Menaces cyber dans la santé : comment en est-on arrivé là ?

Il est de bon ton, quand un truc zozote ou foire carrément, d’accuser le chef – ou le chef du chef du chef, tant qu’à faire. En gros, ce serait la faute du boss qui n’aurait pas tenu compte des alertes, des mails alarmistes, des remontées en réunion d’équipe, etc. L’explication est pratique et confortable, sauf que le « vis ma vie » serait peut-être un truc à faire, histoire que tout le monde se rende compte des contraintes du voisin : un décideur passe son temps à recevoir des alertes alarmistes : « Chef, la moitié des serveurs va s’écrouler si vous ne signez pas le bon de commande dans les cinq minutes », « Chef, mon bureau est invivable, je vais faire un burn out », etc. J’ai vu, de mes yeux vu, un événement indésirable saisi par un cadre intermédiaire dans un hôpital il y a quelques années : les oranges livrées par le fournisseur n’étaient pas assez juteuses (authentique). Un responsable hiérarchique reçoit à longueur de temps dans son bureau des subordonnés qui lui expliquent que la fin du monde est proche, faut pas s’étonner qu’il y ait quelques filtres, c’est un peu l’histoire de Pierre et le Loup.

D’ailleurs, les informaticiens qui ne sont jamais les derniers à accuser le chef feraient bien de s’interroger sur la raison pour laquelle subsistent dans trop d’endroits des comptes admin de domaine avec des mots de passe de six caractères (vécu), des comptes d’utilisateurs qui ont quitté l’établissement non verrouillés (facile d’accuser la RH de ne pas transmettre les infos, c’est pas le boulot de la DSI de mettre en place des interfaces automatisées ?), des PC pourtant managés par la DSI où l’AV a planté et n’est donc plus opérationnel (faudrait être d’une sacrée mauvaise foi pour accuser le DG sur ce coup, non ?), et j’en passe. Bref, si l’on devait faire un bilan critique objectif, pas certain que le vecteur des paires de claques soit unidirectionnel.

Le fond du problème n’est pas là, il est dans l’usage abusif du paradigme qui gouverne massivement notre société : toujours plus. Venir expliquer (les informaticiens à leur DSI, la DSI au DG, le DG à qui bon lui semble) que pour faire de la sécurité il faut « encore plus » (de sous, de bras), là est le problème.

Quel responsable de parc de véhicules (voitures de services, ambulances, etc.) d’un grand CHU irait expliquer que, pour entretenir la flotte des 50 ou 100 véhicules, il y a certes les mécaniciens, les logisticiens, etc., mais que pour payer les assurances, les changements de pneus et de plaquettes de frein la DG doit mettre de l’argent en plus ? Quel salarié irait expliquer à son patron (ou aux impôts, ce qui serait plus drôle) que pour payer son dernier tiers il lui faut plus de salaire ? Aucun.

La sécurité des SI ne vient pas « en plus » du budget dont on dispose, mais fait partie du budget dont on dispose. Si les organisations ne sont pas capables de réaliser que pour payer l’assurance de leurs voitures il faut intégrer son montant dans les coûts de fonctionnement globaux, il y a un problème, autant que si l’on vient expliquer que le budget du projet Trucmuche n’a pas pris en compte la fraction devant être consacrée à sécuriser le Trucmuche en question. Le camembert fait toujours 100 % : qu’il s’agisse de 1 million d’euros ou de 10 millions d’euros, le camembert fait 100 %, seul son diamètre varie, et pas la fraction qu’il faut consacrer à la SSI.

Lorsque, dans son allocution télévisée récente qui faisait suite à sa visite à Dax, le président de la République a chiffré « entre 5 % et 10 % » la part du budget SSI devant être systématiquement consacrée à sécuriser chaque projet hospitalier, on est sur des fourchettes du même ordre de grandeur. Le pire, c’est que lorsqu’un nouveau risque apparaît (comme en ce moment avec les crypto-machin-choses), on va encore venir nous expliquer qu’il faut des sous en plus.

Il existe grosso modo trois façons de financer la protection contre un risque (nouveau ou existant) : soit on va toquer à la porte du Bon Dieu pour qu’il sorte le carnet de chèques, soit on fait un tour de table avec ses partenaires (GHT s’entend) pour que chacun assume sa quote-part de la protection de l’ensemble du groupe, soit on réduit la voilure, c’est-à-dire à iso-budget consacrer moins de sous à l’extension du périmètre fonctionnel et un peu plus à l’assurance. Il est de bon ton dans nos organisations modernes de systématiquement appeler Dieu pour gratter quelques budgets, mais Dieu a une fâcheuse tendance à filer de l’investissement et nada en exploitation, ce qui ramène à la question de savoir si les budgets T2A permettent de financer les investissements en autonomie, ce qui ramène indirectement à la question du coût d’informatisation d’un lit d’hôpital en fonction de sa catégorie (MCO, SSR, etc.).

Les discussions qui vont suivre dans les prochains mois vont être passionnantes…

Colonel Moutarde