Mauvaise communication en cas d’incident numérique : le risque au-delà du risque

Les derniers chiffres de la cellule ACSS (Accompagnement Cybersécurité des structures de santé) ont été présentés la semaine dernière lors de la Paris Healthcare Week. Depuis le 1er octobre 2017, 478 incidents de sécurité numérique ont été déclarés par les établissements de santé français. Le faible taux des déclarations laisse supposer que, malgré leur obligation de déclarer les incidents de sécurité, de nombreuses structures continuent malheureusement de cacher la poussière sous le tapis, comme l’a souligné Philippe Loudenot, FSSI des ministères en charge des Affaires sociales.

Même si le niveau de maturité en matière de SSI s’est amélioré ces dernières années dans le secteur de la santé, la marge de progression reste malgré tout très importante. Le budget alloué par les établissements au système d’information de santé, et par conséquent à la sécurité, reste trop faible, et nous manquons de moyens techniques et humains. Nos directeurs d’établissement ont énormément de sujets à traiter, et les risques liés au numérique finissent parfois par se noyer dans un océan de problèmes à gérer au quotidien… À nous, RSSI, d’essayer de faire des piqûres de rappel régulières, pour éviter que ces menaces ne passent aux oubliettes. Vous le savez aussi bien que moi, la tâche n’est pas si facile.

En ce qui concerne les incidents numériques, la question n’est pas de savoir si nous allons y être confrontés, mais quand et dans quelle mesure. Il y a malheureusement beaucoup plus de risques de subir un incident de sécurité numérique que de chances de gagner au loto…

Reste que, et tous les experts en gestion de crise vous le diront, une crise, ça se prépare, et la communication de crise ne doit surtout pas être mise de côté.

En France, contrairement aux États-Unis, la déclaration des incidents de sécurité ne donne pas lieu à une révélation publique, le but étant d’éviter de conduire à l’échafaud l’établissement déjà « victime » de l’incident. En revanche, la cybersécurité étant un sujet qui permet de faire de l’audience ces dernières années, les médias raffolent de chaque grain de sable qui viendrait gripper l’engrenage que représentent les systèmes d’information, a fortiori lorsqu’ils relèvent d’un établissement de santé.

Préparer le discours du représentant de la structure de soins qui sera chargé de communiquer (DG, DSI…) lors des éventuels incidents à venir est donc loin d’être une perte de temps. Pendant la crise, de nombreuses autres problématiques devront être gérées. Le discours doit être factuel, concis, sincère, sans « trop » de détails et surtout sans contrevérités.

Le 12 mars dernier, le CHU de Montpellier a vécu ce que nous avons tous subi ou dont nous allons tous (re)faire l’expérience, à savoir la propagation d’un logiciel malveillant sur le SI. Le 17 mai, soit un peu plus de deux mois après l’incident, France 3 Occitanie, après échanges avec la direction du CHU, annonçait que celui-ci avait été victime d’un logiciel malveillant qui se serait répandu sur 649 ordinateurs (environ 10 % du parc, mais il y a quand même de quoi s’occuper) de l’établissement [1].

Quelques jours plus tard, le 23 mai, France 3 Occitanie publiait un second article [2], beaucoup plus incisif que le premier. D’après les témoignages de plusieurs employés, dont certains semblent exagérés, il est reproché à la direction de l’établissement de ne pas avoir été sincère en indiquant tout d’abord qu’il n’y avait eu aucun impact sur la prise en charge des patients.

Erratum : Le journaliste semble clairement sous entendre (à tort) qu'une atteinte à la confidentialité des données aurait eu lieu en se basant sur une notification de violation de données à caractère personnel adressée à la Cnil le 14 Mars. La notification indique que la violation porte sur une indisponibilité des données et non une atteinte à la confidentialité !

Cet exemple malheureux nous rappelle, au-delà du besoin de disposer de procédures dégradées fiables, l’importance des exercices de gestion de crise et la nécessité de préparer soigneusement sa communication de crise.

---

[1]  
 

[2]