Le SILPC a participé au 5ème congrès de l'APSSIS : La sécurité numérique est un enjeu majeur dans la mise en place des GHT

Une affaire de convictions pour la direction

"Sur le sujet de la sécurité des SI, c'est la politique de l'autruche qui est pratiquée en France", a indiqué Guillaume DERAEDT, responsable de sécurité des systèmes d'information (RSSI) au CHRU de Lille (Nord). Outre le fait de ne pas vouloir stigmatiser les établissements de santé victimes d'attaques, la prise de conscience est encore difficile, notamment par la direction. Lors d'une table ronde, Pierre THEPOT, directeur du CH Moulins-Yzeure (Allier) et administrateur du GIP SILPC informatique hospitalière, a expliqué que des contraintes à court terme n'incitent pas à s'occuper de la sécurité, comme la gestion des titres 1 ou 2, le développement de l'attractivité, les accumulations réglementaires. Il a indiqué y avoir réfléchi en prenant connaissance de l'obligation de déclaration des incidents. Il a alors développé un outil de logimétrie et a été "effaré" de voir le nombre d'attaques. "La première chose à faire est de regarder la vérité en face", a-t-il ajouté. Un audit a ensuite été réalisé et un plan d'actions défini.

"Penser que les directeurs sont peu sensibilisés aux questions de sécurité est de plus en plus faux", a noté pour sa part Véronique ANATOLE-TOUZET, directrice générale (DG) du CHU de Rennes (Ille-et-Vilaine). "Il s'agit d'un enjeu stratégique" à différents niveaux, a-t-elle détaillé, "et la prise de conscience sur cet enjeu de la sécurité du SI et du numérique est une priorité". "C'est une affaire de convictions et de génération", a poursuivi Yann BUBIEN, DG du CHU d'Angers (Maine-et-Loire), "et d'actions". Il faut que les directeurs s'assurent que les dispositifs réglementaires sont respectés et établissent un plan d'actions. Le pilotage de la sécurité des SI doit être de la même nature que les autres enjeux de sécurité, a souligné la DG du CHU de Rennes. En ce sens, elle a défini quatre axes d'actions : en faire une priorité stratégique, mettre en place une gouvernance, sensibiliser les acteurs et agir aussi au niveau du territoire.

Miser sur la sensibilisation et le RSSI

La sensibilisation est l'un des points clés. Philippe Loudenot a rappelé que la porte d'entrée des ransonwares est le facteur humain. Comme l'a expliqué le commandant Michel DUBOIS, officier de sécurité des SI au Service de santé des armées (SSA). Le virus Locky, par exemple, se trouve dans le fichier Word envoyé par mail et c'est en cliquant sur les macros associés au fichier pour pouvoir le lire que le malware s'introduit dans les systèmes. Il faut faire un travail d'accompagnement, de communication et que ces questions de sécurité soient adoptées par tous, a précisé Véronique ANATOLE-TOUZET. Mais cela reste complexe car il faut répéter sans arrêt. La formation du personnel à ces sujets doit être mise en place même si, pour beaucoup de participants, mobiliser les ressources humaines reste aussi problématique. Le système de référent par service, notamment un personnel médical, peut aussi s'imposer comme une solution. Le RSSI a aussi un rôle à jouer. Avec les GHT, il va falloir mobiliser aussi tous les établissements. Dans le guide sur les SI dans les groupements, la DGOS plaide d'ailleurs pour un RSSI par GHT, avec plusieurs formules, a souligné Michel RAUX, responsable du pôle SSI à la DGOS, externalisé ou non.

Quelle direction pour la sécurité numérique ?

La question du rattachement de la gestion de la sécurité des SI et donc du RSSI à une direction a aussi fait débat lors du congrès. En effet, pour Philippe LOUDENOT, c'est une erreur de la rallier à la direction des SI (DSI) car cela occulte toute une partie de ce que la sécurité numérique est censée couvrir. À ce titre, le FSSI a bien insisté sur cette notion de sécurité numérique qui doit prendre le pas sur la sécurité informatique. Cela permet d'englober notamment le biomédical qui reste un versant largement peu concerné par la sécurité. Michel DUBOIS a cité en exemple le piratage d'un autoclave de la marque Miele© aux États-Unis. "Le problème étant que, contactée par le pirate pour signaler la faille cinq mois avant la publication du hacking, la société n'a jamais répondu, ni même trouvé une solution", a-t-il détaillé. Il est primordial que les établissements de santé se saisissent de ces problématiques. Au CHU de Nantes (Loire-Atlantique), le choix a été fait de fondre la direction des services numériques dans une direction des travaux techniques et services numériques pour pouvoir intégrer aussi la logistique et le biomédical. Pour Cédric CARTAU, RSSI au CHU, le découpage en DSI "a vécu" et il faut y répondre par une direction de l'ingénierie.