3ème Colloque SSI Santé du ministère (Partie 1)

Sa troisième édition aura encore été un excellent cru, riche en partages et retours d’expériences, grâce notamment à son chef d’orchestre de l’ombre, Frédérique Pothier.

On notera que l’introduction de ce congrès a été réalisée par Gilles de Margerie, Directeur de cabinet de notre Ministre Agnès Buzyn, montrant une conscience du risque numérique en forte croissance comme il l’a lui même souligné, de la part du Ministère.
« Chaque interconnexion est un facteur de risque supplémentaire !» « Nous avons aujourd’hui plus d’ennemis qui cherchent à exploiter nos vulnérabilités ».
Tout comme notre très apprécié FSSI Philippe Loudenot, il a rappelé que la sécurité des SI était avant tout une question de gouvernance, et que si elle était l’affaire de tous, elle était également de plus en plus professionnalisée !
« Les incidents de sécurité numériques sont moins visibles qu’un incendie, mais nous devons les traiter avec les mêmes préoccupations ».

La première thématique de se colloque étant axée sur la sensibilisation, Marie-Anne Jacquet (DGOS) a rappelé qu’il était nécessaire de sensibiliser l’ensemble des acteurs de l’établissement et que la sécurité des soins avait un lien très fort avec la sécurité des systèmes d’information.
Elle a également annoncé l’arrivée prochaine du bilan du plan hôpital numérique qui sera suivi rapidement par un nouveau programme pour les cinq années à venir, ainsi que la publication d’un nouveau mémento s’adressant aux directeurs d’établissements de santé dédié à la cybersécurité distribué à l’occasion de ce colloque.

Véronique Brunet, responsable des outils didactiques à l’ANSSI a présenté l’excellent MOOC SecNum académie, qui compte déjà 44 000 inscrits depuis son lancement en mai 2017. Elle a annoncé l’arrivée du troisième module pour le 12 décembre prochain, intitulé « Sécurité sur Internet », qui sera suivi en mars 2018 par le quatrième et dernier module « Sécurité du poste de travail et nomadisme ». Chaque utilisateur qui aura validé ces 4 modules se verra décerner une attestation au format PDF, dans laquelle apparaîtra le nom d’utilisateur avec lequel il se sera inscrit (attention aux pseudos donc, si vous souhaitez faire valoir cette attestation).

Le travail de sensibilisation des utilisateurs réalisé à l’AP-HP a été présenté par Astrid Lang (RSSI SI patient) et Isabelle Beau (Cadre supérieur de santé paramédical) à l’initiative de ce projet qu’elles ont réalisé avec l’aide d’un groupe de travail constitué de cadres de santé, de médecins, ainsi que la direction des affaires juridiques. Les participants à cette troisième édition du colloque ont donc pu découvrir leur très pertinent film de sensibilisation abordant la sécurité numérique à l’hôpital avec humour, mis à disposition des utilisateurs sur l’intranet de l’AP-HP, et se sont vu remettre le dépliant reprenant les cinq scènes du film d’animation.

Lors d’une brillante présentation, Gérard Gaston (RSSI – LNA Santé) a donné sa vision de la sensibilisation, une sensibilisation par l’exemple pour reprendre ses mots, et présenté les différentes actions qu’il a mené.
« A la DSI, 50 % des administrateurs se sont fait piéger par un test de phishing ! »
« Avec une attaque par dictionnaire, j’ai pu retrouver 70 % des mots de passe de mon SI, y compris des comptes à privilèges ! »
En complément de la charte utilisateur, il a réalisé une charte s’adressant aux administrateurs, mais également aux prestataires, auxquels il impose aujourd’hui des audits.
Après avoir initié la sensibilisation des administratifs à la fraude au fournisseur ou fraude aux fausses factures, dérivée du principe de l’arnaque au président (ou FOVI) imaginé par le sulfureux Gilbert Chikli, il peut aujourd’hui s’appuyer sur un « Fraud Officer » désigné au sein de l’établissement.
Gérard intervient désormais lors des comités de direction afin de fréquemment faire prendre conscience des enjeux de la SSI à sa direction, en s’appuyant sur des sujets d’actualité ou encore l’ISO 27002 comme moteur d’améliorations.

Cette première partie du colloque s’est conclue par une série d’échanges avec la salle, où l’intervention de Philippe Tourron (RSSI de l’AP-HM) sur la nécessité d’imposer des règles aux éditeurs et mettre en place une « labellisation sécurité » des logiciels de santé a fait l’unanimité auprès de l’ensemble des professionnels du secteur.

A suivre...