La cybersécurité ne peut relever de la seule responsabilité des acteurs de santé, et notamment des hôpitaux publics. Elle nécessite une politique d’Etat et d’investissement appropriée, et non uniquement une volonté de prescription et de contrôle. Or, aujourd’hui, la cybersécurité repose encore trop sur les acteurs de santé et leur bonne volonté. Ce, alors même qu’ils doivent déjà investir massivement pour répondre à l’objectif de convergence des systèmes d’information (SI) au sein des groupements hospitaliers de territoire (GHT) et qu’ils disposent de moyens humains et financiers limités.
Face à la multiplication et à la diversification des risques, l’objectif est de :
Il s’agit d’assurer les fonctions vitales suivantes :
Une organisation spécifiquement dédiée à la cybersécurité doit être mise en œuvre. Un pilotage interministériel de la cybersécurité permettrait de positionner la santé au rang d’autres secteurs d’activités (économie, défense, diplomatie, …) et ainsi de bénéficier d’un haut niveau de pratiques et de financements dédiés.
Au niveau régional, des moyens ont été notifiés aux agences régionales de santé (ARS) et aux groupements régionaux d’appui au développement de la e-santé (GRADeS), permettant de recruter des ressources et des compétences. Il s’agit désormais d’aller plus loin dans l’opérationnalité et de permettre aux établissements publics de santé, à travers des financements dédiés et sanctuarisés, de recruter des ressources et compétences (niveau ingénieur mais aussi niveau TSH), afin de se doter de véritables départements de sécurité SI, de réaliser des mises à jour régulières et continues et de procéder à des tests et des actions de sensibilisation des professionnels. Il ne s’agit plus, au sein de moyens existants déjà trop rares et insuffisants, de désigner pour ordre des responsables sécurité des systèmes d’information mais de constituer, en sus des équipes existantes, de véritables compétences dédiées à la cybersécurité, de façon très opérationnelle. Il ne s’agit plus uniquement de dire aux équipes hospitalières ce qu’elles doivent faire en matière de cybersécurité mais de leur donner les moyens de faire.
La cybersécurité au sein d’un établissement public de santé est en effet à la fois :
Les enjeux sont donc nombreux et complexes et il convient de donner aux établissements publics de santé les moyens de mettre en œuvre les mesures nécessaires.
Si la demande de la FHF de désigner les établissements supports de GHT opérateurs de services essentiels (OSE) a été entendue, nous restons toutefois en attente des mesures d’accompagnement, tant sur le plan des ressources humaines que des méthodes et des financements.
Il est en effet demandé aux établissements publics de santé OSE de mettre en œuvre des mesures de sécurité numérique afin d’assurer la plus grande stabilité de leurs systèmes d’information essentiels (SIE). Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), « l’identification des SIE se fait dans le cadre d’une démarche générale d’analyse des risques et l’établissement OSE doit identifier les systèmes d’information dont sont tributaires les services essentiels identifiés ». L’hôpital OSE doit désigner comme SIE les SI sur lesquels un incident de sécurité (indisponibilité prolongée, perte d’intégrité, défaut de confidentialité) aurait un effet disruptif important sur la fourniture des services essentiels identifiés. Le décret n° 2018-384 du 23 mai 2018 précise que, sont à prendre en compte, les services concourant aux activités de prévention, de diagnostic ou de soins, les centres de réception et de régulation des appels, le service mobile d'urgence et de réanimation dans le cadre de l'aide médicale d'urgence, ainsi que la distribution pharmaceutique : SI du SAMU / SMUR (logiciel de régulation, système de téléphonie, outils de communication entre les acteurs…), SI de l’imagerie médicale (RIS, PACS et équipements numériques associés), SI de laboratoire (SIL), SI de la pharmacie (logistique, gestion des stocks, robotique, liaison avec le DPI), dossier patient informatisé (DPI, outils connectés), SI des blocs opératoires et de la stérilisation, SI des urgences, SI de la réanimation …
Ces exigences sont lourdes et très étendues et demandent un important travail aux équipes des établissements concernés. C’est pourquoi, la FHF propose que, conformément aux bonnes pratiques en termes de projets SI, 10% des crédits du Ségur soient consacrés à la cybersécurité. Ces 200M€ doivent permettre de mettre en conformité les établissements désignés OSE à la directive européenne NIS (Network and information system security) et de jouer un rôle moteur sur leur territoire au profit de l’ensemble des acteurs sanitaires et médico-sociaux.
Au-delà des solutions de gestion des mots de passe, de protection des accès aux données et de gouvernance des identités, des démarches de sensibilisation et de formation des professionnels doivent être engagées, en veillant à adapter les messages de sensibilisation à la cible.
La nomination d’un responsable de la sécurité des systèmes d’information par territoire ne doit pas se limiter à la désignation, sans moyens supplémentaires et dédiés, d’une personne en charge, en plus de ses fonctions, d’une mission de sécurité. Elle doit réellement déboucher sur la constitution d’équipes et de compétences dédiées et formées à la cybersécurité.
Au-delà de l’intervention, indispensable, des équipes de l’ANSSI en cas de cyberattaque, il serait pertinent de créer un outil national de secours à activer et à désactiver autant que de besoin, afin de ne pas laisser les établissements chercher seuls des solutions alternatives de communication, d’information et d’échanges pour faire face à un arrêt des systèmes d’information et de la téléphonie.