D. S. Quel est le rôle du directeur d'établissement s'agissant de la prise en compte de la sécurité de l'information ?
Pascal Forcioli. La sécurité du système d’information à l’hôpital est un enjeu nouveau pour le management hospitalier qui jusque-là n’avait pas cette préoccupation de manière stratégique dans son champ de vision. Les évènements récents survenus dans plusieurs établissements publics de santé sont pourtant le signe que la cybersécurité est devenue un sujet majeur pour les directions quand les cyberattaques bloquent un hôpital, handicapent son fonctionnement, jettent les données de santé en pâture aux prédateurs et engendrent des pertes colossales d’activité et de recettes budgétaires. L’expérience des hôpitaux victimes des cybercriminels démontre le rôle pivot du directeur d’établissement dans la gestion de crise en cas de cyberattaque, mais aussi l’importance du management en amont en matière de sécurisation des systèmes d’information, de prévention, de mise en place d’exercices de simulation de crise, de formation des équipes, de renforcement des équipes SI (Systèmes d'information) et SSI (sécurité des systèmes d'information) et de la dotation d’outils techniques de son établissement en arbitrant au plan financier et humain les moyens utiles à la sécurisation. La SSI nécessite en effet d’y consacrer quelques moyens financiers. Mais l’absence ou l’insuffisance de SSI a un coût considérable sans commune mesure avec la dépense à faire en SSI.
D. S. Quelles sont vos responsabilités légales et opposables en tant que AQSSI (Autorité qualifiée pour la sécurité des systèmes d’information) ?
P. F. Les directeurs découvrent chaque jour de nouvelles responsabilités légales, comme celle par exemple en tant qu’ordonnateur dans le cadre récent de la réforme intervenue dans la loi de finances 2022. Ils connaissent aussi leur responsabilité en tant qu’employeur et par rapport à la sécurité au travail ou la sécurité incendie. Mais je crois que la plupart sont totalement ignorants de leurs responsabilités légales et opposables en tant qu’AQSSI. Des formations et davantage d’information s’imposent.
D. S. Connaissez-vous votre politique de sécurité des systèmes d’information ? Quel est son taux de couverture vis à vis de la politique de sécurité des systèmes d'informations des ministères sociaux ?
P. F. Pour ce qui me concerne, s’agissant de l’EPSM de Vendée, notre politique SSI s’appuie sur plusieurs actions : gestion régulière des mots de passe (MDP complexes sur 10 caractères minimum), authentification renforcée des accès distants au VPN, suivi des habilitations en fonction des mouvements de personnels, politique de sauvegardes fréquentes, tests de bascule entre serveurs, EDR (en bon français, Endpoint Detection and Response), suivi des alertes virales, sécurisation des smartphones professionnels, audits techniques, cartographie des risques, etc.), corpus documentaires (charte SI, politique de sauvegarde, politique de gestion des accès, politique mobilité, procédures diverses : gestion des EI / isolation / restauration / continuité / reprise d’activité, etc.). Des actions restent à conduire (politique de patching des OS, mise à niveau des versions des logiciels bureautiques, mises à jour diverses, etc.) qui nécessitent davantage de ressources humaines, vu le plan de charge que cela représente.
On peut noter que l’EPSM et le centre hospitalier départemental de Vendée ont mutualisé leurs RSSI pour constituer une cellule SSI territoriale au bénéfice des établissements de santé du GHT 85. Je pense qu’il s’agit d’une initiative encore assez rare à souligner. J’en profite pour dire que la SSI est aussi un sujet d’organisation territoriale.
Par ailleurs nous avons commencé à renseigner Osis (Observatoire des systèmes d’information de santé) sur le portail national et nous constatons que nous avons un niveau de SSI correct. Mais la sécurité est un concept en mouvement et c’est un combat de tous les jours. Notre résultat est le fruit d’une volonté stratégique affirmée depuis plus de deux années et réaffirmée par une attaque par le virus Emotet sur notre SI à l’automne 2021.
DS. Avez-vous un plan d’urgence et de reprise d’activité à jour ?
P. F. Absolument. Il faut cependant le tester en mode exercice et y retravailler avec le nouveau médecin responsable du DIM qui a pris ses fonctions en janvier 2023. Il est très sensibilisé au sujet et nous en avons déjà échangé ensemble.
DS. Quel est l’emplacement des moyens de communication de secours en cas de crise cyber (téléphone, poste de travail, adresse mail de substitution, annuaire de crise, fournisseurs a contacter) ?
P. F. Nous avons un plan SSI et un plan blanc qui peuvent être activés en cas de crise cyber. Nous avons constitué une cellule de crise cyber spécifique distincte de la cellule de crise mobilisée en cas de situation sanitaire exceptionnelle (SSE), sachant qu’une cybercrise qui s’installe dans la durée devient aussi une SSE qui nécessite la mobilisation de la cellule de crise plan blanc.
Dans l’établissement, le système téléphonique est distinct du SI de sorte qu’une cyberattaque ne devrait pas nous priver des moyens de communication interne et externe. La mise en place de serveurs distincts aussi pour certaines fonctions permettent, au moins dans un premier temps, que des moyens de communication informatiques restent accessibles en interne, voire avec l’extérieur. Il faut bien évidemment vérifier les risque de perméabilité entre les composants du SI.
D. S. Quelle est la date de votre dernier exercice de crise cyber ?
P. F. Notre dernier exercice de crise à l’EPSM de Vendée remonte à décembre 2022. Sur une demie journée, avec un consultant et l’appui du GCS e-santé Pays de la Loire, nous avons simulé une gestion de crise suite à une cyberattaque avec l’équipe de direction, le service informatique, le référent SSI de l’établissement et le RSSI territorial de la cellule territoriale mutualisée que nous avons contribué à mettre en place avec le centre hospitalier départemental de Vendée en adjoignant nos ressources humaines et techniques en SSI. L’exercice a été très participatif et nous avons pu identifier mieux nos points de vulnérabilité à la fois au plan technique mais aussi au niveau organisationnel en matière de gestion de crise, de solutions palliatives et de reprise de l’activité. Le diable est toujours dans l’organisation et le détail.
D. S. Pensez-vous utile de disjoindre la fonction de subordination DSI/RSSI et rattacher cette dernière à la direction générale d'un entrepôt de données de santé ?
P. F. IL est préférable de dissocier le RSSI du DSI car le premier cité doit être en position de veille et d’alerte par rapport au service SI et sa hiérarchie. Si le RSSI est membre de l’équipe SI, il doit avoir un lien hiérarchique direct avec le DG dans le cadre de sa fonction SSI où il doit exercer sa responsabilité en autonomie par rapport au service SI.
D. S. Serait-il utile de pouvoir - à plusieurs niveaux - partager l'expérience de chacun au bénéfice de tous (techniciens, directions) ?
P. F. La mutualisation des expériences est essentielle au niveau régional à l’initiative des ARS avec les Grades et au niveau des GHT sous l’égide des établissements de santé supports, à la fois pour les directeurs généraux en sensibilisation et pour les techniciens en mode niveau avancé. Elle est le gage d’amélioration de l’expérience, d’économies de ressources publiques et d’une meilleure prévention des accidents cyber.
D. S. Quel soutien (structurel, réglementaire) attendez-vous de l'Etat ?
P. F. Un soutien réglementaire, fort, clair et cohérent. L’obligation est toujours un levier.
D. S. S'agissant de la sécurité, privilégiez-vous les investissements ou les services en mode pérenne ?
P. F. La SSI, ce sont à la fois des équipements (investissement) et de la ressource interne et/ou des prestations de service pérennes (exploitation). Cela aura un coût à intégrer dans l’Ondam hospitalier avec un fléchage de moyens (cf. H numérique, SUN-ES, oSIS).
D. S. Comment former le corps des directeurs d'établissements de santé aux enjeux (risques), aux menaces et responsabilités en matière de sécurité ?
P. F. Complètement. Dans la formation initiale à l’EHESP, en formation continue avec les structures ad hoc et surtout en confrontation avec la réalité concrète de terrain. La plupart des DG sont totalement désarmés et considèrent que c’est un sujet technique pour les techniciens informatiques. Ils se trompent lourdement, c’est un sujet stratégique où la gouvernance doit assurer un rôle essentiel.
Le jour où l’hôpital n’a plus d’accès à ses systèmes d’information, il se retrouve dans l’impossibilité de soigner, commander, payer. Au-delà des pertes de chance pour les patients voire pire (des morts !), le coût d’une attaque est faramineux pour les ressources publiques. Le CH de Dax fait état, à date, d’une perte globale d’environ 5 millions sur un budget de 150 millions.
D. S. Faut-il mieux dialoguer avec la chaîne d'anticipation et de réponse cyber (DRH, DAF, DP, RSSI, etc.) ?
P. F. On pourrait à l’instar de ce qui se passe en matière de certification des comptes qui génère un travail collectif des DAF avec toutes les directions support et le DIM, imaginer un dispositif de certification de la SSI périodique qui mobilise les acteurs en interne et les fédère sur un objectif commun : l’amélioration permanente de la SSI au bénéfice de tous. Evidemment, quand on cherche des mesures de simplification administrative, si on rajoute cette procédure, il faut voir celles qu’on peut enlever par ailleurs. Les critères de certification HAS sur la SSI sont très faiblement exigeants et ne suffisent pas pour évaluer la qualité de la SSI d’un établissement de santé. Par ailleurs, on constate que les experts visiteurs de la HAS ne sont pas, sauf exception, compétents en SSI.
D. S. Comment accéder aux demandes de formations techniques des acteurs techniques (Réseaux, RSSI) ?
P. F. Absolument. J’ai déjà indiqué que la sécurité est un concept vivant évolutif à rythme qui s’accélère. Il faut donc sanctuariser une part dédiée dans les plans de formation continue spécifiquement pour les techniciens réseaux et le RSSI même si c’est coûteux. Encore une fois ces coûts sont sans commune mesure avec l’impact financier potentiel d’un accident ou une attaque cyber !
D. S. Avez-vous la perception suffisante des différents dangers (ignorance, négligence, malveillance internes et leurs périmètres (sécurité des systèmes d'information, IOT, biomédical, gestion technique du bâtiment (ascenseur, tortues, énergie, etc.) ?
P. F. Je le crois car c’est le fruit de ma formation, de mon expérience et je l’avoue d’un tropisme spécifique. L’ignorance et la négligence involontaire sont à mon sens les premières sources de risques, de même que les interventions techniques externes sur des équipements connectés au SI (et il y a de plus en plus d’équipements connectés au SI, biomédical, technique, logistique, sécurité, téléphonie mobile, messageries…). Sauf exception, le risque de malveillance intentionnelle est limité.
D. S. Les contrôles et audits sont suffisants (fréquence, intelligibilité, fiabilité) ?
P. F. Bien sûr que non. En matière de sécurité incendie, il existe une réglementation très contraignante et un dispositif de contrôle avec le rôle et les missions de la commission de sécurité. Dans certains établissements, comme par exemple les hôpitaux IGH (immeubles de grande hauteur), il existe des prescriptions supplémentaires en termes de moyens humains et techniques. De manière générale, les hôpitaux sont plutôt bien armés face au risque incendie (plan de sécurité, surveillance, détections, formations, exercices réguliers, équipes de sécurité) alors qu’ils sont très mal préparés et armés face au risque cyber. Il y a là un gap considérable pour agir à la fois au plan local mais aussi au niveau national (DGOS, DGS, HFDS) et régional (ARS, Grades).
D. S. La création d'un département cybersanté rattaché directement au ministère de la Santé à l'instar des Etats-Unis serait-elle nécessaire ?
P. F. Je pense, à titre personnel, qu’il pourrait être pertinent que soit créée une délégation interministérielle à la cybersécurité avec une coordination et une veille nationale et, en appui, des délégués dans chaque ministère sensible, et la santé en est un tout, particulièrement pour au moins deux raisons : d'une part c’est un secteur d’activité essentiel (secours, urgences, soins), d'autre part les données qu’ils traitent sont éminemment sensibles (données personnelles de santé en particulier).
D. S. Un évènement didactique de niveau stratégique (non technique), avec les services ad hoc de l'Etat (Cnil, inistère de l’Intérieur, DGSE, HRIE, etc.), dédié aux DG d'établissements de santé serait-il pertinent ?
P. F. Plusieurs types d’évènements didactiques au niveau stratégique seraient utiles : au niveau national vers les conférences (DG de CHU, directeurs de CH, présidents de CME CHU/CH/CHS), au niveau régional à l’initiative des agences régionales de santé lors de journées régionales de la SSI et dans les réunions ARS/GHT dans les revues de gestion, dans les contrats pluriannuels d’objectifs et de moyens (CPOM)...
D. S. Avez-vous déjà bénéficié d'un exercice cyber ex abrupto non prévu et non préparé ?
P. F. Non. Mais ça pourrait être franchement apprenant – à condition qu’on soit dans une démarche aidante et pas dans une inspection ou un contrôle sanctionnant.
D. S. Faut-il partager les Retex de différentes attaques et/ou accidents constatés dans d'autres établisseements de santé (par exemple Dax, Villefranche, Rouen, Dijon, Clermont-Ferrand, Arles, AP-HP, CHSF, etc.) ?
P. F. Bien évidemment. Le partage d’expérience est essentiel pour élever la culture SSI des hospitaliers et améliorer nos niveaux de préparation, prévention, etc. Aujourd’hui il existe plutôt une omerta sur les accidents cyber survenus. Même si les médias en parlent, on sait en fait peu de choses sur la survenue, sur les impacts, sur les dommages et les réparations. Comme si le silence protégeait. Alors qu’au contraire il faut parler du risque et apprendre à s’en prémunir. Il faut sortir de la politique de l’autruche. Ça ne protège pas.
D. S. Etes-vous suffisamment formé à l'information cyber et aux stratégies de réponses (non techniques) ?
P. F. Pas du tout. Et je ne suis pas le seul. Les directeurs en particulier les chefs d’établissement ont besoin de formations sur ces questions.
D. S. L'anticipation et la préparation participent-elles à la résilience aux attaques ?
P. F. Comme en toute matière de gestion de risque, que ce soit infectieux ou viral ou autre, l’anticipation et la préparation sont contributives à la résilience aux attaques parce que cette stratégie nous permet de résister et faire face.
D. S. Quelle perception avez-vous des différentes agences ou entités publiques ?
P. F. Il faudrait que la HAS qui a un rôle essentiel dans l’amélioration de la gestion des risques à l’hôpital par le processus de la certification, développe déjà davantage les critères d’évaluation de la préparation des établissements et de la gestion des crises cyber dans le référentiel de certification en s’appuyant sur des travaux d’expert et les ressources d’organismes comme l’ANSSI. Mais de façon compréhensible et utilisable par tout un chacun dans l’ensemble des établissements de santé.
Pascal Forcioli, combien de divisions ? Sciences Po Paris, Master, section service public, École des hautes études en santé publique, Master gestion des politiques de santé, Institut national des hautes études de la sécurité et de la justice, Formation RSIO responsable système d'information et organisation, Technologie des systèmes informatiques, Directeur général de l’Agence régionale de l’hospitalisation de Picardie, Directeur général adjoint de l’Agence régionale de Santé du Nord Pas de Calais, Membre de la commission télésanté à l’Assemblée nationale missionné par le Premier Ministre et la ministre de la Santé, directeur du centre hospitalier de Bastia, membre du Haut Conseil de santé publique (commission spécialisée du système de santé et de la sécurité patient), membre du comité éthique de la FHF, expert visiteur de la Haute Autorité de la santé, membre de la commission d’accréditation section santé humaine du Cofrac. Pascal Forcioli est bien placé pour apprécier les stratégies publiques hospitalières et leurs applications sur le terrain.
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature