Crise sanitaire : la cybersécurité dans les cordes !

Par Vincent Trély
Directeur associé & consultant expert WELIOM

1 000 000 de téléconsultations hebdomadaires, avec des mesures dérogatoires explicites (usage de WhatsApp, Skype, FaceTime et tout autre outil « faisant l’affaire »), une multiplication remarquable de l’utilisation de Zoom (par 25), de Teams (par 20), de Hangouts (par 23), de Slack, d’espaces de partage « hors les murs » ont été constatés, toujours pour la bonne cause, et laissant souvent les RSSI absents des schémas décisionnels. Les outils étaient là, disponibles, gratuits, simples, et avouons-le, très utiles. Leur usage a naturellement explosé. Les politiques de sécurité, les procédures de gestion et de contrôle, la traçabilité, l’analyse des risques techniques et réglementaires ont pour partie été mises de côté, laissant place à une fluidité inédite et à des usages débridés.

Il ne sera pas simple de revenir en arrière, et ce n’est certainement pas souhaitable. Après tout, si des outils ont été utiles et plébiscités par les professionnels de santé, pourquoi ne pas les intégrer à « la vie normale », en tant que briques maîtrisées du SIH ? Pour ce faire, la première des nécessités est d’en dresser la cartographie : quels outils ont été utilisés ? Par qui ? Pourquoi ? Comment ? Avec quels niveaux de risques ?
Partant de cet état des lieux, le RSSI établira une matrice des risques par outil, intégrant les prérequis classiques de sécurité (de disponibilité, d’intégrité, de confidentialité, de traçabilité), mais aussi le volet juridique (type de licence et de contrat, conformité RGPD, consentement des patients le cas échéant). C’est à l’issue de cette analyse que la DSI pourra décider d’acter certains usages, en maîtrisant les risques induits, ou a contrario, d’argumenter auprès des professionnels que la solution de crise ne peut perdurer en routine si elle est trop éloignée des cibles réglementaires.

Le « Ségur de la santé », lancé le 25 mai 2020 par le Premier ministre et le ministre de la Santé, a déjà rappelé le nécessaire déploiement du numérique et des principes de sécurité qui l’accompagnent. Il ne s’agit donc pas de baisser la garde, la trajectoire étant définie et la doctrine du numérique en santé l’ayant entérinée, mais de prendre acte des transformations et des nouveaux usages introduits par la crise sanitaire. Fermer les yeux serait bien entendu une erreur, bloquer de nouveaux usages métiers en serait une seconde, tout RSSI sachant quelles conséquences en découlent généralement…

La SSI Santé a pris un coup ces derniers mois. Elle va devoir s’adapter, en révisant parfois ses positions historiques, en se concentrant sur les usages, sur la sécurité par les faits, et non par l’idéologie, et en ne confondant pas les choix technologiques et le débat sur la souveraineté numérique, tout aussi important mais situé à un autre niveau de combat.

Retrouvez prochainement le replay du webinaire : L’après-crise pour les DSI Santé : retour à la normale, ou pas… sur notre site (https://www.weliom.fr/webinar/lapres-crise-pour-les-dsi-sante-retour-a-la-normale-ou-pas/) et sur notre chaîne YouTube !