À l’initiative de la centrale d’achat public UniHA et de son directeur général Bruno Carrière, ancien directeur d’établissement de santé, une web conférence a permis de faire un point stratégique sur l’efficacité des réponses aux attaques contre les infrastructures et les données de santé. Invité d’honneur Alain Juillet, ancien directeur du renseignement et la DGSE (Direction générale de la sécurité extérieure) et ex-haut responsable à l’intelligence économique près le Premier ministre. Conclusions, non seulement il y a loin de la coupe aux lèvres mais le chemin emprunté ne respecte pas la simple et pure logique. Résultats, inefficacité et gâchis de ressources publiques.
La parole au patron
Alain Juillet n’est pas n’importe qui et ne laisse pas insensible. Pour qui l’a croisé, on mesure l’épaisseur humaine, les convictions, la précision du propos mais surtout l’autorité naturelle et la faculté à résumer une pensée en peu de mots fracassants. Devant plus de 200 participants, il a défini la stratégie ad hoc d’une sécurité d’information. « La santé est le second gisement de valeur mondial pour les agents malveillants ou prédateurs. » Différentes études font état d’un chiffre d’affaires de plusieurs centaines de milliards de dollars et peu de risques. « Il ne faut pas croire que seuls des mafieux et des hackers d’opérettes sont à la manœuvre. Des entreprises cotées ayant pignon sur rue ont un tropisme stratégique pour les données de santé ou les ordonnances médicamenteuses. Ainsi des pays entiers ont vendu la totalité des données de santé de leurs citoyens. » S’agissant des données, nous sommes d’une confondante naïveté, la confrontation est désormais mondiale. Alain Juillet précise à juste raison que « les États n’ont pas d’amis, ils n’ont que des intérêts ». Citant la possibilité d’établissement d’un contrat important ou sensible, il indique : « Il n’y a pas photo, si vous laissez la porte entrouverte, vous perdrez non seulement le contrat mais également les emplois attenants, l’État des taxes et des impôts et les citoyens des services publics et à terme nous tous notre souveraineté. » Au vu des positions de l’État et de ses agences, il est à craindre que nous tous n’ayons pas perçu l’ampleur de la révolution numérique et de ses conséquences.
Le bon sens avec Sénèque et Lincoln.
Comme le poisson, la sécurité de l’information pourrit par la tête. « La gestion des risques doit être le fait d’un pilote, ce dernier ne peut être que le porteur de la gouvernance, dans un établissement de santé le directeur général. C’est lui qui doit indiquer le cap en toute connaissance de causes et d’effets. » Il y a 1970 ans, Sénèque rappelait à tous qu’il n’existe pas de vent favorable pour ceux qui ne savent où ils vont. Il faut donc que les directions générales se saisissent du sujet et des risques encourus ou alors on pourrait les accuser de ne pas assumer la protection des patients et des ressources publiques. À ceux qui opposent le coût de la stratégie de la protection, on leur rappellera avec Abraham Lincoln que « s’ils trouvent chère l’éducation, qu’ils essayent l’ignorance ». Le coût de la non-qualité est sans commune mesure avec la prudence.
Une perspective en cinq points
Le pilotage par la gouvernance est le premier maillon. Pour Fabien Malbranque, responsable sécurité système d'information du Health Data Hub, le second point est l’organisation par GHT (groupement hospitalier de territoire) avec obligation faite à tous les acteurs de dialoguer, le troisième point est l’anticipation selon Sylvain François, DSI du CHU de Rouen. En quatrième position, la coordination critique (cellule de crise) : pour Philippe Tourron, RSSI de l’AP-HM effet, rien ne sert de convoquer une cellule de crise si la situation n’a pas été prévue, scénarisée antérieurement et si elle n’est portée par le directeur général dûment informé. Enfin, pour Stéphane Duchesne, RSSI du CHU de la Réunion, il convient de faire dialoguer les acteurs techniques : système d’information, biomédical (automates médicaux), gestion technique du bâtiment (énergie électrique, climatisation, ascenseurs, tortues) comme autant d’éclaireurs et de sources d’information pour le décideur stratège et responsable devant la justice.
On le voit la sécurité, sur le plan stratégique, si on la veut efficiente, économe de ressources (personnels, compétences, finances, temps) doit relever d’une réflexion d’amont. On imagine l'absence d'anticipation de procédure qui plongerait l'hôpital dans l’impossibilité de payer les personnels d’un établissement ou de passer commande de médicaments.
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature