Sécurité du SI : implication managériale, sensibilisation et enjeux de la mutualisation
Les efforts constants de sécurisation du système d’information ont permis une amélioration significative de la résilience des systèmes. Cependant, lorsqu’elles sont trop « technico-centrées », les pratiques mises en oeuvre ne permettent pas une robustesse optimale face à l’évolution des attaques. Les retours d’expérience des sinistres médiatisés - ou courageusement partagés - démontrent la limite de la fonction RSSI lorsqu’elle demeure pilotée par la technique, laissant les usagers et les professionnels de santé impuissants.
Sans l’implication des acteurs de santé, si les barrières techniques n’arrivent pas à contenir le risque, les établissements sont proches de la paralysie et le chemin d’une confiance revenue longue et fastidieuse.
La sensibilisation est un prérequis nécessaire pour arrêter les usages à risque. Elle est aussi indispensable pour faire comprendre aux décideurs et aux utilisateurs le rôle proactif qu’ils doivent endosser pour faire naître une démarche de pilotage métier des analyses de risque, d’une part dans la relation médico-soignant et d’autre part dans le parcours de soins au sens large.
Plusieurs fonctions nécessitant cette sensibilisation peuvent être identifiées. D’une part, la DRH/DAMU/DIRAM peut jouer son rôle dans la formation continue et la tenue des annuaires, sur la base desquels les droits d’accès définis par les métiers sont déclinés automatiquement grâce aux projets d’IAM portés par les DSI. D’autre part, l’implication du DPO et du RSSI dans les parcours de soins permet d’adresser les partenaires externes de l’hôpital avec lesquels l’échange et le partage d’information n’est pas encore structuré. Sécuriser une information qui circule en interne, si elle n’est pas protégée par nos partenaires extérieurs, c’est entretenir l’illusion vers nos patients.
Par ailleurs, au-delà du périmètre régalien des DSI, l’étroite collaboration entre le RSSI et la direction biomédicale permet d’étendre la maîtrise des risques IT sur le pan le plus sensible, pour la sécurité du patient, alors même que le plan de traitement des risques est le plus difficile. Les technologies embarquées sont encore des boîtes noires et l’autonomie d’action des établissements est particulièrement réduite en raison du marquage CE. Ce rapprochement permet de projeter le savoir-faire historique des DSI dans la mise en oeuvre de solutions optimales, selon un besoin et une implémentation partagés avec les regards croisés des ingénieurs biomédicaux et des experts informatiques.
Enfin la mise en place des procédures dégradées (les PCA maîtrisés par le métier) permet de se préparer au pire si le risque résiduel se transforme en sinistre.
Intégrer les achats et les partenariats pour éviter un risque systémique
Si le chemin de la maturité s’améliore, l’implication de la Direction des Achats et plus globalement des ARS est bénéfique à la maîtrise des risques liés à la sous-traitance, mais aussi à la mutualisation des offres au sein d’une région. Si la fragmentation des exploitations au sein des GHT peut paraître onéreuse, la mutualisation au niveau régional- voire national - de mêmes solutions font émerger des risques systémiques majeurs.
Les récents retours d’expériences l’ont démontré : la diversité des systèmes d’information et des mesures de sécurisation permettent aujourd’hui d’éviter le black-out généralisé. Pour preuve, en 2021, un seul incident de sécurité a provoqué pendant plus de 72 heures l’accès au DPI de plus de 150 établissements de santé à travers le pays. La raison : la sous-traitance du DPI en mode Software As a Service (abonnement logiciel en ligne) chez le même fournisseur.
Si la maturité de la gestion des risques SI au niveau des GHT émerge enfin, il est donc nécessaire, au niveau régional voire national de coordonner les choix et les partenaires technologiques.
Face au sempiternel débat autour du retour à l’équilibre, la granularité de la mutualisation deviendra peut-être la réflexion de demain, espérons-le avant un incident majeur et en évitant donc un blackout généralisé. C’est l’un des axes stratégiques choisi par les experts de la CAIH – Centrale d’Achat Informatique Hospitalière – afin de proposer à ses adhérents une offre SSI répondant à ces enjeux.■
L'auteur
Guillaume Deraedt, Directeur de la stratégie numérique de la CAIH (Lyon)
Avez-vous apprécié ce contenu ?
A lire également.
La cyber face au défi des modèles mentaux
14 avril 2026 - 08:41,
Tribune
-Un modèle mental, c’est un prisme au travers duquel nous regardons la réalité. Des lunettes filtrantes si vous préférez.
Comment quantifier un risque
31 mars 2026 - 08:06,
Tribune
-Après avoir expliqué qu’une PSSI et une appréciation des risques ne servaient à rien (ici 1) -mais un peu quand même -, intéressons-nous à un autre sujet brûlant qui déchaîne les passions, pire que JR (2) et la fin du Prisonnier (3) : la quantification du risque.
Publication d’un corpus inédit de comptes rendus médicaux fictifs en open data pour accélérer l’IA en santé
26 mars 2026 - 19:08,
Actualité
- Rédaction, DSIHDans un contexte réglementaire européen exigeant, qui garantit un accès et un partage sécurisés des données de santé, le projet PARTAGES apporte une réponse opérationnelle aux défis posés à l’IA en santé. Coordonné par la Plateforme des données de santé (Health Data Hub) et réunissant 32 partenaires...
Health Data Hub et Microsoft : un cadre juridique clarifié, une souveraineté à construire
23 mars 2026 - 09:58,
Actualité
- Rédaction, DSIHEn validant l’autorisation donnée au Health Data Hub pour traiter des données de santé hébergées par Microsoft en France, le Conseil d’État consolide le cadre posé par la CNIL dans sa décision du 20 mars 2026, relative à l’autorisation CNIL 2025‑013 (délibération n° 2025‑013 du 13 février 2025, proj...
