Gestion des risques dans les établissements de santé : renforcer la sécurité et optimiser les coûts informatiques

Augmenter la marge de manœuvre financière pour des investissements informatiques ciblés

L'Office fédéral allemand de la sécurité des technologies de l'information (BSI) recommande d'investir environ 20 % du budget informatique dans la cybersécurité et de renforcer la protection des données sensibles. Cependant, la plupart des établissements de santé sont loin d'y parvenir. Il n'est ainsi pas surprenant que ces établissements en particulier, qui entrent dans la catégorie des infrastructures critiques d'un pays, soient régulièrement la cible de piratages informatiques. Ces derniers mois par exemple, le groupe hospitalier de Soest et l'hôpital universitaire de Francfort ont été touchés en Allemagne, et d'importants services ont été partiellement voire complètement paralysés.

Même lorsque les dégâts sont limités, comme dans le cas du plus grand hôpital de Hesse à Francfort-sur-le-Main, et qu'aucune donnée n'a été extraite ou cryptée, la pression est particulièrement forte dans le cas d'attaques contre des infrastructures critiques. Le risque de dommages collatéraux et, par conséquent, la pression non seulement interne mais aussi publique visant à minimiser ou à éliminer les dommages éventuels le plus rapidement possible, sont souvent plus importants. Cela devrait inciter davantage les cybercriminels à tenter leur chance.

Il est donc d'autant plus important pour les cliniques et les hôpitaux de gérer activement les risques potentiels et de faire des investissements ciblés dans la sécurité et la disponibilité des données, ainsi que de renforcer la cyber-résilience au sein de l’organisation pour se protéger contre les nombreuses attaques qui se produisent dans la vie professionnelle quotidienne, telles que les courriels d'hameçonnage ou les logiciels malveillants.

Dans cet article, nous montrons, à l'aide de deux exemples concrets tirés du secteur hospitalier, comment les organisations peuvent utiliser des licences de logiciels d'occasion pour dégager une nouvelle marge de manœuvre financière dans leur budget informatique, ce qui leur permet de réaliser des investissements urgents dans des domaines comme la cybersécurité et la sécurité des données.

Gestion des risques dans les établissements de santé : sécurité, disponibilité et souveraineté des données

Dans toutes les organisations d'infrastructures critiques, mais aussi dans l'administration publique, les exigences ne cessent d’augmenter en matière de sécurité des technologies de l'information et des données. À juste titre, car il existe peu de domaines dans lesquels la quantité, l’importance et la profondeur des informations personnelles sont aussi élevées que dans celui de la santé : données sur les patients et les traitements, données de recherche ou encore données financières et de facturation. Les établissements hospitaliers et les cliniques en particulier devraient mettre en place leur propre système de gestion des risques et se concentrer sur les scénarios clés suivants :

1. Évaluation et gestion des risques

Une analyse régulière des risques est essentielle pour identifier les faiblesses de l'infrastructure informatique et évaluer les menaces potentielles. Il est également essentiel d'élaborer un plan de gestion des risques afin de réduire ou d'éliminer les risques identifiés.

2. Protection des données et conformité

Il est essentiel de garantir le respect des exigences légales du secteur ou propres à l’organisation et d’examiner continuellement le degré de conformité de tous les systèmes et processus avec les lois nationales et internationales sur la protection des données, notamment le RGPD. Des formations régulières pour tous les employés sur la protection des données, la conformité et la cybersécurité sont également essentielles pour maintenir un niveau de sensibilisation aussi élevé que possible.

3. Mesures de sécurité techniques

• Cryptage SSL : les données sensibles doivent être cryptées à la fois lors de leur transmission et de leur stockage.
• Sécurité des réseaux : mise en œuvre de pare-feu, de systèmes de détection d'intrusion (IDS) et de systèmes de prévention d'intrusion (IPS).
• Sécurité des points de terminaison : sécuriser tous les appareils concernés à l'aide de logiciels antivirus, d'outils anti-malware et de mises à jour régulières.
• Contrôle d'accès : mise en place de procédures d'authentification forte, ainsi que de restrictions sur l'accès numérique et physique aux données particulièrement sensibles.

4. Gestion et disponibilité des données

• Effectuer des sauvegardes régulières avec des cycles aussi courts que possible, de préférence quotidiennement, afin de pouvoir réagir rapidement en cas de perte de données.
• Mettre en place un plan de reprise après une cyberattaque ou une perte de données.
• Éviter une dépendance excessive à l'égard d'un seul fournisseur de logiciels, en particulier avec l'intégration croissante des services cloud dans l'infrastructure informatique.  

5. Réponse aux incidents et surveillance

Création d'un plan d'action détaillé pendant et immédiatement après une faille de sécurité, avec des actions et des responsabilités claires dans tous les domaines de l’organisation, y compris la communication interne et externe.

Mise en place d'une surveillance spécifique des activités des réseaux et des systèmes afin de détecter les signes de cyber-attaques ou de comportements suspects.

6. Associations et certifications en matière de sécurité

Travailler avec des entreprises spécialisées en sécurité et des experts externes pour vous informer sur les dernières menaces et stratégies de défense, et obtenir des certifications reconnues dans le secteur afin de renforcer la confiance des patients, des employés, des partenaires commerciaux et des actionnaires/parties prenantes.

7. Analyse continue et optimisation de la stratégie de sécurité actuelle

Mettre en place des cycles réguliers d'information et de suivi des tendances et des développements actuels dans le domaine de la cybersécurité afin d'adapter en permanence la stratégie de l’organisation.

Une gestion active des risques réduit les coûts de licence et permet de générer une marge de manœuvre financière 

Ces mesures visant à renforcer la sécurité des technologies de l'information et des données exerceront cependant une pression supplémentaire sur des budgets déjà serrés. S’il n’est pas possible de faire des économies dans d'autres domaines, seuls quelques hôpitaux seront en mesure d'augmenter avec efficacité leurs dépenses en matière de sécurité informatique. D'autant plus que l'intégration croissante des solutions cloud entraîne de nouveaux défis financiers et de sécurité, du moins dans certains domaines. De nombreux responsables informatiques préfèrent ainsi les solutions consolidées et fiables sur site, en particulier pour les logiciels standard largement utilisés dans l'environnement de travail des hôpitaux, par exemple dans l'administration hospitalière.

L'acquisition et l'intégration de licences logicielles d'occasion dans l'architecture logicielle existante permettent de réaliser des économies importantes sur les coûts de licence, jusqu'à 70 % par rapport à la licence la plus récente. En outre, les licences qui ne sont plus nécessaires peuvent être vendues pour générer de nouveaux flux de trésorerie.

Cela vous semble-t-il trop beau pour être vrai ? Voici deux exemples qui le confirment de manière impressionnante :

Découvrez-le gratuitement

Exemple 1 - Groupe Asklepios : les logiciels d'occasion ont permis une réduction des coûts de licence de plus de 50 %

Le secteur de la santé subit une très forte pression sur les coûts depuis de nombreuses années, en particulier pour le fonctionnement des hôpitaux et des cliniques spécialisées. Récemment, l’arrêt du support de plusieurs systèmes d'exploitation et applications Microsoft a été une bonne occasion de s'attaquer aux coûts de licence et de combler les failles de sécurité imminentes. Dans cette étude de cas, vous découvrirez pourquoi la direction du groupe Asklepios a opté pour l'octroi de licences Microsoft d'occasion, ce qui lui a permis de réaliser des économies de plus de 50 % par rapport à l'achat de nouvelles licences.

Le groupe Asklepios Healthcare est l'une des principales chaînes privées d'hôpitaux et d'établissements de soins de santé en Allemagne, avec plus de 50 000 employés et près de 2,5 millions de patients par an.

Exemple 2 - Medius Kliniken : utilisation du logiciel PREO plutôt qu'une solution cloud

À mesure que la numérisation progresse, les hôpitaux doivent comme les autres entreprises se pencher sur la question de savoir quelle stratégie cloud adopter. Les exigences en matière de lieu de travail, de finances et de sécurité sont décisives à cet égard. Dans cette étude de cas, vous découvrirez pourquoi les responsables informatiques de Medius Kliniken, dans le Bade-Wurtemberg, ont opté pour les solutions Microsoft Cloud actuelles en ce qui concerne l'octroi de leurs licences de logiciels d'application et de systèmes d'exploitation standardisés, réalisant ainsi une économie de 50 % sur les coûts usuels de licence.

Medius Kliniken est une entreprise à but non lucratif située dans la région d'Esslingen, qui compte 31 cliniques médicales spécialisées, 22 centres de santé et plus de 3 000 employés.

Conseils de PREO aux exploitants d'hôpitaux et de centres de soins de santé : calculer les économies qu’il est possible de réaliser

Une grande partie des clients de PREO viennent du secteur de la santé, notamment des associations d'hôpitaux, des exploitants de cliniques spécialisées, de centres de rééducation et de soins, ainsi que des compagnies d'assurance maladie et des assureurs. Profitez de l'expérience des experts en licences de PREO et faites calculer, gratuitement et sans engagement, les économies que vous pourriez réaliser par rapport à vos coûts de licences existants.

Découvrez-le gratuitement

Avec PREO, vous pouvez compter sur un fournisseur B2B expérimenté et réputé.

Plus de 1 000 entreprises ont déjà bénéficié des avantages de l'intégration conforme et à l’épreuve des audits des licences en volume d’occasion dans leur gestion des actifs logiciels. En tant que pionnier du commerce européen de logiciels d'occasion, PREO offre de nombreux avantages aux entreprises, aux organisations et aux administrations ou institutions publiques :

• Acquisition de licences 100 % conformes à la législation et à l'épreuve des audits, avec une transparence maximale à toutes les étapes du processus, y compris une documentation complète sur le portail de licences PREO "Easy Compliance".
     
  
• De nombreuses années d'expérience dans l'intégration de licences de logiciels d'occasion dans des structures de réseau classiques ou des modèles de licences hybrides.
  
  
• Plus de durabilité dans le secteur des technologies de l'information en promouvant une économie circulaire active et en réduisant l'empreinte CO2 de l’entreprise.
  
  
• PREO est le premier vendeur de logiciels d'occasion à disposer d’une certification et d’un score EcoVadis, la plus grande entreprise mondiale à fournir des évaluations des entreprises en matière de durabilité.
  
  
• Une connaissance approfondie du marché et une forte expérience démontrée par le transfert réussi de plus d'un million de licences de logiciels d'occasion, dont la conformité a été prouvée lors d'audits.
  
  
• Des capacités avérées de gestion des licences logicielles pour les grands projets d'infrastructure informatique comportant des milliers de postes de travail et une implantation transnationale.
  
  
• Des projets de référence impressionnants, réalisés avec succès pour de nombreux groupes et entreprises de taille moyenne ou grande dans un large éventail de secteurs d'activité.