
Philippe Tourron
Responsable de la Sécurité des Systèmes d'Information de l'AP-HM et du GHT 13, Coordinateur Safecare, Vice-Président du Club RSSI Santé
🐙 Dans l’idée de favoriser la résilience des établissements sanitaires, une des premières initiatives nationales a été de mettre en place un programme d’exercices de gestion de crise. Un an après sa mise en œuvre, quel est votre regard sur ce dispositif ?
👉 La gestion de crise est la première marche de prise de conscience qui va au-delà des acteurs du système d’information. Tant que les acteurs ne sont pas confrontés soit à une vraie attaque, une vraie crise ou un exercice, il est très compliqué pour eux de se mettre dans une posture dans laquelle ils peuvent imaginer ne plus avoir d’informatique pendant plusieurs jours ou même semaines.
Il est primordial de faire prendre conscience de la capacité à s’organiser pour continuer à travailler sans informatique. Cette crise a également besoin d’être gérée par les acteurs du numérique qui doivent se réorganiser dans une composition différente pour gérer ce qui continue à fonctionner, investiguer sur ce qui ne marche plus, commencer à réparer et mettre en place des moyens dégradés de fonctionnement.
Les exercices impulsés à l’échelle nationale ont vraiment été une étape nécessaire qui permet aux hôpitaux, en termes de gouvernance, de prendre conscience qu’il faut s’organiser différemment et se préparer ensemble.
Prendre conscience c’est bien, mais ça ne suffit pas. Une fois que les acteurs ont été sensibilisés, il faut réaliser des plans d’action et améliorer cette résilience au travers d’un fonctionnement combiné à la fois des gouvernances, avec une cellule de crise décisionnelle, et des acteurs du SI, avec une cellule de crise systèmes d’information. L’alchimie nécessaire est la bonne coordination de ces deux niveaux de prise de décision, auxquels s’ajoutent les niveaux régionaux, préfectures qui viennent s’articuler dans un dispositif sanitaire classique, de type plan blanc ou situation sanitaire exceptionnelle.
🐙 Au travers du programme européen Safecare, vous avez développé une approche par les risques. Pouvez-vous nous en parler ?
👉 Le projet Safecare avait pour but de se positionner dans une réflexion de sécurité globale pour les systèmes critiques de santé.
On peut imaginer une catastrophe naturelle qui amène un flux considérable de patients dans un établissement qui, en même temps, subit une cyberattaque qui neutralise ou ralentit son système d’information.
Les sources d’attaques, malheureusement, sont nombreuses et c’est dans leur combinaison qu’elles deviennent extrêmement critiques à gérer. Nous avons donc modélisé ces aspects pour voir comment une sécurité globale donnerait une meilleure réponse qu’une sécurité
par périmètre.
Dans l’organisation, il est extrêmement important de pouvoir prendre en compte cette cascade d’impacts, d’autant plus que la numérisation globale de tous les systèmes et leur interconnexion est montée d’un cran en une petite dizaine d’années. La communication et l’entrelacement de tous ces systèmes sont interdépendants. Un incident sur un composant peut, en cascade d’impacts, arriver à un impact patient. Et cette cascade d’impacts, elle est d’autant plus complexe à identifier en prévention ou en amont de l’impact majeur qu’il y a de composants intermédiaires et d’interconnexions.
La capacité d’anticiper les scénarios des cascades d’impacts est l’avenir de la gestion de crise.
🐙 En tant que vice-président du Club des RSSI des ES, pensez-vous qu’il soit intéressant de trouver des synergies avec d’autres secteurs d’activité ?
👉 Dans le cadre du projet Safecare, nous avons fait cohabiter des partenaires industriels, universitaires et hospitaliers de dix pays différents, soit des acteurs de typologies différentes et de pays différents. Si chacun a sa manière propre d’appréhender le risque, tous sont finalement assez en accord sur les composants d’un risque, les choses à protéger, celles que l’on redoute, etc.
Dans ce sens, la méthode de l’ANSSI et du club Ebios Risk Manager est une approche qui met tout le monde d’accord et permet d’avoir une vision globale, y compris pour les
domaines non SI.
L’aspect transversal de la prise en compte de la sécurité est également important sur le plan de la reconstruction. Si 2023 a été l’année de prise de conscience du besoin de gérer les crises, l’enjeu des trois prochaines années est celui de la reconstruction.
Malgré la complexité des systèmes, il faut être en mesure de redémarrer, dans un délai de quelques jours, un hôpital dans son fonctionnement minimal, capable de consulter et le DPI, la pharmacie, les résultats d’analyse…
Ce redémarrage implique des moyens lourds car il faut faire appel à une coordination bien au-delà des hôpitaux, pour être capable de provisionner ces systèmes de crash recovery qui vont permettre de remonter une partie du SI de manière simplifiée en provisionnant des moyens très rapidement. Cette ambition doit être portée par le niveau national et
déclinée au niveau régional.
Si nous voulons vraiment prendre à bras le corps la sécurité des SI dans les hôpitaux, il faut désormais, au-delà de consolider le niveau de sécurité des composants existants, ce que les piliers du programme CaRE ont embarqué dans leur stratégie, embarquer la reconstruction du SI de manière générique. Être capable de reconstruire les systèmes rapidement diminuerait aussi l’attractivité des systèmes hospitaliers aux yeux des hackers.
Nous devons être prêts à réagir, organisés et capables de se reconstruire rapidement.