Publicité en cours de chargement...

Publicité en cours de chargement...

« La responsabilité de la cybersécurité ne doit pas incomber à la DSI de l’hôpital mais au directeur. »

05 déc. 2019 - 16:29,
Actualité - DSIH, Laetitia Krupa
À l’occasion de l’étape francilienne du Tour de France du numérique en santé le 28 novembre dernier à l’Institut Pasteur, la ministre de la Santé a lancé la campagne nationale d’information sur la cybersécurité en santé « Tous cybervigilants ». DSIH a rencontré Agnès Buzyn. Extraits(1)

DSIH : Vous lancez la campagne pour la cybervigilance, mais nous n’avons pas vraiment compris les moyens que vous allez lui allouer : on sait que les SI ne représentent que 1,7 % du budget accordé à l’hôpital et fonctionnent avec très peu de personnels, qui d’ailleurs se sentent souvent démunis. Quels moyens financiers allez-vous leur donner et quelles mesures allez-vous mettre en place ?

Agnes-BuzynBien sûr qu’il faut des moyens mais, au-delà des moyens, des mesures individuelles doivent être prises : c’est ce qu’on appelle « l’hygiène numérique ». Chacun doit l’avoir en tête pour protéger les systèmes d’information dans les établissements et, au-delà, il faut que la responsabilité de la cybersécurité n’incombe pas à la DSI de l’hôpital, mais bien au directeur et au président de la commission médicale d’établissement, parce qu’en réalité c’est la gouvernance qui donne à la fois le ton et l’importance qui convient à ce sujet.

Donc les messages sont doubles : d’abord la cybersécurité nécessite une gouvernance centralisée du directeur de l’hôpital avec un vrai « input », une vraie mobilisation de tous, et surtout, en second lieu, il est nécessaire que tout un chacun, dès qu’il allume son ordinateur, dès qu’il reçoit un mail, dès qu’il manipule un système informatique, que ce soit en maintenance ou dans le soin, pense à la cybersécurité. Il doit faire attention à ses codes, il doit appliquer un certain nombre de procédures qui permettent en réalité de protéger le système collectif. Par conséquent, oui, bien sûr, il faut des moyens, mais en plus des moyens, une prise en compte générale du sujet à un très haut niveau est indispensable.

DSIH : Le cas concret du piratage du CHU de Rouen le 15 novembre dernier a montré qu’une poignée de hackers étaient capables de bloquer un CHU. Or, si la panne provoquée par le piratage a été résolue, elle a révélé une défaillance dans la communication interne. Au bout de huit jours, les RSI des autres CHU n’étaient informés que du nom du virus, sans aucune information sur le process, sur les origines de la cyberattaque, sur les mesures à mettre en œuvre pour contrer le ransomware, etc. Comment faire pour mieux informer les premiers concernés : les RSI ?

C’est le devoir des Agences régionales de santé que d’y répondre. Quand un événement survient dans un établissement de santé, l’ARS doit faire passer le message à l’ensemble de ses homologues. Il existe des procédures qui doivent être suivies et un enjeu de communication entre les établissements. Mais, généralement, lorsqu’un établissement est atteint par un virus informatique, sa première préoccupation est de le bloquer, de réparer, et pas toujours de communiquer.

DSIH : Oui, bien entendu, mais l’Anssi a réagi immédiatement et s’en est chargée. Le problème se situe dans la gestion de l’événement. Pourquoi la communication a-t-elle été défaillante ?

Nous avons aujourd’hui le devoir de faire en sorte que la diffusion de l’information ait lieu en temps réel, comme dans le cas de n’importe quelle alerte. Nous devons donc mettre en place des procédures pour que ce retard ne se reproduise pas.


(1) Retrouvez l'intégratlité de cette interview dans notre magazine à paraitre en février 2020

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

22 juil. 2025 - 10:23,

Communiqué

- Biogroup & Agoria Santé

le 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Illustration Un code de bonnes pratiques pour les modèles d'IA à usage général

Un code de bonnes pratiques pour les modèles d'IA à usage général

15 juil. 2025 - 16:57,

Actualité

-
Marguerite Brac de La Perrière

Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Illustration Le numérique médico-social : mutation systémique et levier d’humanité

Le numérique médico-social : mutation systémique et levier d’humanité

08 juil. 2025 - 01:07,

Actualité

- DSIH

Longtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Illustration Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient

Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient

08 juil. 2025 - 00:49,

Actualité

- Maellie Vezien, DSIH

À l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.