Au pays des aveugles...

L'étude est assez complète et aborde à la fois des questions d'évaluations techniques, de management et de vision stratégique du SI, en même temps qu'une comparaison entre différents pays européens : France, Italie, Grande-Bretagne, Allemagne, etc. Sans détailler le résultat de cette enquête, on y apprend notamment que malgré ce déficit, 90% de ces mêmes entreprises ont identifié l'enjeu que représente l'évolution de ces infrastructures, aussi bien pour la data que pour la voix. Presque la moitié (44%) estime d'ailleurs que sans ces évolutions, elles ne pourront faire face à leurs obligations dans les années à venir.

Certes l'étude en question a été réalisée sur un échantillon d'entreprises allant de 50 employés à plusieurs milliers et ce dans tous les domaines de l'industrie ou du secteur tertiaire, mais il aurait été intéressant de disposer de résultats sectoriels, notamment – puisque c'est le thème qui nous intéresse – dans le domaine de la santé, public ou privé.

Lorsque l'on sait qu'à l'exception des grands CHU – et encore -, presque aucun hôpital ne réalise de façon régulière des audits de vulnérabilité de son firewall, il y a fort à parier que les résultats auraient moyenné à la baisse les chiffres ci-dessus. Pour exemple, dans au moins 1/3 des établissements de santé il y a des dysfonctionnements dans les processus de sauvegarde des données, par exemple l'absence totale de tests de restauration voire même jusqu'à 20 à 30% des serveurs qui ne sont pas du tout sauvegardés. Il y a peu, un grand CHU de l'ouest ne disposait que d'une seule salle informatique, dans une zone inondable connaissant des crues régulières. Et l'on ne parle même pas des accès aux données médicales avec des login génériques dans les unités de soins, quand il ne restera plus que cela à régler nul doute que la plupart des lecteurs de DSIH seront à la retraite.

Il faut reconnaître à la démarche HAS, notamment dans sa version 2014, le mérite de poser au moins des bases en matière de sécurité du système d'information : procédures dégradées, dispositif de plan de reprise d'activité, etc. Mais la sécurité commence par la base, en l'occurrence la préservation de l'intégrité des données, et dans ce domaine il reste du chemin à parcourir. Comme il n'y a jamais eu d'accident grave en la matière, à l'exception de quelques départs de feu dans des locaux techniques, tout le monde fait semblant de croire que tout va bien. Jusqu'au jour où...