Cybersécurité Santé : et si les planètes s’alignaient ?
Dans son discours du jeudi 28 novembre 2019, prononcée lors de l’étape parisienne du tour de France de la e-santé, notre Ministre, Agnès Buzyn, déclarait : « Face aux risques de cyberattaques du système de santé, la cybersécurité à l’échelle de chaque établissement de santé est donc devenue une priorité nationale » (1). C’est suffisamment historique pour être relevé, puisqu’il s’agit de la première prise de position d’une Ministre de la Santé sur le sujet de la cybersécurité. Un programme national de sensibilisation des professionnels de santé est lancé le même jour : « Tous cyber vigilants ».
Il aura fallu une dizaine d’années, 2 programmes de financements nationaux (Hôpital Numérique et HOP’EN), un RGPD, l’activisme d’un écosystème soudé et une série d’incidents de sécurité notables pour que le sujet arrive sous la lumière. Les 140 adhérents de l’APSSIS, ses 7 Congrès Nationaux, ses 250 publications, dont le premier ouvrage collectif SSI Santé, ses parcours thématiques lors de la Paris Healthcare Week et ses dîners – conférences, auront alimenté la réflexion et probablement participé au processus de maturation.
Nous ne pouvons que nous réjouir du constat factuel réalisé et de la rédaction de la doctrine du numérique en Santé qui intègre la sécurité au cœur de ses priorités (2). La future certification SIH devra faire converger vers un référentiel unifié l’ensemble des exigences de sécurité éparses (certification des comptes, RGPD, certification HAS, indicateurs HOP’EN, PSSI-MCAS, PGSSI-S, HDS…) et fournir aux établissements publics et privés de santé un cadre d’exigence clair et mesurable. Chacun prendra ensuite ses responsabilités, la Ministre ayant précisé à DSIH Magazine : « La responsabilité de la cybersécurité ne doit pas incomber à la DSI de l’hôpital mais au Directeur ». Le Directeur étant AQSSI (Autorité Qualifiée pour la Sécurité des SI), et Responsable « en chef » des traitements de données à caractère personnel, il porte l’entière responsabilité de l’importance, de la pertinence et des moyens alloués au sujet cybersécurité.
Le Docteur Jacques Lucas, Président de l’Agence du Numérique en Santé, Dominique Pon et Laura Létourneau, le dynamique binôme en charge de la e-santé, les Directrices et Directeurs d’ARS, de GHT, de GRADES et de Groupes privés, en particulier celles et ceux, nombreux, qui les ont rencontrés en 2019, ont pleine conscience des problèmes de sécurité. Les RSSI sont prêts, même si pas encore parfaitement positionnés et entendus et même s’il reste à leur donner des moyens concrets, humains et financiers, pour agir. L’offre industrielle est de bonne qualité, avec des solutions de plus en plus sophistiquées, alliant les technologies traditionnelles aux nouvelles fonctions d’analyse comportementale basée sur des IA. De nouvelles obligations vont peser, et il est grand temps, sur les industriels du biomédical, afin qu’ils proposent des solutions informatiques sécurisées pour supporter leurs équipements. Bref, tout l’écosystème est conscient et mobilisé !
Les planètes semblant alignées, 2020 doit être l’année du réel, de la vraie sécurité numérique, prise à sa juste mesure, et déployée dans l’intérêt des professionnels de santé, principaux usagers des systèmes numériques, et dans l’intérêt des patients, de la qualité et de la fluidité de leurs parcours de soins et de la sécurité de leurs données personnelles.
L’APSSIS vous souhaite à toutes et à tous une très bonne année 2020, une pleine réussite dans vos projets, et beaucoup de plaisir à exercer votre métier !
Vincent TRELY
Président de l’APSSIS