Publicité en cours de chargement...

Publicité en cours de chargement...

Mauvaise communication en cas d’incident numérique : le risque au-delà du risque

28 mai 2019 - 11:46,
Tribune - Charles Blanc-Rolin
  

alone

Les derniers chiffres de la cellule ACSS (Accompagnement Cybersécurité des structures de santé) ont été présentés la semaine dernière lors de la Paris Healthcare Week. Depuis le 1er octobre 2017, 478 incidents de sécurité numérique ont été déclarés par les établissements de santé français. Le faible taux des déclarations laisse supposer que, malgré leur obligation de déclarer les incidents de sécurité, de nombreuses structures continuent malheureusement de cacher la poussière sous le tapis, comme l’a souligné Philippe Loudenot, FSSI des ministères en charge des Affaires sociales.

chiffres_acss_052019


Même si le niveau de maturité en matière de SSI s’est amélioré ces dernières années dans le secteur de la santé, la marge de progression reste malgré tout très importante. Le budget alloué par les établissements au système d’information de santé, et par conséquent à la sécurité, reste trop faible, et nous manquons de moyens techniques et humains. Nos directeurs d’établissement ont énormément de sujets à traiter, et les risques liés au numérique finissent parfois par se noyer dans un océan de problèmes à gérer au quotidien… À nous, RSSI, d’essayer de faire des piqûres de rappel régulières, pour éviter que ces menaces ne passent aux oubliettes. Vous le savez aussi bien que moi, la tâche n’est pas si facile.

En ce qui concerne les incidents numériques, la question n’est pas de savoir si nous allons y être confrontés, mais quand et dans quelle mesure. Il y a malheureusement beaucoup plus de risques de subir un incident de sécurité numérique que de chances de gagner au loto…

Reste que, et tous les experts en gestion de crise vous le diront, une crise, ça se prépare, et la communication de crise ne doit surtout pas être mise de côté.

En France, contrairement aux États-Unis, la déclaration des incidents de sécurité ne donne pas lieu à une révélation publique, le but étant d’éviter de conduire à l’échafaud l’établissement déjà « victime » de l’incident. En revanche, la cybersécurité étant un sujet qui permet de faire de l’audience ces dernières années, les médias raffolent de chaque grain de sable qui viendrait gripper l’engrenage que représentent les systèmes d’information, a fortiori lorsqu’ils relèvent d’un établissement de santé.

Préparer le discours du représentant de la structure de soins qui sera chargé de communiquer (DG, DSI…) lors des éventuels incidents à venir est donc loin d’être une perte de temps. Pendant la crise, de nombreuses autres problématiques devront être gérées. Le discours doit être factuel, concis, sincère, sans « trop » de détails et surtout sans contrevérités.

Le 12 mars dernier, le CHU de Montpellier a vécu ce que nous avons tous subi ou dont nous allons tous (re)faire l’expérience, à savoir la propagation d’un logiciel malveillant sur le SI. Le 17 mai, soit un peu plus de deux mois après l’incident, France 3 Occitanie, après échanges avec la direction du CHU, annonçait que celui-ci avait été victime d’un logiciel malveillant qui se serait répandu sur 649 ordinateurs (environ 10 % du parc, mais il y a quand même de quoi s’occuper) de l’établissement [1].

Quelques jours plus tard, le 23 mai, France 3 Occitanie publiait un second article [2], beaucoup plus incisif que le premier. D’après les témoignages de plusieurs employés, dont certains semblent exagérés, il est reproché à la direction de l’établissement de ne pas avoir été sincère en indiquant tout d’abord qu’il n’y avait eu aucun impact sur la prise en charge des patients.

Erratum : Le journaliste semble clairement sous entendre (à tort) qu'une atteinte à la confidentialité des données aurait eu lieu en se basant sur une notification de violation de données à caractère personnel adressée à la Cnil le 14 Mars. La notification indique que la violation porte sur une indisponibilité des données et non une atteinte à la confidentialité !

Cet exemple malheureux nous rappelle, au-delà du besoin de disposer de procédures dégradées fiables, l’importance des exercices de gestion de crise et la nécessité de préparer soigneusement sa communication de crise.


[1]  
 

[2]  

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.