Vincent Trely,
est président fondateur de l’APSSIS (Association pour la sécurité des systèmes d’information de santé)
-
Comment expliquez-vous le retard du monde hospitalier en matière cyber ?
L’informatisation du système de santé a commencé sérieusement début des années 2000. Plus tard que tout le reste. La révolution numérique s’est donc faite sur des besoins fonctionnels pour les médecins, les infirmières, les RH, etc. Cela s’est traduit par un empilement de logiciels et une surface numérique de plus en plus large avec des besoins d’ouverture entre la ville, l’hôpital, etc. Tout cela a débouché sur un système compliqué et fragile. La rencontre avec la cybercriminalité, qui exploite depuis maintenant presque 10 ans les technologies de rançongiciels, était donc inévitable. Sauf que, contrairement aux grandes entreprises qui ont investi, les hôpitaux n’ont acquis aucune culture.
-
Y a-t-il une prise de conscience ?
Oui, avec un gros coup d’accélérateur depuis deux ans. Quand nous avons commencé à amener la sécurité dans les années 2014, nous nous sommes retrouvés confrontés à un écosystème pas du tout prêt à la paranoïa. Il y a eu quelques débuts avec des programmes nationaux qui exigeaient que les hôpitaux aient des politiques de sécurité, un plan de reprise d’activité (PRA). Le RGPD en 2018 a refait état de cette obligation de sécuriser mais restait encore trop secondaire, d’autant que les hôpitaux étaient budgétairement contraints. Surtout, les gens comprennent de mieux en mieux pourquoi on leur met des contraintes de sécurité alors qu’il y a encore 5 ou 6 ans ils s’en plaignaient. Les banques leur demandent de confirmer avec leur téléphone, le multifacteur rentre dans les mœurs. donc ils comprennent que sur leur lieu de travail, à l’hôpital, on leur demande également un code de confirmation.
-
Quelles sont les principales initiatives gouvernementales et quel est leur objectif ?
Le but est d’avoir une cartographie complète. 350 millions d’euros du Ségur ont été fléchés vers la cyber sécurité et en décembre 2022, François Braun, ministre de la Santé et de la Prévention, Gérald Darmanin, ministre de l’Intérieur et Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, ont annoncé la création d’une Task Force ministérielle, qui est d’ailleurs toujours en cours. Son objectif est, d’une part d’aligner tout le monde entre l’ANSSI, le ministère de la Santé, la Direction Générale de l’Offre de Soin (DGOS) et l’agence du numérique en santé et, d’autre part, de délivrer un plan pluriannuel de lutte contre la cyber insécurité numérique des hôpitaux. Il faut également mentionner l’intégration de la cybersécurité dans toutes les formations des professionnels de santé, la création de l’Observatoire permanent de la sécurité des systèmes d’information des établissements de santé (Opssies). Enfin, n’oublions pas que 25 millions d’euros du programme France Relance ont été attribués aux 135 hôpitaux les plus importants dans le cadre d’un programme avec audit de sécurité et achat de solutions de sécurité derrière.
-
Faut-il privilégier des approches régionales ou nationales ?
Il faut qu’il y ait des réflexions au niveau de la région. Et qu’on nous pousse de plus en plus au niveau national pour de la mutualisation au niveau régional. Une chose pour laquelle je milite, c’est sur les problématiques de SOC et de supervision, des sujets dont le coût est assez élevé. Il suffirait d’embaucher 8 ou 10 personnes installées dans des locaux à l’ARS, à Lyon par exemple, et de les équiper d’un bel outillage pour qu’elles supervisent tous les établissements de la région Rhône-Alpes. Et chaque hôpital cotiserait en fonction de sa taille pour que le modèle économique fonctionne. Pour moi, le bon maillage est régional. C’est celui qui a fait ses preuves jusqu’ici. Le partage des images au niveau radiologie, par exemple, fonctionne bien au niveau d’une région. Ça donne de la souplesse et permet de prendre en compte les spécificités régionales. Les mouvements nationaux demandent de mettre trop de gens d’accord, c’est trop long.