Cyber-risque dans la santé : il faut aussi investir dans l'humain
OPINION. A l'heure où l'activité de plusieurs établissements de soins est fortement perturbée par des attaques informatiques, des professionnels des systèmes d'information et des données de santé en appellent à investir sur les humains « en même temps » que sur les machines... (*) Par Cédric Cartau, responsable de la sécurité du SI centre hospitalier Universitaire de Nantes ; Vincent Trely, président de l'APSSIS et le Pr Pierre-Antoine Gourraud, responsable de l'entrepôt de données Centre Hospitalier Universitaire de Nantes.
En plein contexte de crise sanitaire, plusieurs cyberattaques ont mis en difficulté nos établissements de santé. Ces attaques soulignent combien la sécurité de la prise en charge des patients est devenue dépendante de l'informatique. Qui peut accepter, en effet, que des patients en réanimation, des files actives de vaccination, et tout le travail des personnels soignants, qui ont tant donné depuis le début de cette crise, soient bloqués par un virus informatique relativement sommaire ?
Facile de trouver un coupable tout désigné en mettant en cause le sous-investissement chronique dans l'infrastructure informatique et logicielle des établissements de soins. Cela demeure vrai. Il faut lutter contre l'indigence informatique qui expose nos établissements, les données de chacun des patients et les conditions dans lesquelles le soin est délivré. En revanche, si les investissements annoncés par le gouvernement conduisent uniquement à une débauche de technologie augmentant le degré de « blindage » des données médicales, nous risquons fort de rater l'enjeu le plus important.
Lire aussi : Cyberattaques : "Que ce soit à Villefranche ou à Dax, il n'y aura pas de rançon de payée"
« D'ABORD NE PAS NUIRE ! »
S'attaquer à la sécurité informatique des établissements de santé ou des données de santé, c'est non seulement déployer des technologies sur des infrastructures de haut niveau, mais c'est aussi développer une culture de la sécurité informatique chez chaque professionnel. Ce « cyber-risque » est un enjeu de « culture » avant d'être un enjeu de technologie. Le «primum non nocere » (« d'abord ne pas nuire ») du serment d'Hippocrate s'applique aujourd'hui au « soin » que nous apportons à protéger des données désormais toutes digitales.
L'ANSSI et la CNIL ont déployé des formations en ligne, des MOOC et proposent différents supports, dont des vidéos fort bien réalisées. Pour autant, la formation permanente et continue des professionnels des établissements de santé, publics ou privés, est un des leviers majeurs qui permettra de perdurer dans un environnement cyber de plus en plus incertain et ne peut plus être considérée comme une option. On ne peut plus faire l'économie de la compréhension des fondamentaux de la cyber sécurité en santé, parce qu'il en va de l'intérêt de tous et de la confiance dans nos systèmes de prise en charge médicale informatisée. L'écosystème français dispose de compétences en soins reconnues internationalement ; il doit devenir naturel de suivre une formation certifiante et adaptée, dans le cadre du programme de formation initiale ou dans l'environnement professionnel, avant de pouvoir se connecter au réseau informatique d'un établissement de santé. Ce « passeport numérique » n'aura nullement pour objectif de faire des professionnels de santé des experts en informatique, mais de leur apporter les bases du bon usage des technologies numériques et de l'hygiène informatique.
Nous en appelons à une véritable stratégie de « vaccination informatique » avec des « rappels » qu'il convient de mettre en oeuvre pour nous protéger de la nouvelle épidémie informatique qui touche les établissements de santé. L'informatique n'est qu'un moyen, l'humain une fin.