En février 2021, suite à une vague de cyberattaques dans les établissements de santé, le gouvernement annonçait un plan national sur la cybersécurité. 135 groupements hospitaliers entraient alors dans la catégorie des « opérateurs de services essentiels » ou OSE. Parmi eux, le GHU Paris (fusion de 3 établissements de santé depuis le 1er janvier 2019). Pierre-Antoine Errard, RSSI, nous raconte comment il a fait de ce nouveau statut une opportunité.
Le statut d’OSE : des contraintes, mais pas seulement
C’est peu de dire que la période 2020-2021 aura été chargée pour Pierre-Antoine Errard. Ingénieur en cybersécurité, il a exercé jusque-là au Conseil d’Etat, à l’Université d’Orléans et au Ministère de l’Economie.. Un long parcours dans la fonction publique donc, jusqu’au jour où il est recruté au GHU Paris, en novembre 2021, en tant que RSSI. « Autour de moi, j’entendais que le secteur de la santé était totalement immature en termes de cybersécurité, mal géré et que cela allait être pour moi un vrai calvaire. » Nullement effarouché, Pierre-Antoine Errard prend ses fonctions de RSSI (« le troisième à temps plein pour l'établissement »). Mi 2021, sur décret du Premier Ministre, le GHU Paris est classé OSE à compter du 1er septembre 2021. Pour rappel, un OSE est un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société. Ce nouveau statut s’accompagne de règles et de contraintes fortes concernant les organisations, les procédures et la gestion de crise.
Au centre de cet arsenal, la réglementation NIS (Network and Information Security) qui détaille 23 points de sécurité (voir encadré). Parmi eux notamment, l’obligation de déclarer sous deux mois à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) tous les SIE (Systèmes d’Information Essentiels) de l’établissement. « Nous en avons une quinzaine, précise le RSSI. Et nous devions établir pour chacun d’eux la cartographie et en faire l’analyse des risques. » Mais plutôt que d’y voir une contrainte, le responsable appréhende le nouveau statut avec enthousiasme. « C’est une belle opportunité car cela a l’effet d’un électro-choc dans les organisations, quelles qu’elles soient. C’est un tremplin qui nous oblige à être meilleurs. Le domaine de la santé est un domaine à risque. On a beaucoup à gagner à appliquer les réglementations à la lettre. » Et dans ce sens, Pierre-Antoine Errard a senti une bonne dynamique au GHU Paris. « Je jouis d’une réelle autonomie, précise-t-il. Le RSSI n’étant pas rattaché à la DSI mais à la Direction Générale, je peux faire l’économie de demandes d’autorisations hiérarchiques. J’ai les mains relativementlibres. »
Rester opérationnel à tout prix
D’autant que le GHU Paris Psychiatrie et neurosciences est « relativement mature », selon l’expert. Deux audits y sont réalisés chaque année sur les applications (interne et externe). Par ailleurs, le plan France Relance, avec un fort accent autour de la transformation numérique, a doté Ste-Anne de crédits pour des audits sur l’active directory. « Les scores obtenus sont très satisfaisants. Nous avons obtenu plus de 8000 points sur un maximum de 9000, ce que j’ai rarement vu dans mes précédentes expériences ! »
Sur cette base solide, Pierre-Antoine Errard mise beaucoup sur la protection des systèmes industriels. « Nous ne devons surtout pas négliger cet aspect. Souvent mis de côté, ils sont cruciaux dans les établissements de santé, notamment du fait du développement des objets connectés. Il faut les protéger, les sécuriser, en les isolant du SI principal. » Cloisonner, c’est en effet la solution pour ne pas aller au black-out en cas d’attaque. Mais pour ce faire, le spécialiste reste conscient des priorités. « L’objectif premier de l’hôpital, c’est de soigner. Mes services se doivent d’être dans l’analyse et le compromis pour rester à tout prix opérationnel. » Se faire connaître, former des équipes, échanger avec les éditeurs et les équipes soignantes. Toute une partie du travail relève donc aussi de l’humain. Et il faut également une certaine vigilance au niveau des appels d’offres pour intégrer les règles de sécurité dans les cahiers des charges. « Si un appareil répond à 90% au besoin médical mais à 10% des règles de sécurité, il y a des ajustements à faire, des parades à trouver. On passe alors à de la sécurité périmétrique. »
Peu à peu donc, des pas sont faits. Courant 2023, le cloisonnement de tout le système industriel est programmé. Un gros chantier que le RSSI compte bien condenser au maximum pour minimiser l’impact négatif. Et face au défi, il reste toujours positif. Avec un message à faire passer : « Il ne faut pas avoir peur de travailler dans la santé. Je ne me suis nulle part ailleurs senti aussi utile. L’une des premières notions que l’on m’a apprise ici, c’est celle de “perte de chance du patient”. Il ne faut jamais l’oublier. Ce que l’on fait ou pas, nos décisions, tout cela aura un impact sur la vie du patient. Et ça, c’est la plus belle des motivations. »
Marion BOIS
[pdf-embedder url="https://www.sih-solutions.fr/wp-content/uploads/2023/02/ste-ANNE.pdf" title="ste ANNE"]