Publicité en cours de chargement...
Mauvaise communication en cas d’incident numérique : le risque au-delà du risque
Les derniers chiffres de la cellule ACSS (Accompagnement Cybersécurité des structures de santé) ont été présentés la semaine dernière lors de la Paris Healthcare Week. Depuis le 1er octobre 2017, 478 incidents de sécurité numérique ont été déclarés par les établissements de santé français. Le faible taux des déclarations laisse supposer que, malgré leur obligation de déclarer les incidents de sécurité, de nombreuses structures continuent malheureusement de cacher la poussière sous le tapis, comme l’a souligné Philippe Loudenot, FSSI des ministères en charge des Affaires sociales.
Même si le niveau de maturité en matière de SSI s’est amélioré ces dernières années dans le secteur de la santé, la marge de progression reste malgré tout très importante. Le budget alloué par les établissements au système d’information de santé, et par conséquent à la sécurité, reste trop faible, et nous manquons de moyens techniques et humains. Nos directeurs d’établissement ont énormément de sujets à traiter, et les risques liés au numérique finissent parfois par se noyer dans un océan de problèmes à gérer au quotidien… À nous, RSSI, d’essayer de faire des piqûres de rappel régulières, pour éviter que ces menaces ne passent aux oubliettes. Vous le savez aussi bien que moi, la tâche n’est pas si facile.
En ce qui concerne les incidents numériques, la question n’est pas de savoir si nous allons y être confrontés, mais quand et dans quelle mesure. Il y a malheureusement beaucoup plus de risques de subir un incident de sécurité numérique que de chances de gagner au loto…
Reste que, et tous les experts en gestion de crise vous le diront, une crise, ça se prépare, et la communication de crise ne doit surtout pas être mise de côté.
En France, contrairement aux États-Unis, la déclaration des incidents de sécurité ne donne pas lieu à une révélation publique, le but étant d’éviter de conduire à l’échafaud l’établissement déjà « victime » de l’incident. En revanche, la cybersécurité étant un sujet qui permet de faire de l’audience ces dernières années, les médias raffolent de chaque grain de sable qui viendrait gripper l’engrenage que représentent les systèmes d’information, a fortiori lorsqu’ils relèvent d’un établissement de santé.
Préparer le discours du représentant de la structure de soins qui sera chargé de communiquer (DG, DSI…) lors des éventuels incidents à venir est donc loin d’être une perte de temps. Pendant la crise, de nombreuses autres problématiques devront être gérées. Le discours doit être factuel, concis, sincère, sans « trop » de détails et surtout sans contrevérités.
Le 12 mars dernier, le CHU de Montpellier a vécu ce que nous avons tous subi ou dont nous allons tous (re)faire l’expérience, à savoir la propagation d’un logiciel malveillant sur le SI. Le 17 mai, soit un peu plus de deux mois après l’incident, France 3 Occitanie, après échanges avec la direction du CHU, annonçait que celui-ci avait été victime d’un logiciel malveillant qui se serait répandu sur 649 ordinateurs (environ 10 % du parc, mais il y a quand même de quoi s’occuper) de l’établissement [1].
Quelques jours plus tard, le 23 mai, France 3 Occitanie publiait un second article [2], beaucoup plus incisif que le premier. D’après les témoignages de plusieurs employés, dont certains semblent exagérés, il est reproché à la direction de l’établissement de ne pas avoir été sincère en indiquant tout d’abord qu’il n’y avait eu aucun impact sur la prise en charge des patients.
Erratum : Le journaliste semble clairement sous entendre (à tort) qu'une atteinte à la confidentialité des données aurait eu lieu en se basant sur une notification de violation de données à caractère personnel adressée à la Cnil le 14 Mars. La notification indique que la violation porte sur une indisponibilité des données et non une atteinte à la confidentialité !
Cet exemple malheureux nous rappelle, au-delà du besoin de disposer de procédures dégradées fiables, l’importance des exercices de gestion de crise et la nécessité de préparer soigneusement sa communication de crise.
[1]
[2]
Avez-vous apprécié ce contenu ?
A lire également.
Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...
Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...
Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital
24 mars 2025 - 20:32,
Actualité
- DSIH,Afin de garantir au plus grand nombre d’établissements de santé l’accès aux mises à jour financées par le Ségur numérique, le calendrier des dispositifs dédiés aux logiciels Dossier Patient Informatisé (DPI) et Plateforme d’Interopérabilité (PFI) a été étendu par un arrêté modificatif, publié ce jou...
Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC
10 mars 2025 - 19:33,
Tribune
-Vous n’avez pas pu le rater : sous couvert de lutte contre le trafic de stupéfiants, la proposition de loi d’Étienne Blanc et de Jérôme Durain, déjà adoptée à l’unanimité au Sénat, sera débattue au mois de mars à l’Assemblée nationale. Baptisée « loi Narcotrafic », elle vise à obliger les services d...
