« La responsabilité de la cybersécurité ne doit pas incomber à la DSI de l’hôpital mais au directeur. »

DSIH : Vous lancez la campagne pour la cybervigilance, mais nous n’avons pas vraiment compris les moyens que vous allez lui allouer : on sait que les SI ne représentent que 1,7 % du budget accordé à l’hôpital et fonctionnent avec très peu de personnels, qui d’ailleurs se sentent souvent démunis. Quels moyens financiers allez-vous leur donner et quelles mesures allez-vous mettre en place ?

Bien sûr qu’il faut des moyens mais, au-delà des moyens, des mesures individuelles doivent être prises : c’est ce qu’on appelle « l’hygiène numérique ». Chacun doit l’avoir en tête pour protéger les systèmes d’information dans les établissements et, au-delà, il faut que la responsabilité de la cybersécurité n’incombe pas à la DSI de l’hôpital, mais bien au directeur et au président de la commission médicale d’établissement, parce qu’en réalité c’est la gouvernance qui donne à la fois le ton et l’importance qui convient à ce sujet.

Donc les messages sont doubles : d’abord la cybersécurité nécessite une gouvernance centralisée du directeur de l’hôpital avec un vrai « input », une vraie mobilisation de tous, et surtout, en second lieu, il est nécessaire que tout un chacun, dès qu’il allume son ordinateur, dès qu’il reçoit un mail, dès qu’il manipule un système informatique, que ce soit en maintenance ou dans le soin, pense à la cybersécurité. Il doit faire attention à ses codes, il doit appliquer un certain nombre de procédures qui permettent en réalité de protéger le système collectif. Par conséquent, oui, bien sûr, il faut des moyens, mais en plus des moyens, une prise en compte générale du sujet à un très haut niveau est indispensable.

DSIH : Le cas concret du piratage du CHU de Rouen le 15 novembre dernier a montré qu’une poignée de hackers étaient capables de bloquer un CHU. Or, si la panne provoquée par le piratage a été résolue, elle a révélé une défaillance dans la communication interne. Au bout de huit jours, les RSI des autres CHU n’étaient informés que du nom du virus, sans aucune information sur le process, sur les origines de la cyberattaque, sur les mesures à mettre en œuvre pour contrer le ransomware, etc. Comment faire pour mieux informer les premiers concernés : les RSI ?

C’est le devoir des Agences régionales de santé que d’y répondre. Quand un événement survient dans un établissement de santé, l’ARS doit faire passer le message à l’ensemble de ses homologues. Il existe des procédures qui doivent être suivies et un enjeu de communication entre les établissements. Mais, généralement, lorsqu’un établissement est atteint par un virus informatique, sa première préoccupation est de le bloquer, de réparer, et pas toujours de communiquer.

DSIH : Oui, bien entendu, mais l’Anssi a réagi immédiatement et s’en est chargée. Le problème se situe dans la gestion de l’événement. Pourquoi la communication a-t-elle été défaillante ?

Nous avons aujourd’hui le devoir de faire en sorte que la diffusion de l’information ait lieu en temps réel, comme dans le cas de n’importe quelle alerte. Nous devons donc mettre en place des procédures pour que ce retard ne se reproduise pas.

(1) Retrouvez l'intégratlité de cette interview dans notre magazine à paraitre en février 2020