par Cédric CARTAU Responsable de la Sécurité des Systèmes d’Information (RSSI) du GHT 44 & Délégué à la Protection des Données (DPO) du CHU de Nantes
Pendant de nombreuses années, les enjeux de cybersécurité dans les hôpitaux se sont limités aux systèmes informatiques administratifs et aux dossiers patients informatisés.
Aujourd’hui, l’informatique est omniprésente, jusque dans les dispositifs médicaux (DM) et soulève de nombreuses problématiques. Cédric Cartau, RSSI et DPO du CHU de Nantes et RSSI du GHT 44, met en évidence les dysfonctionnements organisationnels et propose des solutions basées sur son expérience.
Depuis les années 2000, les hôpitaux sont confrontés à de nombreux problèmes impliquant la connectivité des DM au réseau informatique. Ils ont par exemple subi les infections du virus Conficker en 2008 ou le déploiement d’un système d’exploitation (Windows NT) obsolète depuis 2001. Aujourd’hui encore, certains fournisseurs ne sont pas à même de présenter une solution reliée au réseau de l’établissement en précisant toutes les spécifications nécessaires. En interne, la moitié des incidents liés aux technologies de l’information et de la communication serait due au non-respect des procédures par les informaticiens.
Pour un fonctionnement optimal et une meilleure sécurité informatique, tous les services (informatique, biomédical et techniques) doivent communiquer entre eux. Sinon, cela peut causer d’importantes répercussions : l’utilisateur final est impacté de manière négative, on observe une perte de temps chez les ingénieurs et les techniciens et des failles dans la sécurité informatique apparaissent. De plus, le nombre de textes réglementaires n’a cessé d’augmenter ces dix dernières années, notamment avec la création du Règlement Général sur la Protection des Données (RGPD) et l’adoption de la directive NIS (protection des réseaux informatiques et des informations). La législation tend donc vers une transparence totale vis-à-vis des incidents survenus.
Cependant, les axes de solution sont multiples. Tout d’abord au niveau de l’organisation, avec une meilleure communication entre les protagonistes et à court terme, une éventuelle fusion des services informatique et biomédical. Une approche de type gestion de projet serait également pertinente. Enfin, la diffusion des connaissances est une nécessité évidente pour une collaboration sereine et un gain d’efficacité.