Sécurité des systèmes d’information, le manque de sécurité nuit gravement à la santé

Publié le 16/03/2017

Pierre Ricordeau est le secrétaire général des ministères chargés des Affaires sociales et Haut Fonctionnaire de défense et de sécurité (HFDS). C’est donc l’autorité réglementaire de la sécurité des systèmes d’information socio-sanitaires. Remettant des prix Blaise-Pascal sur la protection des données à Cité des Sciences de Paris, il a profité de ce rendez-vous annuel sur la contribution du numérique à la santé publique, initié par le député Gérard Bapt au nom de Marisol Touraine, ministre des Affaires sociales et de la Santé, pour pointer le caractère hautement stratégique de la sécurité logique et de la protection des personnes. Une première publique. Serait-ce que la situation est préoccupante ?

visuel Ricordeau
Crédit photo : FRANCOIS LEVRAT

Si la France n’a pas connu – encore, serait-on tenté de dire – de cybercataclysme en matière de santé connectée, il n’est pas pour autant question de relâcher notre effort. En effet, les menaces et les risques ne font que croître et embellir à la mesure du développement numérique connecté et mondialisé.

Le temps ne fait rien à l’affaire

Force est de constater que, malgré le déploiement important de mesures de sensibilisation, d’alertes et contraintes juridiques, la prise de conscience des enjeux chez les décideurs, dans le contexte dématérialisé qui est le nôtre, demeure un sujet problématique. Le signal d’alerte a été tiré par Patrick Pailloux, alors directeur de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui déclarait en 2011 pendant les Assises de la sécurité des systèmes d’information : « Il ne faut pas se demander si mais quand interviendra une catastrophe, dénonçant ainsi une sécurité « cache-sexe », trop technique, voire de papier, négligeant les règles basiques d’hygiène informatique. Toutes ces règles élémentaires sont souvent oubliées et la sécurité s'apparente à une ligne Maginot. Or, si ces principes de base ne sont pas respectés, tout le reste ne sert à rien et j’ai le regret de vous dire que les systèmes d’information en France sont aujourd’hui en danger. » Cinq ans après, cette déclaration qui a fait date, nombre de réunions se sont tenues, beaucoup de recommandations ont été produites, pas toujours simples à comprendre et à mettre en place. A cette complexité administrative, il faut ajouter la multiplicité des organisations impliquées - jusqu’alors sans véritable gouvernance forte - et leurs petites guerres de prééminence. Décidément le temps des uns n’est pas celui des autres.

Un bilan alarmant

« Passées de l’anecdote à une menace multiple, structurée, organisée provocant potentiellement et réellement des dégâts techniques et financiers, mettant en jeu la santé ou la vie des patients, les menaces ont explosé depuis les trois dernières années. Ces incidents ou accidents sont considérablement nombreux par suite d’attaques d’objets connectés, de ransomwares, etc. Elles touchent, du fait de la dépendance totale au numérique connecté, toutes les structures, toutes les architectures, tous les systèmes les établissements de santé, médico-sociaux, gestion technique et de bâtiments ou télécoms. La question se pose de savoir combien de temps échapperons-nous à un désastre. Le plan sécurité du 3 octobre 2017 proposé par les ministres des Affaires sociales et de la Santé et de l’Intérieur institue une démarche globale dont la gouvernance doit être portée de façon transversale dans tous les établissements. Il est de notre devoir de porter inlassablement une sensibilisation partout et pour tous. »

Le pourquoi du comment

Pour être objectif, si la critique est permise, il est un constat qui explique la médiocrité des résultats signalés par le secrétaire général Pierre Ricordeau. Il se résume à plusieurs faits : l’absence de gouvernance forte, la complexité de l’encadrement technico-juridique, l’absence de contrôle et de sanctions, le défaut de compétences à la fois administrative et des professionnels, l’absence de formation concrète et le désintérêt concernant la cybersécurité des décideurs des différentes structures de la santé et du médico-social. Alors, on le répète, le monde devient totalement numérique, connecté et ouvert – à tous vents, même les plus mauvais - pourquoi n’y a-t-il pas de formation structurées des futurs médecins, des futurs cadres de santé publique (directeurs généraux, financiers, juridiques, des ressources humaines), des directeurs des systèmes d’information ? Pourquoi n’y-a-t-il que quelques dizaines de responsables de sécurité comme autant de Robinsons Crusoé pour plusieurs milliers de structures et considérés, serait-on tenté de dire, comme des empêcheurs de ronronner en rond ? Pourquoi les ARS n’ont-elles jamais eu l’idée de proposer aux petits établissements des ressources expertes communes à la fois technique et éducatives alors que c’est le cas, par exemple, à l’Intérieur et à la Défense ? Pourquoi n’existe-il pas un corpus de formation mutualisée utilisable par tous ? Pourquoi tant de réunions accouchant souvent de souris, pourquoi tant de complexités livrant les établissements et les plus petits à leur seule perplexité et par suite à l’inaction. Sans parler du manque de moyens. En effet, la sécurité est le parent pauvre des investissements hospitaliers, dette et crise obligent. En moyenne et compte tenu des informations disponibles – partielles -, la France investit 1,5 % des budgets hospitaliers dans ses systèmes d’information là où la moyenne mondiale des pays avancés s’établit à 3-5 %. S’agissant de la sécurité logique on ose à peine annoncer les moins de 1 % des budgets qui y sont dévolus à comparer à d’autres secteurs ou la part dédiée représente entre 3 et 15 % du budget SI2. Si nos calculs sont exacts, les moyens dédiés à la sécurité des systèmes d’information sont au mieux six fois plus faibles qu’aux Etats-Unis, Suisse, etc. Mais sans doute avons-nous raison contre toute évidence. Il ne nous reste qu’à prier que rien de grave ne nous arrive et surtout aux patients.

Ne pas se tromper de combat

On parle le plus souvent des attaques externes ou de cybercriminalité qui sont le plus souvent le fait de velléités mercantiles (rançons, intelligence économique, etc.) ou de manipulations d’Etats. On peut ajouter les risques – et non des moindres - consécutifs à l’indisponibilité de l’information médicale – en termes savants le fonctionnement nominal des architectures systèmes - ou de l’intégrité des données pouvant induire une réelle perte de chance pour les patients et la responsabilité personnelle de chacun, à sa place dans la chaine de confiance, que ce soit l’ignorance, la négligence et autres malveillances internes qui représentent plus de 90 % des dérives observées mais, pour le moment, restée non sanctionnées parce que non contrôlées. Quelques exemples font exceptions cependant telles la politique RSSI/DRH du CHRU de Lille, celle dédiée au plan blanc du CH de Valenciennes ou celle consacrant les réseaux sécurisés du CHU de Toulouse. On l’a vu plus haut, les gouvernance, cohérence, coopération et autres mutualisation ou formation peuvent largement être optimisées pour éviter qu’un jour prochain le Canard Enchaîné ne publie un titre ravageur « C’est un incident ? Non madame ou monsieur la/le Ministre c’est une catastrophe ! » Les clés sont dans les mains des décideurs de terrains et particulièrement des directeurs généraux, pénalement responsables au termes du décret Cnil, sans parler du règlement GDPR européen (Règlement Général de Protection des Données) pour lequel nous sommes au pied d’un Himalaya.

Oui mais c’est cher

L’aphorisme d’Abraham Lincoln « Si vous pensez que l’éducation coûte cher, essayez l’ignorance » est brulant d’actualité. Il faut qu’au moins on mesure les risques que font peser les menaces et leurs conséquences pour les patients – avant tout – et les finances publiques. Il suffit de se poser quelques questions auxquelles Bercy saurait répondre :

Quel est le coût du défaut de sécurité pour le budget de l’établissement ? sur la production de soins de l’établissement ? sur la réputation de l’établissement ? Quel est le coût du colmatage en urgence d’une brèche SI ? Quel est le coût réputationnel, financier et légal d’une catastrophe ? Quel est l’impact de la perte données de recherche et de brevet ? Quel est le coût d’un conflit avec le corps médical ou le corps social ? Quel est le coût d’une formation efficace ? Quelles sont les solutions au ratio coût/efficacité le plus faible ? Quel est l’impact de la solution de remédiation sur la production ?

S’agissant de la sécurité, des « amis » de l’administration européenne, pourtant peu enclins à la franche rigolade, comparent les Français à un chamois : « On les entend avant que de les voir ». Nous voilà rhabillés pour l’hiver. Il parait que « la France a tout pour réussir ». Qu’attend-elle donc ?

Dr Jean-Pierre Blum, conseiller technologies près le président du groupe d’études parlementaires numérique et santé, Assemblée nationale.

SécuritéSanitaire SystèmeD'Information-SIS

Source : lequotidiendumedecin.fr

Nous vous recommandons

Transition de genre : la Cpam du Bas-Rhin devant la justice

Plus de 3 700 décès en France liés à la chaleur en 2024, un bilan moins lourd que les deux étés précédents

Affaire Le Scouarnec : l'Ordre des médecins accusé une fois de plus de corporatisme

Procès Le Scouarnec : la Ciivise appelle à mettre fin aux « silences » qui permettent les crimes