Sécurité du SI : implication managériale, sensibilisation et enjeux de la mutualisation

Les efforts constants de sécurisation du système d’information ont permis une amélioration significative de la résilience des systèmes. Cependant, lorsqu’elles sont trop « technico-centrées », les pratiques mises en oeuvre ne permettent pas une robustesse optimale face à l’évolution des attaques. Les retours d’expérience des sinistres médiatisés - ou courageusement partagés - démontrent la limite de la fonction RSSI lorsqu’elle demeure pilotée par la technique, laissant les usagers et les professionnels de santé impuissants.

Sans l’implication des acteurs de santé, si les barrières techniques n’arrivent pas à contenir le risque, les établissements sont proches de la paralysie et le chemin d’une confiance revenue longue et fastidieuse.
La sensibilisation est un prérequis nécessaire pour arrêter les usages à risque. Elle est aussi indispensable pour faire comprendre aux décideurs et aux utilisateurs le rôle proactif qu’ils doivent endosser pour faire naître une démarche de pilotage métier des analyses de risque, d’une part dans la relation médico-soignant et d’autre part dans le parcours de soins au sens large.
Plusieurs fonctions nécessitant cette sensibilisation peuvent être identifiées. D’une part, la DRH/DAMU/DIRAM peut jouer son rôle dans la formation continue et la tenue des annuaires, sur la base desquels les droits d’accès définis par les métiers sont déclinés automatiquement grâce aux projets d’IAM portés par les DSI. D’autre part, l’implication du DPO et du RSSI dans les parcours de soins permet d’adresser les partenaires externes de l’hôpital avec lesquels l’échange et le partage d’information n’est pas encore structuré. Sécuriser une information qui circule en interne, si elle n’est pas protégée par nos partenaires extérieurs, c’est entretenir l’illusion vers nos patients.
Par ailleurs, au-delà du périmètre régalien des DSI, l’étroite collaboration entre le RSSI et la direction biomédicale permet d’étendre la maîtrise des risques IT sur le pan le plus sensible, pour la sécurité du patient, alors même que le plan de traitement des risques est le plus difficile. Les technologies embarquées sont encore des boîtes noires et l’autonomie d’action des établissements est particulièrement réduite en raison du marquage CE. Ce rapprochement permet de projeter le savoir-faire historique des DSI dans la mise en oeuvre de solutions optimales, selon un besoin et une implémentation partagés avec les regards croisés des ingénieurs biomédicaux et des experts informatiques.
Enfin la mise en place des procédures dégradées (les PCA maîtrisés par le métier) permet de se préparer au pire si le risque résiduel se transforme en sinistre.

Intégrer les achats et les partenariats pour éviter un risque systémique

Si le chemin de la maturité s’améliore, l’implication de la Direction des Achats et plus globalement des ARS est bénéfique à la maîtrise des risques liés à la sous-traitance, mais aussi à la mutualisation des offres au sein d’une région. Si la fragmentation des exploitations au sein des GHT peut paraître onéreuse, la mutualisation au niveau régional- voire national - de mêmes solutions font émerger des risques systémiques majeurs.
Les récents retours d’expériences l’ont démontré : la diversité des systèmes d’information et des mesures de sécurisation permettent aujourd’hui d’éviter le black-out généralisé. Pour preuve, en 2021, un seul incident de sécurité a provoqué pendant plus de 72 heures l’accès au DPI de plus de 150 établissements de santé à travers le pays. La raison : la sous-traitance du DPI en mode Software As a Service (abonnement logiciel en ligne) chez le même fournisseur.
Si la maturité de la gestion des risques SI au niveau des GHT émerge enfin, il est donc nécessaire, au niveau régional voire national de coordonner les choix et les partenaires technologiques.
Face au sempiternel débat autour du retour à l’équilibre, la granularité de la mutualisation deviendra peut-être la réflexion de demain, espérons-le avant un incident majeur et en évitant donc un blackout généralisé. C’est l’un des axes stratégiques choisi par les experts de la CAIH – Centrale d’Achat Informatique Hospitalière – afin de proposer à ses adhérents une offre SSI répondant à ces enjeux.■

L'auteur

Guillaume Deraedt, Directeur de la stratégie numérique de la CAIH (Lyon)