Sécurité SI dans les établissements de santé vu du CLUSIF

Le clusif vient de publier un rapport sur l’état de la sécurité du SI dans les établissements de santé, et les résultats étonnent, pour le moins. Par exemple, le rapport annonce une croissance spectaculaire d’établissements ayant formalisé leur PSSI (de 50 % en 2014 à 92 % en 2018). On se demande bien le rapport entre un PSSI et le niveau de sécurité : rappelons en effet qu’une PSSI est à la SSI ce que la loi est au fonctionnement d’un pays, et ce n’est pas parce que les lois existent qu’elles sont respectées – un bon nombre d’Etats d’Amérique centrale, pourtant démocratiques, affichent des taux d’homicides record et pour autant disposent d’un Code Pénal au même titre que la France.

On apprend ensuite que la fonction de RSSI devient « un vrai métier » exercé à plein temps dans presque un établissement sur deux. On se demande d’où sortent ces chiffres, quand on sait que l’on compte moins de 100 RSSI en titre pour 1000 hôpitaux, que tous les gros hôpitaux n’en disposent pas et que dans pas mal de cas, ce sont des « paper-RSSI », à savoir des agents nommés en sus de la montagne de tâches qu’ils doivent déjà assumer chaque jour.

Toujours selon le Clusif, pour un tiers des établissements le budget SSI serait en augmentation. Là encore, je serais curieux de connaître la métrique car non seulement il est très difficile de dire ce qui est de la sécurité ou pas (la sauvegarde, c’est de la SSI ? Une ferme VWMARE, une prestation d’avocat, une baie d’archivage à valeur probante, c’est de la SSI?) Mais en plus le budget SSI étant par nature directement lié à celui de la DSI, la récente étude de l’Asipe Santé fait mention d’une augmentation de 1,7 % à 1,72 % du budget des DSI, pas de quoi à fouetter un consultant Lead Implementor SIO 27001. Bonne nouvelle, dans le même temps 81 % des établissements se disent incapable de chiffrer un budget SSI – mais non ce n’est pas contradictoire, pas du tout.

Plus intéressant, le Clusif note que 40 % des établissements ont été touchés par les deux principales sources de panne, à savoir les malwares et les pannes techniques internes. Sur cette dernière cause, une remarque intéressante du rapport est l’étonnement du fait de la fiabilité des infrastructures virtualisées, et le Clusif émet l’hypothèse d’un problème dans la gestion des changements, analyse que je partage.

Enfin le Clusif annonce un recul global de la sinistralité, et à mon avis cette analyse est non fondée du fait qu’avant le décret obligeant le signalement des incidents SSI, ces derniers ne faisaient l’objet d’aucun signalement officiel, cette analyse ne peut donc reposer que sur la technique du doigt mouillé.

Quel lien entre ce rapport et votre ado ci-dessus ? Très simple : il suffit de voir la tête des RSSI et des DSI à la lecture de la directive NIS(1) (obligation d’audit, de cartographie des SI, de gouvernance de la SSI, etc.) : les cheveux qui se dressent, le visage décomposé et un désordre gastrique généralisé. Bon après tout ce n’est peut-être rien, peut-être que la chambre de votre ado est rangée, hein ?

(1)   /article/3021/directive-nis-la-fin-de-l-innocence.html