10ème congrès de l’APSSIS - Les RSSI en action
Le rendez-vous annuel des responsables sécurité des systèmes d’information de santé, organisé par l’APSSIS, a tenu ses promesses. Des interventions institutionnelles aux retours d’expérience en passant par les études de cas et ateliers proposés par les industriels, ce 10ème congrès a offert de nombreuses pistes d’action et de réflexion à tous les acteurs de l’écosystème.
Le 10e congrès de l’APSSIS s’est déroulé du 5 au 7 avril dernier au Mans et l’on peut mesurer le chemin parcouru depuis la toute première édition qui rassemblait, en 2011, les précurseurs de la sécurité informatique à l’hôpital, à l’écoute de leurs homologues de secteurs d’activité plus expérimentés, comme la banque.
Entre temps, la sensibilisation aux risques a fini par accompagner le déploiement des systèmes d’information en santé ; le régulateur a formalisé une politique de sécurité SI (PGSSI-S) assortie d’incitations (et devenue opposable) ; éditeurs, hébergeurs et industriels ont créé ou adapté des offres technologiques et de services ad hoc ; et surtout, une véritable communauté s’est construite pour consolider les actions SSI, l’indispensable veille sur les menaces et l’accès à la connaissance, le tout sur des valeurs de partage, d’entraide et de solidarité. De nombreux conférenciers en ont témoigné à l’occasion des retours d’expérience et études de cas présentés aux 200 congressistes.
Se préparer à la gestion de crise
Le partage d’expériences, c’est l’une des principales marques de fabrique du rendez-vous annuel de l’APSSIS. Ce congrès n’a pas dérogé à la règle en accueillant le témoignage de Nicolas Terrade, Responsable Système d’Information et Sécurité du CH de Dax. Victime d’une massive cyberattaque en février 2021 (« un traumatisme » se souvient le RSSI), l’hôpital landais est reconnu* pour avoir largement contribué à la prise de conscience du risque au plus haut niveau de l’Etat et à sa traduction dans une stratégie nationale cyber soutenue par le plan d'investissement France 2030.
Egalement très instructif, l’éclairage sur le travail de fond réalisé par Julie Lecomte, Coordinatrice projets DSIO** au CH Henri Laborit à Poitiers, a été largement apprécié. Détaillant deux des axes d’action développés par le CH depuis dix ans - sensibilisation des agents et préparation d’une procédure dégradée – elle a souligné qu’il s’agit de processus longs, nécessitant de nombreuses itérations. On en retient l’intérêt d’effectuer des exercices de simulation de phishing afin d’insister sur les bonnes pratiques auprès des agents ; on découvre également comment l’appropriation d’un DPI dégradé et son pilotage par les métiers se révèle incontournable.
Autre séquence très remarquée : les modalités d’un exercice de gestion de crise rapportées par Rodrigo Garcia, expert et formateur chez Crisalyde, avec le témoignage concret d’Agnès Pignolet, RSSI et DPO du Grand Hôpital de l’Est francilien. « Une dizaine d’exercices de ce type ont déjà été réalisés et nous allons lancer un nouvel appel d’offres », a précisé Rémi Tilly, Directeur du département SSI du groupement francilien SESAN, porteur du projet et soucieux que les adhérents s’en saisissent. Agnès Pignolet a insisté sur un impact particulièrement important de cet exercice, concernant sa compréhension par la direction : « elle s’est rendue compte qu’une crise cyber, ce n’est pas une crise informatique ; c’est bien une crise de l’hôpital et de la continuité de l’activité ». Rodrigo Garcia ajoute que cette perception permet d’envisager l’introduction d’un volet cyber dans un PSE global (Plan de Sécurité de l’Établissement). Mais il met aussi en garde vis-à-vis de la capacité d’adaptation et de résilience d’un hôpital : « cet atout peut se révéler traitre quand il se traduit par un retard à identifier que la situation est vraiment dégradée ».
Un temps d’ouverture
Un congrès APSSIS, c’est aussi un temps d’ouverture sur le monde extérieur, régulièrement concrétisé par la conférence d’un « Invité exceptionnel ». Luc Ferry a répondu présent cette année pour développer sa vision de l’avenir et son analyse de la Troisième révolution industrielle, c’est-à-dire celle de l’IA.
De son côté, Cédric Cartau, RSSI et DPO du CHU de Nantes et du GHT 44, nous a invité à emprunter de belles pistes de réflexion autour des enseignements que la sécurité aérienne apporte à la sécurité IT. Avec un doublement du trafic tous les 15 ans depuis 1950, bientôt 4 milliards de passagers, et pourtant… une baisse constante des accidents mortels, ce secteur donne envie de savoir ce qui manque à l’IT et aux SIH pour être aussi vertueux ! Parmi les idées à suivre : ne pas négliger les aspects comportementaux dans la mesure où 30 % à 50 % environ des incidents IT ont une cause « équipage » et la technologie « seule » n’est pas une réponse fiable aux risques IT.
Des exigences de sécurité dans tous les programmes de la feuille de route
La - désormais traditionnelle - table ronde institutionnelle reste un moment très attendu du congrès avec son bilan des incidents et menaces, de même que son focus sur les avancées de la feuille de route du numérique en santé.
Dominique Pon, Responsable ministériel chargé de la stratégie d’accélération du numérique en santé, a commencé par en rappeler les trois piliers : éthique, sécurité et interopérabilité. Satisfait des progrès réalisés ces trois dernières années, il relève que l’on a parlé d’exigences de sécurité dans tous les programmes de la feuille de route en 2021 et qu’un véritable bond en qualité a été franchi avec ProSanté Connect et la (toute récente) publication du référentiel sur l’identification électronique.
Le Fonctionnaire de sécurité des systèmes d'information, Jean-François Parguet, a pour sa part salué l’accompagnement continu des établissements réalisé par le CERT Santé et annoncé que son périmètre s’élargirait prochainement aux ESMS (établissements et services médico-sociaux). Dans un contexte où le nombre d’incidents déclarés (en 2021) a doublé, le FSSI a exhorté tous les acteurs à déclarer au plus tôt tout incident, regrettant que trop souvent les structures ne la font qu’à posteriori, quand il est réglé ! « Comment détecter alors les signaux faibles ? » Il a également fait part de son inquiétude relative à la dépendance aux fournisseurs (« Trois gros incidents ont touché chaque fois une centaine d’établissements ») et face aux risques systémiques portés par les prestataires de services et hébergeurs. Il a, enfin, encouragé les congressistes à s’engager dans des exercices de crise afin d’être mieux préparés à fonctionner sans informatique.
* avec celui de Villefranche-sur-Saône, attaqué à la même période
**Elle est aussi Correspondante SSI et Déléguée à la Protection des Données