Cybersécurité : Le gouvernement déconnecté du terrain

Article Article

En février, le gouvernement a décidé de prendre à bras le corps de problème de la cybersécurité des établissements hospitaliers. Cela, à coup de rallonges budgétaires pourtant éloignées des contraintes de terrain.

Cybersécurité : Le gouvernement déconnecté du terrain

Villefranche-sur-Saône, Dax… Depuis le début de l’année, chaque semaine est ponctuée d’une attaque informatique à l’encontre d’un établissement de santé. Une tendance inquiétante que le gouvernement tente d’enrayer. « Si aujourd’hui la situation est maitrisée à Villefranche et Dax, il faut malheureusement s’attendre à d’autres attaques. Face à l’urgence nous renforçons notre action et complétons les travaux engagés depuis deux ans », a indiqué Cédric O, secrétaire d’État chargé de la Transition numérique et des Communications électroniques, aux côtés du ministre de la Santé, le 18 février.

Des rallonges budgétaires

« En plus des 350 M€ prévus dans le cadre du Ségur de la Santé, la stratégie nationale pour la cybersécurité a attribué à l’ANSSI une enveloppe budgétaire de 136 M€ pour renforcer la cybersécurité de l’État. Sur cette enveloppe déjà dédiée à la cybersécurité, 25 M€ seront spécifiquement consacrés à la sécurisation des établissements de santé pour la réalisation d’audits pour les accompagner dans leur démarche de cybersécurisation », ont détaillé les ministres du numérique et de la santé dans un communiqué paru en marge de leur déplacement. Une bonne nouvelle pourtant accompagnée d’une mauvaise surprise. « Aucun projet ne pourra désormais faire l’objet d’un soutien de la part de l’Etat si une part de 5 à 10% de son budget informatique n’est pas dédiée à la cybersécurité », poursuivent les deux ministères dans la même missive.

« Leurs annonces vont dans le bon sens car ils prennent en compte le besoin formulé depuis plusieurs années, commente Mickaël Taine, directeur de l'Innovation Numérique et des Systèmes d'Information du GHT des Alpes Maritimes au CHU de Nice. Maintenant, ce qui m’inquiète, c’est cette volonté d’investir dans la cybersécurité au détriment des autres projets ». Et pour cause : le budget informatique des centres hospitaliers n’est pas illimité. « On reprend à nouveau sur l’enveloppe maigre du Ségur en nous indiquant qu’on va devoir investir 10 % à la cybersécurité… Cela, alors que notre budget informatique est déjà très réduit. Ce n’est pas réaliste », poursuit-il

Pas de prise en compte du terrain

Et dans la déclinaison opérationnelle beaucoup de choses restent « flous », selon lui. « 10 % à consacrer à la cybersécurité pour quoi ? Payer une boite pour réaliser des audits, mettre de nouvelles clauses dans le cahier des charges, renouveler le parc ? », indique Mickaël Taine, tout en rappelant que les établissements publics en santé « tournent avec des versions Windows complètement obsolètes ». Cela, sans oublier que « ce n’est pas un saupoudrage à destination de tous les établissements de santé publics et privés de 25 millions d’euros qui va faire que nos systèmes d’informations sont sécurisés ».

Autre levier actionné par l’État : l’intégration « d’ici trois mois » des 135 groupements hospitaliers de territoire (GHT) à la liste des "opérateurs de services essentiels" (OSE). « Ce classement implique des règles de sécurité informatique plus strictes et la contrainte d’appliquer aux systèmes d’information les meilleures pratiques de cybersécurité. L’Anssi sera chargée de contrôler le bon respect de ces règles. », peut-on lire dans le communiqué. Un temps court qui fait un peu plus crisser des dents celui qui officie également en tant que vice-président du syndicat des manageurs publics en santé (SMPS). « Trois mois, c’est infaisable. Ce sont des effets d’annonces pour rassurer. Il n’y pas de prise en compte de terrain. ».

Un besoin de concertation

Pour lui, pas de doute, cette ribambelle de directives descendantes ne prennent pas en compte les vrais besoins des services informatiques des centres hospitaliers. « J’alerte depuis des années sur les problèmes d’attractivité de la filière. Or, la sécurité : c’est aussi des hommes et des femmes qui ont une bonne connaissance de sytèmes d’informations très complexes, indique-t-il. Aujourd’hui, nous avons du mal à recruter sur le long terme. Le temps que je les forme, ils partent car ils ne sont pas assez payés ! »

Une conviction qui le pousse à espérer la fin des décisions prises à « l’emporte-pièce ». « Je pense qu’ils sont convaincus qu’en mettant de l’argent sur la table : les choses vont avancer. Or, il faut savoir prendre du recul, se poser un peu et essayer de savoir d’où vient le problème et quelles seront les bonnes mesures à prendre… », assure-t-il. Car si les rallonges budgétaires sont bienvenues, savoir où les investir : c’est mieux. « Le problème est que sont des annonces assez descendantes. La volonté et l’envie des acteurs de terrain sont là ! Concertez-nous ! »

Les gros dossiers

+ De gros dossiers