« Les RSSI vont devoir reprendre le contrôle »

LE QUOTIDIEN : Vous avez observé, à l’occasion d’un récent webinaire [1], que les bonnes pratiques de sécurité des systèmes d’information avaient été mises en sommeil dans les établissements de santé lors de la crise sanitaire. C’était inévitable ? Est-ce que cela s’est traduit par des risques particuliers ?

VINCENT TRELY : Cette crise a conduit à l’explosion du télétravail et de la télémédecine, sans oublier un usage massif de solutions numériques collaboratives, plus ou moins conformes aux recommandations et aux réglementations du secteur santé. L’objectif était d’aller vite. Ce qui explique que le responsable sécurité des systèmes d’information (RSSI) n’ait pas forcément eu voix au chapitre. Ce n’était pas le moment de demander une analyse de risques et un comité d’homologation avant de répondre aux besoins des professionnels de santé ! Au bout de trois mois, on constate heureusement que cette période n’a pas donné lieu à plus de cyberattaques que d’habitude. Ce qui a été remarquable, en revanche, c’est la capacité de cette crise à faire bouger les lignes, notamment dans la mise en œuvre opérationnelle du télétravail, pour des centaines de personnes, sans préparation, et avec des processus de décision simplifiés. Les soignants ont été mis à l’honneur, mais on peut aussi remercier les équipes informatiques pour leur réactivité.

Quels enseignements doit-on retenir de cette période ?

Il faudra cartographier les usages du numérique qui se sont répandus à cette occasion, identifier ce qui a bien fonctionné, ce qui n’a pas marché, ce qui répond aux besoins, ce qui est trop compliqué à utiliser... Bref, tout remettre à plat, avec toute l’attention nécessaire sur le plan sécurité. Mesures dérogatoires pour la téléconsultation et « open bar » dans l’adoption des solutions de visioconférences et de collaboration ont apporté facilité et fluidité pour surmonter la crise. Mais les directions de systèmes d’information (DSI) et les RSSI vont devoir reprendre le contrôle, entreprendre l’analyse de risques et la lecture juridique des solutions qui ont émergé hors protocoles usuels, puis apporter les correctifs nécessaires.

Cela veut dire « retour à la normale » ?

Cela ne signifie pas interdire certains usages et solutions. La stratégie du « Non » n’a pas de sens en sécurité des SI car elle est toujours contournée ; la stratégie du « Oui, mais » s’impose. Le RSSI ne va pas demander aux professionnels qui ont trouvé plus pratique d’utiliser WhatsApp, et autres Zoom ou Slack, de les désinstaller du jour au lendemain. Il sera difficile de rejeter les solutions grand public sans apporter l’équivalent professionnel… ou les intégrer sous contrôle. La cartographie dont je vous parlais doit absolument être réalisée avec les « métiers »… terminologie des informaticiens pour désigner les professionnels concernés ! A mon avis, ce serait aux directions des soins et aux directions des ressources humaines de prendre le leadership à ce propos.

Quelles évolutions attendre des retours d’expérience réalisés actuellement ?

Les enseignements de cette période porteront sur toutes les dimensions, de l’équipement à la formation en passant par les organisations et la formalisation de la gestion de crise. Ils auront un impact sur les architectures techniques, les schémas directeurs informatiques, les plateformes de télémédecine. Sont-elles suffisamment adaptées et sécurisées, fonctionnelles (pour la facturation par exemple) ? Faut-il faire un meilleur usage des outils et solutions de type cloud ou non ? Et les équipements ? Faut-il du stock dans les établissements ? Pas seulement en masques, mais en webcams, casques et micros ! Le numérique est en tout cas devenu un sujet central pour les professionnels de santé, à la faveur de la crise. C’est le moment pour les DSI et les RSSI de réfléchir à leur positionnement.

[1] Le 28 mai, replay disponible ici : https://www.weliom.fr/webinar/lapres-crise-pour-les-dsi-sante-retour-a-…