Si certains hôpitaux, not so many, semblent faire des progrès dans les domaines de la gestion des risques liés à la cybersécurité, beaucoup d'autres, most of them, sont largement plus réactifs que proactifs s’agissant de l'adoption des meilleures pratiques recommandées. Le chemin est long de la coupe aux lèvres des mesures qui peuvent faire progresser le niveau de maturité cybernétique. On voit d’ici les ambitieux s’enorgueillir de constater qu’il y a encore pire que nous. Que serait-ce si nous n’étions pas le centre du monde, de celui où nous avons tout pour réussir ?
I do not trust and I check
Les données et l'analyse de cette étude ont été incluses dans un document de recherche plus large examinant la résilience en matière de cybersécurité dans les hôpitaux américains, qui a été publié par le Département de la Santé et des Services sociaux (HHS - Human & Health Services), le ministère fédéral de la Santé américain. C’est là une source précieuse de « benchmark » ainsi qu’on le dit en bon français. On se demande encore pourquoi nous ne disposons point d’un tel outil de comparaison, de progression d’efficience, de mesure de la gouvernance. On se consolera en sachant que l’Etat français ne sait même pas mesurer le nombre d’arrêts de travail dans les services publics et les territoires non plus. Ça l’arrange peut-être ? Citoyens parlez plus fort, l’Etat est aveugle.
L'enquête visait à mesurer l'adhésion des hôpitaux aux contrôles de sécurité recommandés par le National Institute of Standards and Technology Cybersecurity Framework (NIST TCF) et les Health Industry Cybersecurity Practices (HCIP), un guide des meilleures pratiques élaboré par le HHS's 405(d) Task Group (**).
Boudiou
Les hôpitaux présentent des forces et des faiblesses relatives très marquées. On constate des faiblesses significatives dans l'atténuation proactive des risques. Lorsqu'il s'agit de suivre le cadre du NIST, de nombreux hôpitaux ont mis en place des contrôles relativement solides pour la réponse aux incidents et la détection, mais totalement défaillants lorsqu'il s'agit de l'atténuation des risques des tiers et de la gestion des actifs. EBIOS entre ici !
Les hôpitaux mettent de l'ordre chez eux, mais sont en retard lorsqu'il s'agit de s'engager avec des tiers, et c'est là que réside le défi, c'est là qu'ils courent le plus de risques. What ballot it is !
Des faiblesses similaires ont été constatées dans les pratiques de gestion des actifs informatiques. Si l'on ne procède pas à un inventaire correct de ses actifs numériques, il est difficile – impossible - de comprendre où se situent les risques et de mettre en place les contrôles adéquats pour protéger la sécurité des patients et la prestation globale des soins.
Lorsque l’on sait que les établissements américains disposent d’environ, à budget comparable, dix fois plus de ressources de sécurité, nous ne pouvons qu’être inquiets pour nos hôpitaux, structurellement et dans un contexte de conflits ou de grandes manifestations à venir (Coupe du Monde de Rugby, Jeux olympiques). La défaillance hospitalière américaine démontre que les budgets servent – pronominal ? - avant tout les industriels du secteur et que les défauts proviennent d’abord d’un manque de prise de conscience donc de gouvernance et de compétences.
Cols blancs, cols verts même combat
Une autre étude, datant de mai 2023, non publiée à ce jour, d’origine américaine également, à laquelle nous avons pu avoir accès, objective la probabilité des risques encourus par les CHU nationaux. En termes statistiques, ces calculs sont ceux sur lesquels s’appuient les assureurs. Les résultats sont alarmants. La Réunion, Brest ont été harponnés. Paris, Lyon, Nantes devraient franchement s’ausculter avant d’affronter un conflit, chez les « Pasnouspasnous », entre la direction générale, la direction financière, la direction informatique et le responsable de la sécurité. Car c’est bien connu, le conflit doit. On attend avec délice la réponse du directeur d’un l’établissement alpagué aux demandes d’explications comminatoires de l’administration et de la Cnil. « Qu’eussiez-vous voulu que nous fissions ? ». Atomique non ?
Pas de surrisque pendant la grossesse, mais un taux d’infertilité élevé pour les femmes médecins
54 % des médecins femmes ont été victimes de violences sexistes et sexuelles, selon une enquête de l’Ordre
Installation : quand un cabinet éphémère séduit les jeunes praticiens
À l’AP-HM, dans l’attente du procès d’un psychiatre accusé de viols