Mauvaise communication en cas d’incident numérique : le risque au-delà du risque
Les derniers chiffres de la cellule ACSS (Accompagnement Cybersécurité des structures de santé) ont été présentés la semaine dernière lors de la Paris Healthcare Week. Depuis le 1er octobre 2017, 478 incidents de sécurité numérique ont été déclarés par les établissements de santé français. Le faible taux des déclarations laisse supposer que, malgré leur obligation de déclarer les incidents de sécurité, de nombreuses structures continuent malheureusement de cacher la poussière sous le tapis, comme l’a souligné Philippe Loudenot, FSSI des ministères en charge des Affaires sociales.
Même si le niveau de maturité en matière de SSI s’est amélioré ces dernières années dans le secteur de la santé, la marge de progression reste malgré tout très importante. Le budget alloué par les établissements au système d’information de santé, et par conséquent à la sécurité, reste trop faible, et nous manquons de moyens techniques et humains. Nos directeurs d’établissement ont énormément de sujets à traiter, et les risques liés au numérique finissent parfois par se noyer dans un océan de problèmes à gérer au quotidien… À nous, RSSI, d’essayer de faire des piqûres de rappel régulières, pour éviter que ces menaces ne passent aux oubliettes. Vous le savez aussi bien que moi, la tâche n’est pas si facile.
En ce qui concerne les incidents numériques, la question n’est pas de savoir si nous allons y être confrontés, mais quand et dans quelle mesure. Il y a malheureusement beaucoup plus de risques de subir un incident de sécurité numérique que de chances de gagner au loto…
Reste que, et tous les experts en gestion de crise vous le diront, une crise, ça se prépare, et la communication de crise ne doit surtout pas être mise de côté.
En France, contrairement aux États-Unis, la déclaration des incidents de sécurité ne donne pas lieu à une révélation publique, le but étant d’éviter de conduire à l’échafaud l’établissement déjà « victime » de l’incident. En revanche, la cybersécurité étant un sujet qui permet de faire de l’audience ces dernières années, les médias raffolent de chaque grain de sable qui viendrait gripper l’engrenage que représentent les systèmes d’information, a fortiori lorsqu’ils relèvent d’un établissement de santé.
Préparer le discours du représentant de la structure de soins qui sera chargé de communiquer (DG, DSI…) lors des éventuels incidents à venir est donc loin d’être une perte de temps. Pendant la crise, de nombreuses autres problématiques devront être gérées. Le discours doit être factuel, concis, sincère, sans « trop » de détails et surtout sans contrevérités.
Le 12 mars dernier, le CHU de Montpellier a vécu ce que nous avons tous subi ou dont nous allons tous (re)faire l’expérience, à savoir la propagation d’un logiciel malveillant sur le SI. Le 17 mai, soit un peu plus de deux mois après l’incident, France 3 Occitanie, après échanges avec la direction du CHU, annonçait que celui-ci avait été victime d’un logiciel malveillant qui se serait répandu sur 649 ordinateurs (environ 10 % du parc, mais il y a quand même de quoi s’occuper) de l’établissement [1].
Quelques jours plus tard, le 23 mai, France 3 Occitanie publiait un second article [2], beaucoup plus incisif que le premier. D’après les témoignages de plusieurs employés, dont certains semblent exagérés, il est reproché à la direction de l’établissement de ne pas avoir été sincère en indiquant tout d’abord qu’il n’y avait eu aucun impact sur la prise en charge des patients.
Erratum : Le journaliste semble clairement sous entendre (à tort) qu'une atteinte à la confidentialité des données aurait eu lieu en se basant sur une notification de violation de données à caractère personnel adressée à la Cnil le 14 Mars. La notification indique que la violation porte sur une indisponibilité des données et non une atteinte à la confidentialité !
Cet exemple malheureux nous rappelle, au-delà du besoin de disposer de procédures dégradées fiables, l’importance des exercices de gestion de crise et la nécessité de préparer soigneusement sa communication de crise.
[1]
[2]
Avez-vous apprécié ce contenu ?
A lire également.
WMS hospitalier : pourquoi Softway Medical a décidé de le construire lui-même.
13 avril 2026 - 09:56,
Communiqué
- Softway Medical"En prenant à notre charge l'intégralité de l'investissement R&D, nous investissons sans faire porter le risque aux établissements." Sherley Brothier, CPTO Softway Medical
Un nouvel outil d’IA au service d’une détection optimale du cancer par imagerie
07 avril 2026 - 10:45,
Communiqué
- Gustave Roussy,Gustave Roussy, dans le cadre d’un consortium réunissant Guerbet, Intrasense et le CHU d’Angers, a participé au développement d’un outil d’intelligence artificielle capable d’identifier automatiquement, à partir d’un scanner thoraco-abdomino-pelvien, les lésions cancéreuses présentes dans cette zone...
Du séjour au domicile : le SMS comme brique du système d’information hospitalier
07 avril 2026 - 07:30,
Actualité
- Pierre Derrouch, DSIHLa réduction continue des durées de séjour hospitalier déplace une part du risque clinique vers le domicile. En chirurgie ambulatoire, les réhospitalisations entre un à trois jours après l’intervention figurent parmi les indicateurs de sécurité suivis par la Haute Autorité de Santé dans le cadre des...
Data Challenge DaT‑Park : l’IA au service du diagnostic des syndromes parkinsoniens
07 avril 2026 - 07:02,
Actualité
- Rédaction, DSIHLa Société Française de Médecine Nucléaire (SFMN), avec le soutien de la Plateforme des données de santé (PDS) et dans le cadre du plan France 2030, prépare le lancement du Data Challenge DaT‑Park, une compétition internationale qui vise à améliorer le diagnostic des syndromes parkinsoniens grâce à ...
