Signalement des incidents SI, le rapport annuel de l’Asip

Le premier point qui frappe, c’est le nombre d’incidents signalés : sur un an glissant (d’octobre 2017 à septembre 2018), il est fait mention de 319 signalements. Même si le total semble, à première vue, élevé, il est en fait insignifiant. La France compte plus de 1 000 structures de santé publiques (sans compter les cliniques privées et les PSPH), ce qui fait donc en moyenne un signalement par an pour un établissement sur trois, autant dire rien. Sur un CHU, on peut dire qu’il se produit en moyenne au moins un incident par mois qui relèverait d’une déclaration (panne importante de l’infrastructure, coupure d’un lien télécom, attaque virale circonscrite, bug logiciel métier, etc.), ce qui fait donc 12 x 31 = 372 signalements pour ces seuls établissements. Si l’on ajoute dans la corbeille les structures de soins importantes hors CHU, on devrait, au bas mot, arriver à tripler ce chiffre, et en englobant l’ensemble des établissements, il faudrait au minimum le décupler.

Est-ce le raisonnement qui est tenu par les rédacteurs du rapport lorsqu’ils affirment (page 9) qu’à peine 20 % des incidents sont déclarés ? Il serait bon de connaître leur mode de calcul et de disposer d’une petite liste d’exemples concrets dans les grands domaines d’incidents précédemment cités, afin que les responsables puissent améliorer la qualification qui doit donner lieu, ou non, à une déclaration. Il serait ainsi peut-être possible d’expliquer pourquoi (figure 6, page 13) les régions les moins peuplées ne sont pas celles qui déclarent le moins d’incidents.

L’autre point important concerne la répartition des types d’impact sur les données (figure 10, page 16). L’atteinte à l’intégrité des données (qui, dans le monde de la santé, entraîne malheureusement et fréquemment des conséquences irréversibles sur les soins) ne représente « que » 17 % des cas. On s’interroge en revanche sur les 33 % identifiés comme n’ayant aucun impact – si tel est le cas, en quoi sont-ils des incidents ?

En figure 11, page suivante, on constate un pic dans les incidents d’origine malveillante à l’été 2018. J’espère que c’est juste l’effet « grandes vacances » et que la courbe va retomber, sinon il y a des raisons de s’inquiéter : les cryptolockers sont la hantise de tout RSSI dans la mesure où il n’existe malheureusement que très peu de contre-mesures.

Avec les figures 13 et 14 (page 18), on n’est pas étonné par le fait que, pour la partie des incidents d’origine non malveillante, on trouve les pannes de réseau et d’infrastructure (on s’y attendait), mais, selon mon expérience personnelle, les dysfonctionnements dus à des erreurs de manipulation par les équipes IT sont beaucoup plus importants en pourcentage : cela sent à plein nez le déni de déclaration. Enfin, parmi les incidents les plus graves analysés, on note tout de même le blocage pendant plusieurs jours de deux structures de santé à la suite d’une attaque virale.

Si le dispositif de signalement des incidents SI est incomplet, il est indispensable pour au moins deux raisons. La première, c’est qu’il permet de sortir du déni : certains pensent à tort que, « dans la santé, l’informatique va bien et ne tombe jamais en panne ». Avec le déploiement de logiciels critiques – par exemple dans le domaine de la prescription –, ne pas mesurer les incidents s’apparente à développer le réseau routier sans mettre en place Bison Futé. La seconde, c’est qu’il permet d’enclencher le cercle vertueux de l’amélioration continue, mais nécessite absolument la dépénalisation des incidents de sécurité SI. Si un établissement qui signale un incident – dû par exemple à une mauvaise manipulation ou à une protection périmétrique défaillante – se fait tirer les oreilles, la réaction sera immédiate : l’établissement en question ne signalera plus rien et préférera mettre la poussière sous le tapis. Comme le souligne Christian Morel [2], la dépénalisation des signalements des incidents de vol a été l’un des principaux facteurs d’amélioration de la sécurité dans l’aviation civile.

[1] http://esante.gouv.fr/sites/default/files/asset/document/asip
_acss_rapport_public_observatoire_signalements_issis_v18.pdf 

[2] Les Décisions absurdes, Gallimard, 2002, ouvrage réédité en 2014.