Tribune Jean-Pierre Blum

Résultats d’une étude Fédérale sur la Cybersécurité des hôpitaux US, « Nous fîmes ce que nous pûmes »

Publié le 08/06/2023

L'American Hospital Association, en association avec KLAS Research et Censinet, s’est récemment lancé dans une étude de recherche – « Healthcare Cybersecurity Benchmarking Study » (*) - pour explorer le niveau de maturité en matière de cybersécurité dans 48 hôpitaux américains.

Crédit photo : DR

Si certains hôpitaux, not so many, semblent faire des progrès dans les domaines de la gestion des risques liés à la cybersécurité, beaucoup d'autres, most of them, sont largement plus réactifs que proactifs s’agissant de l'adoption des meilleures pratiques recommandées. Le chemin est long de la coupe aux lèvres des mesures qui peuvent faire progresser le niveau de maturité cybernétique. On voit d’ici les ambitieux s’enorgueillir de constater qu’il y a encore pire que nous. Que serait-ce si nous n’étions pas le centre du monde, de celui où nous avons tout pour réussir ?

I do not trust and I check

Les données et l'analyse de cette étude ont été incluses dans un document de recherche plus large examinant la résilience en matière de cybersécurité dans les hôpitaux américains, qui a été publié par le Département de la Santé et des Services sociaux (HHS - Human & Health Services), le ministère fédéral de la Santé américain. C’est là une source précieuse de « benchmark » ainsi qu’on le dit en bon français. On se demande encore pourquoi nous ne disposons point d’un tel outil de comparaison, de progression d’efficience, de mesure de la gouvernance. On se consolera en sachant que l’Etat français ne sait même pas mesurer le nombre d’arrêts de travail dans les services publics et les territoires non plus. Ça l’arrange peut-être ? Citoyens parlez plus fort, l’Etat est aveugle.

L'enquête visait à mesurer l'adhésion des hôpitaux aux contrôles de sécurité recommandés par le National Institute of Standards and Technology Cybersecurity Framework (NIST TCF) et les Health Industry Cybersecurity Practices (HCIP), un guide des meilleures pratiques élaboré par le HHS's 405(d) Task Group (**).

Boudiou

Les hôpitaux présentent des forces et des faiblesses relatives très marquées. On constate des faiblesses significatives dans l'atténuation proactive des risques. Lorsqu'il s'agit de suivre le cadre du NIST, de nombreux hôpitaux ont mis en place des contrôles relativement solides pour la réponse aux incidents et la détection, mais totalement défaillants lorsqu'il s'agit de l'atténuation des risques des tiers et de la gestion des actifs. EBIOS entre ici !

Les hôpitaux mettent de l'ordre chez eux, mais sont en retard lorsqu'il s'agit de s'engager avec des tiers, et c'est là que réside le défi, c'est là qu'ils courent le plus de risques. What ballot it is !

Des faiblesses similaires ont été constatées dans les pratiques de gestion des actifs informatiques. Si l'on ne procède pas à un inventaire correct de ses actifs numériques, il est difficile – impossible - de comprendre où se situent les risques et de mettre en place les contrôles adéquats pour protéger la sécurité des patients et la prestation globale des soins.

Lorsque l’on sait que les établissements américains disposent d’environ, à budget comparable, dix fois plus de ressources de sécurité, nous ne pouvons qu’être inquiets pour nos hôpitaux, structurellement et dans un contexte de conflits ou de grandes manifestations à venir (Coupe du Monde de Rugby, Jeux olympiques). La défaillance hospitalière américaine démontre que les budgets servent – pronominal ? - avant tout les industriels du secteur et que les défauts proviennent d’abord d’un manque de prise de conscience donc de gouvernance et de compétences.

Cols blancs, cols verts même combat

Une autre étude, datant de mai 2023, non publiée à ce jour, d’origine américaine également, à laquelle nous avons pu avoir accès, objective la probabilité des risques encourus par les CHU nationaux. En termes statistiques, ces calculs sont ceux sur lesquels s’appuient les assureurs. Les résultats sont alarmants. La Réunion, Brest ont été harponnés. Paris, Lyon, Nantes devraient franchement s’ausculter avant d’affronter un conflit, chez les « Pasnouspasnous », entre la direction générale, la direction financière, la direction informatique et le responsable de la sécurité. Car c’est bien connu, le conflit doit. On attend avec délice la réponse du directeur d’un l’établissement alpagué aux demandes d’explications comminatoires de l’administration et de la Cnil. « Qu’eussiez-vous voulu que nous fissions ? ». Atomique non ?