Publicité en cours de chargement...
Mauvaise communication en cas d’incident numérique : le risque au-delà du risque
Les derniers chiffres de la cellule ACSS (Accompagnement Cybersécurité des structures de santé) ont été présentés la semaine dernière lors de la Paris Healthcare Week. Depuis le 1er octobre 2017, 478 incidents de sécurité numérique ont été déclarés par les établissements de santé français. Le faible taux des déclarations laisse supposer que, malgré leur obligation de déclarer les incidents de sécurité, de nombreuses structures continuent malheureusement de cacher la poussière sous le tapis, comme l’a souligné Philippe Loudenot, FSSI des ministères en charge des Affaires sociales.
Même si le niveau de maturité en matière de SSI s’est amélioré ces dernières années dans le secteur de la santé, la marge de progression reste malgré tout très importante. Le budget alloué par les établissements au système d’information de santé, et par conséquent à la sécurité, reste trop faible, et nous manquons de moyens techniques et humains. Nos directeurs d’établissement ont énormément de sujets à traiter, et les risques liés au numérique finissent parfois par se noyer dans un océan de problèmes à gérer au quotidien… À nous, RSSI, d’essayer de faire des piqûres de rappel régulières, pour éviter que ces menaces ne passent aux oubliettes. Vous le savez aussi bien que moi, la tâche n’est pas si facile.
En ce qui concerne les incidents numériques, la question n’est pas de savoir si nous allons y être confrontés, mais quand et dans quelle mesure. Il y a malheureusement beaucoup plus de risques de subir un incident de sécurité numérique que de chances de gagner au loto…
Reste que, et tous les experts en gestion de crise vous le diront, une crise, ça se prépare, et la communication de crise ne doit surtout pas être mise de côté.
En France, contrairement aux États-Unis, la déclaration des incidents de sécurité ne donne pas lieu à une révélation publique, le but étant d’éviter de conduire à l’échafaud l’établissement déjà « victime » de l’incident. En revanche, la cybersécurité étant un sujet qui permet de faire de l’audience ces dernières années, les médias raffolent de chaque grain de sable qui viendrait gripper l’engrenage que représentent les systèmes d’information, a fortiori lorsqu’ils relèvent d’un établissement de santé.
Préparer le discours du représentant de la structure de soins qui sera chargé de communiquer (DG, DSI…) lors des éventuels incidents à venir est donc loin d’être une perte de temps. Pendant la crise, de nombreuses autres problématiques devront être gérées. Le discours doit être factuel, concis, sincère, sans « trop » de détails et surtout sans contrevérités.
Le 12 mars dernier, le CHU de Montpellier a vécu ce que nous avons tous subi ou dont nous allons tous (re)faire l’expérience, à savoir la propagation d’un logiciel malveillant sur le SI. Le 17 mai, soit un peu plus de deux mois après l’incident, France 3 Occitanie, après échanges avec la direction du CHU, annonçait que celui-ci avait été victime d’un logiciel malveillant qui se serait répandu sur 649 ordinateurs (environ 10 % du parc, mais il y a quand même de quoi s’occuper) de l’établissement [1].
Quelques jours plus tard, le 23 mai, France 3 Occitanie publiait un second article [2], beaucoup plus incisif que le premier. D’après les témoignages de plusieurs employés, dont certains semblent exagérés, il est reproché à la direction de l’établissement de ne pas avoir été sincère en indiquant tout d’abord qu’il n’y avait eu aucun impact sur la prise en charge des patients.
Erratum : Le journaliste semble clairement sous entendre (à tort) qu'une atteinte à la confidentialité des données aurait eu lieu en se basant sur une notification de violation de données à caractère personnel adressée à la Cnil le 14 Mars. La notification indique que la violation porte sur une indisponibilité des données et non une atteinte à la confidentialité !
Cet exemple malheureux nous rappelle, au-delà du besoin de disposer de procédures dégradées fiables, l’importance des exercices de gestion de crise et la nécessité de préparer soigneusement sa communication de crise.
[1]
[2]
Avez-vous apprécié ce contenu ?
A lire également.
Un code de bonnes pratiques pour les modèles d'IA à usage général
15 juil. 2025 - 16:57,
Actualité
-Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...
Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...
Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient
08 juil. 2025 - 00:49,
Actualité
- Maellie Vezien, DSIHÀ l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...
Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance
08 juil. 2025 - 00:26,
Actualité
- DSIHL’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...
