ont cependant la responsabilité de protéger leurs données et de concevoir des mesures palliatives. Tel est l'enjeu du plan de reprise et de continuité d'activité élaboré par la Direction des Systèmes d'Information et des Télécommunications et le responsable sécurité des systèmes d'information du CHU de Nantes.

Eté 2008, une caisse régionale de la Caisse nationale d’assurance maladie est paralysée à la suite d’un incendie survenu dans la salle informatique. Il faut plusieurs semaines aux équipes informatiques pour redémarrer une activité minimale. Hiver 2009 : des hôpitaux français attaqués par le virus informatique Conficker voient certaines de leurs applications altérées : laboratoires, dossier médical informatisé, messagerie électronique, accès au Vidal, etc. L’actualité regorge de sinistres informatiques ayant pour origine une malveillance, une inondation, un incendie, etc. avec pour conséquence une forte perturbation voire l’arrêt total de l’activité. Aucune structure n’est à l’abri. Et s’il apparaît impossible de prévenir toutes les menaces qui pèsent sur le système d’information, les établissements ont cependant la responsabilité de protéger leurs données et de concevoir des mesures palliatives. Tel est l’enjeu du plan de reprise et de continuité d’activité élaboré par la Direction des Systèmes d’Information et des Télécommunications et le responsable sécurité des systèmes d’information du CHU de Nantes.

Parmi les six projets de sécurisation du système d’information, le plan de reprise et de continuité d’activité s’avère primordial. Il poursuit un double objectif :
– rendre plus robuste l’infrastructure informatique et pallier les pannes les plus courantes (panne d’un serveur, coupure d’un lien réseau entre le site de Saint-Jacques et celui de l’hôtel-Dieu) mais aussi les sinistres de grande ampleur (incendie et destruction d’une salle machine informatique). Le dispositif en ce cas est essentiellement technique : doublement des salles informatique et du réseau, etc.
– veiller à la continuité du service et donner les moyens aux équipes de soins, administratives et techniques de fonctionner, même de façon limitée. Pour cela un dispositif de substitution doit être prévu, il peut être essentiellement organisationnel et s’appuyer sur les autres moyens de communication téléphone et du fax, etc.

Pour élaborer ce dispositif, les procédures dégradées doivent être définies par les services métiers eux-mêmes en fonction des risques qu’ils jugeront majeurs ou inacceptables. Ces procédures devront ensuite être diffusées, connues et testées régulièrement, de la même manière les procédures de sécurité incendie.

Le calendrier
Lancé fin 2009, le plan de reprise et de continuité d’activité est actuellement dans sa phase pilote pour la partie des applications métiers. Son développement devrait se poursuivre jusqu’à la fin 2012. La Direction des Systèmes d’Information et des Télécommunications, puis le Responsable Sécurité des Systèmes d’Information (Cédric Cartau, arrivé en septembre 2009) ont structuré les projets sécurité, en relation forte avec les directions métier et les maîtrises d’ouvrage au CHU de Nantes.

L’infrastructure informatique au CHU : données repères
– 500 serveurs,
– 5 000 postes de travail,
– plusieurs millions de fichiers sur les serveurs bureautiques,
– environ 50 attaques virales bloquées chaque jour,
– environ 230 000 spams bloqués chaque jour.

Contact
Cédric Cartau, Responsable Sécurité des Systèmes d’Information
02 40 84 60 08
href= »mailto:cedric.cartau@chu-nantes.fr »

Commentaires

Il n’y a pas encore de commentaire pour cet article.

Sur le même sujet

A Lyon, l’IA prédit désormais des résultats d’essais cliniques

Le 11 septembre dernier, le groupe pharmaceutique AstraZeneca a publié les résultats d’un essai clinique sur un traitement pour soigner le cancer du poumon. Jusqu’ici, tout paraît à peu près normal. Ce qui l’est moins : trois jours avant cette publication, une intelligence artificielle a permis de prédire avec justesse les résultats de ce même essai. Une grande première au niveau mondial.

Dossier : l’Accident Vasculaire Cérébral (AVC)

L’Accident Vasculaire Cérébral touche 150 000 personnes par an. Responsable de 110 000 hospitalisations selon le ministère de la santé, cet arrêt soudain de la circulation sanguin à l’intérieur du cerveau représente la troisième cause de décès chez l’homme et deuxième chez la femme, soit au total 30 000 décès par an. En France, plus de 500 000 Français vivent avec des séquelles suite à un AVC.

AVC : la promesse d’une prise en charge en moins de dix minutes

Les conséquences d’un Accident Cardiovasculaire (AVC) peuvent être lourdes, voire fatales. Première cause de dépendance et troisième cause de mortalité en France, cette pathologie due à une mauvaise irrigation du cerveau fait de plus en plus de victimes. Face à cette réalité alarmante, le CHU de Montpellier a annoncé fin août la mise en place d’un nouveau plateau technique offrant aux patients un parcours de soins optimisé. Et de promettre désormais une “prise en charge en neuf minutes”.

Coup d’oeil sur le métier d’infirmière formatrice

Isabelle Teurlay-Nicot est infirmière formatrice auprès des aides-soignants à l’IMS (Institut des Métiers de la Santé) du CHU de Bordeaux. Un métier qui ne se limite pas seulement à la notion d’apprentissage. En juillet dernier, elle a accepté de revenir sur cette profession ou se mêlent expertise médicale et pédagogie.

Hépatite C : à Strasbourg, Frédéric Chaffraix dirige le service qui l’a soigné

C’est tout près de l’hôpital Civil (Hôpitaux Universitaires de Strasbourg) que nous avons croisé la route de Frédéric Chaffraix, Responsable du Service Expert de Lutte contre les Hépatites Virales en Alsace (SELHVA). Ce service, l’homme de 42 ans le connaît bien. Car avant d’en prendre la tête – lui qui n’est pas médecin -, Frédéric l’a côtoyé en tant que patient, après avoir vécu vingt-trois ans, et sans le savoir, avec le virus de l’hépatite C. Rencontre.