2023 : année de la cybersécurité en santé ?

Agnès Buzyn, ministre des Solidarités et de la Santé de 2017 à 2020, déclarait à l’époque que la sécurité des systèmes d’information de santé devenait une « priorité nationale » et la loi « Ma Santé 2022 » plaçait la cybersécurité dans les fondamentaux de la feuille de route du numérique en santé.

Et puis il y eut Villefranche-sur-Saône, Dax, Oloron-Sainte-Marie, Albertville, Arles, Castelluccio, Saint-Dizier, Vitry-le-François, Mâcon, Paris, Corbeil-Essonnes, Versailles… Et tant d’autres établissements, publics et privés, désorganisés, traumatisés, « genoux à terre », mettant des mois ou des années à se relever de cette pénible expérience.

L’État sur le pont

En février 2021, Emmanuel Macron se saisit du sujet en annonçant une série de mesures : création de l’observatoire permanent de la sécurité des SI des établissements de santé (Opssies), intégration de modules de formation à la cybersécurité dans les formations de tous les professionnels de santé, et l’injection de 350 millions d’euros du Ségur de la santé pour augmenter le niveau de sécurité des hôpitaux, dont 135 sont nommés opérateurs de services essentiels (OSE). De son côté, l’Anssi accompagne les principaux hôpitaux à hauteur de 25 millions d’euros, avec un programme d’audit et d’investissements associés.

En décembre 2022, les ministres Gérald Darmanin (Intérieur), François Braun (Santé) et Jean-Noël Barrot (délégué au Numérique), ont annoncé le lancement d’un « vaste programme de préparation des établissements de santé aux cyberattaques, avec l’objectif que 100% des plus prioritaires aient réalisé de nouveaux exercices d’ici mai 2023 ». Une task force ministérielle est chargée de bâtir, d’ici mars 2023, un nouveau plan cyber pluriannuel massif. Tous les acteurs de la chaîne (ministères, DGOS, ANS, CERT Santé, ARS, GRADES, directions, DSI, RSSI…) vont être mis en mouvement derrière un modèle de gouvernance et de pilotage attendu simple, lisible et efficace.

Des SI de santé critiques

Les forces s’organisent. La réaction, elle, doit maintenant être rapide, massive et alignée sur les enjeux stratégiques et politiques de santé publique. Mais aussi sur des objectifs de crédibilité et de capacité à soutenir les évolutions de notre système de santé. Depuis 20 ans, il se modernise, il vit sa « révolution numérique » et structure tous ses processus médicaux et administratifs autour de solutions matérielles et logicielles qui requièrent une haute disponibilité, un niveau d’intégrité souvent critique et des besoins de confidentialité légitimes et réglementés.

La robustesse et la résilience des systèmes d’information de santé, au-delà des murs de l’hôpital, sur toutes les chaînes en support des activités sanitaires et médico-sociales, constituent l’un des fondements de l’adhésion des professionnels de santé et des patients.

Le rôle crucial des RSSI

Les RSSI santé sont prêts. Ils et elles se préparent depuis dix ans ! Ces professionnels vont constituer l’indispensable armée de terrain. C’est elle qui va devoir continuer à expliquer, à convaincre, à mesurer, à contrôler, à impulser des projets techniques avec les DSI et des réflexions métiers sur la résilience et sur la gestion de crise. L’alignement sur une stratégie numérique globale d’établissement, et la prise en compte des exigences des utilisateurs en termes d’ergonomie, de fluidité et de sécurité, constitueront deux points cruciaux de la feuille de route sécurité.

Les RSSI devront de surcroît s’intégrer à tous les plans de financement et ainsi bénéficier des ressources planifiées par un État inquiet, désormais bien au fait des pratiques cybercriminelles et des conséquences sur un système de santé déjà fragilisé. Les hôpitaux vont devoir consacrer un budget croissant et conséquent à la cybersécurité, tant sur l’indiscutable volet de « rattrapage » que sur celui de l’accompagnement des nombreuses transitions numériques promises à un système de soins moderne.

Le mouvement progressif vers les services du cloud, les enjeux de partage des données de santé, les promesses de l’intelligence artificielle et des big data médicaux, l’inclusion du patient au centre de son parcours de soins, via des applications spécialisées, sont autant de sujets qui placent la cybersécurité au centre du jeu, aujourd’hui et demain !