Interview
CASIMIR BOYER
Directeur des Systèmes d’Information du CHU de Clermont-Ferrand
Les hôpitaux connaissent des attaques informatiques. Comment les directeurs informatiques réagissent-ils ?
Casimir Boyer : Ces cyberattaques, critiques pour le fonctionnement de l’hôpital, interviennent dans ce contexte lourd et tendu dans les hôpitaux alors même que le système d’information est un élément fondamental dans la gestion de la crise sanitaire. Les directeurs informatiques doivent effectivement mettre en place toutes les actions utiles à la protection du système d’information et ainsi garantir un haut niveau de disponibilité. Les équipes informatiques ont accentué leur vigilance sur les reportings sécurité. Cela se traduit par une sensibilisation utilisateur forte sur ces risques (une grande partie des attaques utilisent le vecteur « mail »), mais également une protection renforcée sur les éléments critiques (Active Directory, bases de données applicatives, partages de fichiers). La mise en place d’EDR (Endpoint Detection and Response), le partitionnement des réseaux, l’isolation des sauvegardes ont dû être accélérés.
Quelles ont été les réactions internes du personnel et des malades ?
C.B. : Le personnel hospitalier a bien pris conscience de ce danger, beaucoup sont à présent plus vigilants sur la gestion de leurs mails. Ils n’hésitent plus à se rassurer auprès du responsable de la sécurité des systèmes d’information. Cette crise a permis de faire prendre conscience de l’enjeu de garder un système d’information opérationnel. Concernant les malades, il est difficile d’avoir un retour.
L’hôpital est un lieu où la protection des données est cruciale. Comment avez-vous à Clermont-Ferrand protégé ces données ?
C.B. : Le travail collaboratif avec le DPO (Data Protection Officer) et le DIM (Département d’Information Médicale) permet à la DSI (Direction du Système d’Information) d’accompagner la prise en compte des exigences du RGPD (Règlement Général sur la Protection des Données), la gestion des droits d’accès des utilisateurs (« suffisamment mais pas trop »), les règles de conservation des données ne sont pas encore suffisamment bien prises en compte dans les logiciels. Sur les aspects sécurité du système informatique contribuant à la protection des données, les travaux engagés depuis des mois sur la gestion des utilisateurs selon leur affectation et leur profil, la gestion des sauvegardes, le partitionnement des réseaux nous permettent d’apporter un meilleur niveau de protection des données.
Quelles leçons tirez-vous de ces attaques ?
C.B. : Nous sommes entrés dans une nouvelle ère de cyberattaques, la donnée de santé est précieuse. Nous devons à présent intégrer ce risque et engager des moyens humains et financiers continus sur ce sujet. La récente communication de l’État sur la nécessité de consacrer 5 à 10 % du budget à la sécurité du système d’information engage cette prise de conscience.
Si vous aviez un message à faire passer à ceux qui nous lisent que leur diriez vous ?
C.B. : Les médecins sont les premiers à l’évoquer, « le système d’information est crucial » et encore plus dans ce contexte de crise, il est nécessaire de mobiliser tous nos moyens pour protéger nos systèmes d’information et assurer une haute disponibilité.
