Suivi #GCVD - 20180911 - Réponse du Conseil d'Etat à l'interpellation Céline Ehrwein Nihan - Les établissements médicaux vaudois sont-ils immunisés contre les virus informatiques ? DSAS


#1

Ce point n'ayant pas été traité lors de la séance du 11.09.2018, il devrait être traité aujourdui:

35. (17_INT_671) Réponse du Conseil d'Etat à l'interpellation Céline Ehrwein Nihan - Les établissements médicaux vaudois sont-ils immunisés contre les virus informatiques ? DSAS.

Résumé: Depuis quelques années, les institutions médicales sont la cible de cyberattaque pouvant mener à la paralysie de leurs systèmes informatiques et au vol de données médicales confidentielles. Outre les dommages potentiellement mortels qui peuvent être infligés aux patients, le coût de ces attaques peuvent se chiffrer en centaines de milliers, voire en millions de francs, sans compter les dégâts d'image. Tous les pays du monde sont concernés et la Suisse aussi naturellement. Le député a donc demandé au CE ce qui est fait pour aider les institutions médicales, privées et publiques, à se protéger contre de telles attaques et à y répondre, ainsi que la nature des mesures d'urgence prévues en cas d'attaques ainsi que les moyens à disposition pour assurer les meilleures réponses possibles à ce genre de situation.

Dans sa réponse, le CE estime ne pouvoir être responsable que pour les établissements subventionnés et relevant donc de l'Etat, comme le CHUV et la FHV. De manière générale, il estime que les mesures de prévention et de réaction sont suffisantes, mais considère que les institutions ne doivent jamais relâcher leur effort de protection et de réaction. Le CE estime que les décisions en matière informatique relèvent de chaque établissement. Il souligne aussi que la prévention n'est pas seulement technique, mais aussi humaine: il s'agit de faire respecter les meilleures pratiques possibles. Les responsables de l'informatique doivent s'assurer que ne sont connectés aux systèmes de chaque institution que les appareils ayant reçu leur autorisation.


#2

2 points
1. La sécurité est bien du ressort de l’individu (CHUV par ex.) mais une part de cette sécurité est également de la responsabilité de la société. Surtout si des entreprises privées et pas seulement d'état possèdent des données concernant directement les individus, dont l'intégrité dépend de l'état.
Nous avons créer la police pour protéger ceux qui ne peuvent pas se protéger eux-même. Il appartient donc aussi aux responsabilités de l’État d'assurer la sécurité des individus. Et, par là même, des centre de données qui mettent l'intégrité de ces individus en danger.
Y a-t-il une force de police chargé de teste le niveau de sécurité des individus et entreprises, spécialement celles qui possèdent des données sensibles? leur a-t-on demandé d'étendre le mandat qui leur ai donné pour l'intégrité des individus à leur intégrité numérique?
2. Les entreprises et institutions privées et publiques doivent organisé plus de hackathon, de primes pour des 0days, bugs et failles. Et pourquoi pas avec l'aide de l'état pour les organiser, même pour les obliger à les organiser.

Il appartient à l'état de s'interroger sur l'avenir de la sécurité informatique, du point de vue de la société et pas seulement du point de vue privé. Enfin n'oublions pas que la sécurité d'un système ne se maintient que par les tests constant des hackers et spécialistes. Ceux-ci par leur recherche constante, l'améliore et le perfectionnent en pointant les erreurs et failles. Car, même avec la meilleures volontés du monde, les système en grouilleront.