Les responsables de sécurité de système d’information dans les centres hospitaliers

Il se constitue aujourd’hui comme étant l’un des pions essentiels de toute organisation qui fait fonctionner l’ensemble de ses activités autour du numérique.

Le responsable de sécurité de système d’information est un professionnel qui doit s’assurer que l’ensemble des appareils informatiques et du système d’information fonctionnent correctement. Pour cela, il doit faire en sorte de ne pas laisser les pirates informatiques prendre le dessus sur les intérêts de l’organisation dans le système et à sa charge.

Cet article va aussi vous intéresser : Rançongiciels : ces programmes malveillants seraient la cause d’une augmentation de décès dans les hôpitaux

« La mission principale d’un RSSI est, sans surprise, d’assurer un niveau de cybersécurité adéquat pour l’établissement. Mais cet objectif premier se décline en plusieurs sous-parties, puisque le système d’information d’un hôpital, et plus encore d’un CHRU, est composé d’une multitude de solutions et d’applications, en fonction des domaines adressés. Il nous faut donc à chaque fois identifier et définir des mesures de sécurité pertinentes, c’est-à-dire qui permettront d’atteindre le niveau attendu sans pour autant bloquer l’activité des professionnels de santé. Nous sommes également tenus de contrôler leur mise en place et leur respect effectifs. Nous agissons ici un peu comme des médecins qui s’assurent qu’une prescription ou une préconisation sont bien suivies. », explique Jean-Sylvain Chavanne, Responsable de la Sécurité des Systèmes d’Information du CHRU de Brest, ex agent de l’Agence Nationale de la Sécurité des Systèmes d’Information

Ce genre de compétence est très demandée dans le domaine professionnel de nos jours. Toutes les entreprises d’une certaine manière ont décidé de migrer vers une numérisation de leur service. Cela demande beaucoup de travail. Le travail de responsable de sécurité de système d’information repose essentiellement sur plusieurs types de paramètres. Effectivement ces paramètres évoluent selon le contexte et selon l’organisation ciblée.   

« Les facteurs considérés sont nombreux et dépendent des évolutions techniques, mais aussi, du contexte politique. Les tensions russo-ukrainiennes, par exemple, font évoluer les mesures de sécurité que nous avons pu mettre en place précédemment. Pour garantir la pertinence des mises à jour, je consacre d’ailleurs une vingtaine de minutes tous les matins à la lecture d’articles relatifs à la cybersécurité. Cette veille quotidienne me permet également de suivre l’évolution des modes opératoires des attaquants. Pour pouvoir adapter en permanence les mesures de cybersécurité, le RSSI doit en effet avoir une vision en quasi-temps réel de la manière dont les systèmes d’information seront exposés. », souligne le RSSI du CHRU de Brest.

De façon pratique, une grande partie du travail réalisé par les responsables de sécurité de système d’information réside essentiellement dans la prévention. Aujourd’hui ces professionnels mettent l’accent beaucoup plus sur la sensibilisation et la surveillance des personnes ayant accès au système informatique. Ils doivent s’assurer que l’ensemble des individus ayant un accès puissent avoir les bons gestes de sécurité qu’il faut. Par ailleurs, ils apprennent aussi à anticiper de potentiel de risque pouvant venir de l’extérieur en essayant de développer un environnement de protection au sein de l’établissement tout autour du système informatique. C’est d’ailleurs ce qu’explique Jean-Sylvain Chavanne : « Il est d’autant plus indispensable d’y être préparés que notre système d’information est de plus en plus ouvert, et donc de plus en plus exposé. Des réunions pluri professionnelles, des sessions de formation, ont ainsi lieu pour que chaque équipe soit prête et puisse mettre en place les organisations les plus adaptées à son service et à ses besoins. ».

En dehors de la prévention et de l’anticipation, le responsable de sécurité de système d’information a pour rôle de remédier à toute situation susceptible de porter atteinte au fonctionnement correct et intègre du système informatique. Même en cas de doute, il doit déployer toutes les mesures nécessaires pour balayer les incertitudes.  « Je vérifie que la structure réputée fragile ne soit pas corrompue, ou que l’alerte émise par un logiciel de surveillance des risques soit bien réelle. Dans la majorité des cas, il s’agit heureusement de faux positifs, c’est-à-dire d’alertes dues à une mauvaise coordination ou à une mauvaise utilisation du système. Mais il peut aussi y avoir un « vrai positif » Nous sommes alors accompagnés par une entreprise privée pour analyser et expertiser la situation, et pouvoir ensuite la gérer de la manière la plus adéquate. Mais, et je tiens à le préciser, dans la majorité des cas, ce n’est pas spectaculaire. Les attaques ne sont pas toutes destinées à voler de la donnée ou à installer un rançongiciel, certains scripts consomment par exemple uniquement de la ressource pour miner du bitcoin. Dans tous les cas, nous devons ensuite qualifier l’incident et surtout, savoir si les données patientes ont été touchées. », explique Jean-Sylvain Chavanne.

Le plus important dans le métier de responsable de sécurité de système d’information, c’est certainement la confiance que lui accorde les responsables de l’organisation. En échange, celui-ci doit faire en sorte de maintenir un bon équilibre de sécurité. Dans le secteur de la santé, cela s’impose grandement. Effectivement la confiance est la base de toute chose. Par exemple, le médecin doit pouvoir de manière libre et sans inquiétude utiliser l’ensemble des outils qui sont connectés à Internet. Le patient doit aussi être en mesure d’avoir confiance au médecin qui doit non seulement gérer sa santé mais aussi des informations liées à sa vie privée.

Accédez maintenant à un nombre illimité de mot de passe :