Véritables « Hippocrate du numérique », les Responsables de la Sécurité des Systèmes d’Information (RSSI) et les Data Protection Officers (DPO, Délégués à la protection des données) veillent chaque jour à la sécurité des données et des systèmes d’information des établissements de santé. « En dix ans, nos missions ont fortement évolué, allant de la prévention de risques comme les pannes et incendies à la prévention de la cybercriminalité, qui représente désormais une menace permanente », se souvient André Pillon, RSSI du Groupement Hospitalier de Territoire (GHT) Savoie-Belley.

Face à cette situation, les RSSI des établissements de santé ont adapté leurs stratégies, par exemple en réactualisant les politiques de sécurité, en effectuant une veille technique et règlementaire ou en élaborant des préconisations opérationnelles. « Le rôle d’un RSSI et d’un DPO est transversal : ces experts interviennent dans tout projet ayant trait, à un moment ou à un autre, aux données ou aux systèmes d’information », résume Yohann Fourchon, RSSI et DPO du GHT d’Armor. « Le risque d’un incident existe partout. Nous sommes là pour l’anticiper et préparer les différentes réponses possibles », complète Guillaume Deraedt, DPO du GHT Lille Métropole Flandre Intérieure.
 

Pendant la crise sanitaire, alors que partout les directions des systèmes d’information (DSI) étaient particulièrement sollicitées, les RSSI se sont naturellement positionnés en appui, apportant soutien et conseils aux différentes équipes. Beaucoup ont ainsi amplifié leurs activités de veille en matière de cybersécurité, « d’autant plus que les équipes étaient particulièrement occupées et que le taux de mails et sites frauduleux a été multiplié de façon spectaculaire », se rappelle André Pillon.

À Lille, « nous communiquions énormément avec nos correspondants locaux, afin de leur faire redescendre l’information tout en insistant sur la nécessaire mise en œuvre de certains correctifs », se souvient quant à lui Thomas Aubin, RSSI du GHT Lille Métropole Flandre Intérieure. « En quelques semaines à peine, nous avons accompagné les systèmes d’information hospitaliers dans une refonte primordiale pour gagner en agilité et permettre de développer le télétravail, les rendez-vous en ligne… », complète Guillaume Deraedt en insistant sur les démarches de « co-construction » qui se sont alors multipliées.
 

Il faut dire que les enjeux étaient multiples, car outre le risque de saturation des systèmes et des infrastructures, les équipes informatiques ont dû faire face à une explosion des actes de cybermalveillance. En témoignent les nombreuses attaques médiatisées lors de ces derniers mois. Ainsi, en décembre dernier, un rançongiciel a ciblé le Centre Hospitalier Albertville-Moûtiers, en Savoie, immobilisant durablement la presque totalité du système d’information de l’hôpital. « Suite à l’attaque, nous avons réinterrogé notre plan de continuité de l’activité. Nous avons également redéfini nos procédures de secours pour assurer la poursuite des prises en charge, avec notamment une entraide des établissements du GHT, sur le modèle de ce qui avait été fait durant la crise de décembre », confie André Pillon avant de préciser que, si cette attaque « n’a pas modifié » ses axes de travail, elle n’en a pas moins « renforcé et accéléré la nécessité de construire une vraie politique de sécurité et une gouvernance spécifique, de mettre en œuvre la conformité réglementaire et d’engager une meilleure sensibilisation des utilisateurs ».
 

Ce dernier point semble déjà se mettre en place au sein du GHT Savoie-Belley puisque, même si tous ses établissements n’ont pas été touchés par l’attaque, ils semblent s’intéresser davantage au sujet. « Nous observons aujourd’hui une nette augmentation des inscriptions aux formations, mais aussi des interrogations avec, par exemple, une plus grande sollicitation pour évaluer les risques sur des mails suspects », constate le RSSI. Si, en Savoie, la proximité avec un incident de cybersécurité a certainement favorisé la prise de conscience générale, force est de constater que c’est également le cas ailleurs. Partout, ces questions semblent désormais se poser avec plus d’acuité.

« Les patients eux-mêmes sont nettement plus sensibles aux risques potentiels, et nous appellent parfois pour avoir plus d’informations sur un évènement particulier dont ils ont entendu parler dans les médias », note Yohann Fourchon. Cette médiatisation accrue des cybermenaces devrait avoir plusieurs retombées. Financières, d’abord, avec notamment la stratégie nationale pour la cybersécurité, qui prévoit désormais une enveloppe de 20 millions d’euros pour la santé. Sociétales, ensuite, avec le changement du regard porté sur les missions des RSSI et DPO. « Auparavant perçus comme des contrôleurs et des évaluateurs, nous sommes aujourd’hui considérés, par beaucoup, comme des conseillers et des aidants en méthodologie », sourit Guillaume Deraedt.
 

Pour aller plus loin, ces professionnels se coordonnent mieux et surtout échangent plus. Ainsi, depuis l’attaque du Centre Hospitalier Albertville-Moûtiers, André Pillon intervient fréquemment pour faire part de son expérience. Yohann Fourchon collabore, quant à lui, avec le GCS e-santé Bretagne et ses confrères régionaux pour développer de nouveaux outils. Les RSSI bretons se réunissent désormais régulièrement pour établir des guides de bonnes pratiques ou encore effectuer des audits blancs. Récemment, ils ont également développé un e-learning de 45 minutes pour sensibiliser les usagers aux questions de cybersécurité. « Complétée par une intervention de deux heures, cette formation permet de répondre aux questions que chacun se poserait tout en abordant les points essentiels », explique Yohann Fourchon.

« Nous le savions déjà, mais ces derniers mois l’ont encore plus souligné : personne n’est à l’abri d’une cyberattaque. S’en préserver, c’est s’inscrire dans une démarche de longue haleine, qui implique de nombreux échanges avec tous les acteurs et prestataires de l’établissement, et surtout avec les utilisateurs », ajoute le responsable. C’est en effet là l’une des missions principales des RSSI et DPO : ils doivent constamment travailler avec les usagers, que Guillaume Deraedt décrit comme « les meilleurs remparts contre les infiltrations ». Ils disposent pour cela de plusieurs outils, actions de communication interne, messages ciblés, fausses campagnes de phishing... Ces professionnels de terrain doivent s’adapter aux usages de chacun car, comme le rappelle André Pillon, « notre objectif est d’arriver à ce que les agents hospitaliers pratiquent ce que l’on pourrait appeler les “gestes barrières numériques” ».
 

RSSI - DPO, un binôme complémentaire

Qu’ils soient occupés ou non par la même personne, les postes de RSSI et de DPO ne se positionnent pas de la même manière. « Le premier accentue davantage son travail sur la sécurité et l’aspect technique, alors que le second, par un biais plus juridique, se penche plutôt sur la protection des données », résume Guillaume Deraedt. Après avoir longtemps eu cette double casquette, l’actuel DPO du GHT Lille Métropole Flandre Intérieure salue « l’émulation intéressante » provoquée par la scission quasi-totale des missions. « Outre la chance de travailler à plusieurs, la distinction effective entre RSSI et DPO permet aussi de distinguer les points de vue, en les centrant davantage sur les services d’information ou sur les patients », précise-t-il.

Malgré tout, et même si RSSI et DPO restent partout où cela est possible indépendants les uns des autres, leurs missions n’en demeurent pas moins très « complémentaires » : le RSSI fait ainsi parfois office de « lien entre le DPO et la Direction des Systèmes d’Information (DSI) », confie Guillaume Deraedt. Ce binôme complémentaire travaille donc, bien souvent, sur des projets communs, comme par exemple en Savoie où il est tout à la fois chargé de « l’analyse des risques ou de la sécurité », détaille André Pillon, RSSI du GHT Savoie-Belley.

Des profils variés

Si certains métiers ne disposent que d’un nombre restreint de formations, ce n’est ni le cas pour les RSSI, ni pour les DPO. Véritables touches à tout, ces responsables concentrent principalement leurs actions « autour de la gestion des risques et la prévention », rappelle Yohann Fourchon, RSSI et DPO du GHT d’Armor.  « Nous prenons en compte tous les aspects de la gestion des données, qu’ils soient techniques, organisationnels, juridiques… », ajoute Guillaume Deraedt, DPO du GHT Lille Métropole Flandre Intérieure. Pas étonnant donc que leurs profils et ceux de leurs équipes soient aussi variés. En témoigne l’équipe lilloise, composée de Guillaume Deraedt, DPO et ingénieur de formation, de Thomas Aubin, RSSI et diplômé en technologie de l’information, et d’Anthony Bouzidi, DPO adjoint et diplômé en droit. « Cette diversité est une réelle opportunité puisqu’elle offre les complémentarités nécessaires pour couvrir tous les champs traités », conclut Guillaume Deraedt.