Management des SI de santé : le paradigme de la tulipe

Que leurs noms ne vous disent rien n’a rien de surprenant : le dîner en question a bien eu lieu le 1^er février, mais en 1637. Le cousin en question tenta de vendre un lot de tulipes à ladite veuve, alors que troisième personnage proposa de garantir la transaction en cas de variation du cours du lot de tulipes. On était alors en pleine « tulipomania », première bulle spéculative connue. Les archives attestent l’authenticité de la transaction et, deux jours plus tard, le 3 février donc, le premier krach de l’histoire se produisit. La tulipe perdit entre 95 % et 99 % de sa valeur. On en était alors aux prémices des marchés à terme, et si la veuve y laissa des plumes, le teinturier ne s’acquitta jamais de son obligation[1].

Ce qu’enseigne cette affaire, c’est que pas mal de systèmes se construisent sur le socle de la confiance, à défaut de laquelle ils sont pas mal à s’effondrer. Tulipes, immobilier, subprimes, bitcoins ne valent que par l’espoir qu’un quidam au prochain coin de rue sera prêt à y mettre ses subsides, espérant lui-même trouver un autre quidam disposé à faire de même. Il est aisé de brocarder les bulles spéculatives et les acteurs qui gravitent autour de ces moments de folie parfaitement illustrés dans le tableau de Jan Bruegel Satire de la tulipomanie (dans lequel les spéculateurs sont dépeints sous les traits de singes, tout de même), mais les experts SI et cyber feraient bien de se demander en quoi la confiance – ou son absence – facilite ou ralentit le déploiement des systèmes d’information. Et pas seulement concernant le volet cyber.

Demander à des professionnels de santé, dont certains affectionnent encore le papier, de rentrer toutes les données médicales de l’ensemble de leurs patients dans un logiciel au motif de fluidifier la prise en charge médicale (ce qui est vrai) et de faciliter les transmissions (ce qui est encore vrai) sans s’assurer que le DPI est suffisamment sécurisé en termes de disponibilité est le meilleur moyen de se mettre à dos le corps médical à la première panne longue, et ce pour de nombreuses années.

Prétendre que les accès au DPI sont sécurisés (au sens où seul celui qui est légitime à consulter un dossier patient le peut réellement) et dans le même temps ne jamais le contrôler, ni sanctionner, ni déclarer les atteintes à la confidentialité, est le meilleur moyen de se mettre les patients à dos – dont certains sont aussi des agents de l’établissement de santé, et si vous ne saviez pas pourquoi les agents d’un CH se font souvent hospitaliser dans une structure autre que la leur, maintenant vous le savez.

Nous pourrions multiplier les exemples, à tous les niveaux du modèle OSI : prétendre que le réseau est entièrement redondé sans avoir de schéma à jour ni l’avoir testé, prétendre que les datacenters sont redondés mais ne pas avoir d’appréciation formelle des risques ni de tests de bascule (OVH et surtout Google, qui essuie en ce moment des pannes de datacenter à répétition, pourront vous en toucher deux mots), prétendre que les matrices d’habilitation au DPI ou au logiciel RH sont nickel, mais ne pas avoir de document à jour ni de contrôle par échantillonnage, etc.

La confiance s’appuie globalement sur quatre piliers, qui n’ont jamais varié : la documentation (à jour), les tests, les audits (de différente nature, internes ou externes, il faudrait un chapitre entier pour développer ce sujet) et la déclaration d’incidents. Ces quatre items ont un point commun : ils participent à la transparence générale du processus. Le lecteur attentif me fera remarquer qu’il manque les indicateurs (mais on peut les ranger dans la catégorie des audits). Et le lecteur encore plus attentif me fera remarquer, à juste titre, que la dépénalisation du signalement des incidents est un facteur majeur de la transparence : si vous vous prenez un coup de règle sur les doigts à chaque fois que vous signalez qu’un machin s’est vautré ne va pas vous amuser longtemps, finira par ulcérer votre direction générale, à juste titre, et engendrera l’exact contraire de la transparence : le prudent rangement sous le tapis.

Sauf quand le dysfonctionnement est trop voyant pour être caché (à cause d’une attaque ransomware, par exemple), force est de constater qu’au seul critère de la confiance l’ensemble de l’écosystème est largement perfectible (admirez la litote). Entre ceux qui se prennent des paires de baffes pour avoir sagement déclaré l’incident qu’il ne fallait pas, ceux qui voient des incidents graves (genre perte de données médicales, suivez l’actualité récente) commis par des acteurs du marché à qui personne ne dit rien, ceux qui naviguent dans une totale opacité sans aucune remarque de qui que ce soit, force est de constater que l’on est sociétalement très perfectible.

La finance (depuis les tulipes), l’aviation civile, la gestion des entreprises : tous ces secteurs sont passés à un moment donné au filtre de la transparence. Parce qu’il n’y a pas d’alternative et que c’est un très bon axe d’analyse, le genre de question à poser à la réunion de cadrage d’une prestation d’audit à tous les acteurs présents : à quel point avez-vous confiance dans le processus qui va être audité ?

[1]   Authentique, l’anecdote est décrite par Christian Cavagneux dans Une brève histoire des crises financières.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.