Tribune Jean-Pierre Blum

Si vous pensez que l’éducation coûte cher, essayez l’ignorance

Publié le 02/06/2022

L’exploitation des systèmes numériques des établissements de santé doit répondre à un ensemble de règles destinées à assurer une maîtrise acceptable des risques et la protection des patients et des infrastructures. La crise actuelle interroge sur la capacité de réponse des Hommes et des organisations devant des situations imprévues.

La crise actuelle interroge sur la capacité de réponse des Hommes et des organisations devant de potentielles situations aussi graves qu’elles sont imprévues.

Le fonctionnement des établissements de santé et la sécurité de l’information présupposent, de la part des directions générales, et d’elles seules, une prise de conscience, une volonté et la mise en place d’une organisation adéquates. Il faut qu’elles se saisissent du concept de management du risque car, en matière de sécurité, il n’existe pas de situation normale mais seulement des situations acceptables et contrôlables.

La crise ukrainienne, qui crée un terreau d’opportunités d’attaques et de défauts de qualité de toutes natures, met en lumière les fragilités et les risques fonctionnels de nos établissements.

Les décideurs stratégiques doivent tenir compte des éléments suivants :

Contexte

- L’expansion des réseaux et leurs performances accroissent les risques d’ignorance, de négligence et de malveillance.

- Le secteur de la santé est le second domaine le plus prisé en termes d’attaques et revente de données (mafias, hackers, etc.).

- Juridiquement et judiciairement, les attaquants prennent des risques sans commune mesure avec les autres trafics (drogues, armes, médicaments).

- Les enquêtes pour confondre les agents malveillants sont longues et complexes, requérant souvent des coopérations internationales.

- Les actifs spoliés ou revendus sont dématérialisés et atteignables à distance, à l’abri des regards.

- Les points d’impacts sont multiples : vol et vente de données contre rançon, blocage des fonctions critiques (prise en charge des patients, paies des personnels, achats, réseaux, matériels connectés, énergie, réputation, cohésion sociale voir sociétale, etc.).

- Les conséquences d’une attaque incluent des effets financiers cachés considérables (blocage d’activité, obligations d’information, remédiation en mode urgence, etc.).

Responsabilités

- La prise en compte de la cybersécurité au sein des établissements de santé doit être portée au niveau de la direction générale. Ce n'est pas un sujet technique, mais un sujet stratégique qui doit être piloté avec méthode et détermination.

- L’impact d’une attaque impose

L’anticipation des phénomènes imprévus en mode stratégique, pilotée par la direction générale. Le management et la direction d’une organisation qui doit être mise en place. La mise en place de procédures dégradées de secours (mode papier) et testées régulièrement.

- Depuis plusieurs années, le combat de la qualité s’est égaré dans une dépendance technique du sujet qui a conduit les équipes à superposer des solutions logicielles sans pour autant augmenter de façon significative le niveau de protection des systèmes ainsi dotés.

Outils de coopération internes (Directions, RSSI)

- Il convient de d'adopter une stratégie afin d'identifier les chemins que pourraient éventuellement exploiter les attaquants pour anticiper, détecter et déjouer les actions malveillantes.

- Des indicateurs clés doivent être exigés et portés à la connaissance de la direction générale et réactualisés (mode continu) :

Définition des actifs prioritaires liés aux fonctions et missions de l’établissement), c’est le management des risques. Préparation aux crises : Date du dernier exercice, existante d'un contrat un prestataire de réponse à incident dans une approche déterministe et probabiliste. C’est une philosophie de type Plan Blanc Dialogue synergique entre les responsables des SI, SCADA (matériels industriels tels que ascenseurs, énergie, tortues, etc.), automates biomédicaux (pompes, respirateurs, etc.) Cartographies actifs interne et externe annuaires liens avec les SI externes (prestataires, laboratoires, etc.) Les retours d’expérience sont précieux et doivent être exploités et partagés afin de renforcer la qualité stratégique et technique des équipes. Un accident est une source d’amélioration de la qualité. Les bilans post-test et post-accident doivent faire l’objet d’un rapport partagé stratégique et technique et de mesures de corrections. Les établissements doivent bénéficier d’exercices de crise inopinés réguliers en situation réelle au sein d’un Comité de protection de la sécurité piloté par le directeur général.

Pour vous inscrire au webinare qui traitera de cette thématique le 9 juin 2022 à 17 heures, veuillez cliquer ici.

Jean-Pierre Blum, chargé de mission Santé publique Unesco.