« Une cyberattaque ?
Ca n’arrive pas qu’aux autres ! » 

Malgré des campagnes de sensibilisation à la sécurité informatique auprès des personnels, des investissements importants dans les infrastructures de sécurité, le Centre Hospitalier de Villefranche sur Saône a subi une cyberattaque de grande ampleur en février 2021.  Directeur des services numériques du territoire pour le GHT Rhône Nord Beaujolais Dombes, dont l’hôpital Nord Ouest est l’établissement support, Nasser Amani revient sur l’importance de communiquer et de faire partager son retour d’expérience, afin d’éviter à d’autres structures hospitalières de connaitre la même mésaventure.


 

Exerçant dans le secteur de la santé depuis 22 années, quelles sont les évolutions majeures que vous avez constaté en matière de cybersécurité ? 

« Les établissements de santé ont d’abord traversé une période assez longue, d’une quinzaine d’années, durant laquelle ils devaient être sécurisés et peu ouverts sur l’extérieur. Avec la mise en place  des groupements hospitaliers de territoire (GHT), ils ont eu l’obligation de communiquer avec  d’autres établissements, y compris la médecine de ville, et partager ainsi leurs informations médicales. Naturellement, qui dit ouverture dit plus grande vulnérabilité et augmentation de failles potentielles ! C’est pour cette raison que j’ai été très vite sensibilisé à la cybersécurité, en tant que directeur des services numériques du territoire pour le GHT Rhône Nord Beaujolais

Nasser Amani.jpg

Nasser Amani,
Directeur des services numériques du territoire pour le GHT Rhône Nord Beaujolais Dombes

Dombes. La dernière évolution marquante que je constate, c’est l’accélération de la notion d’usage dans l’informatisation des dossiers patients et le partage des systèmes d’informations, puisque précédemment les solutions déployées n’étaient pas toujours très utilisées et le papier résistait bien souvent aux outils numériques. »

 

Comment sensibiliser les personnels à l’importance de la sécurité informatique afin de  protéger les établissements hospitaliers de cyberattaques, telle que celle que vous avez vécue au CH de Villefranche sur Saône, en février 2021 ?

 « La réalité montre que la sensibilisation des équipes IT n’est malheureusement pas suffisamment développée, même si différents programmes nationaux la préconise depuis des années. Les pré-requis à atteindre présents dans HOP’EN et SUN-ES sont, à mon sens, les bases d’une bonne politique de sécurité. Elles sont néanmoins plus ou moins appliquées, en fonction des compétences, des contraintes budgétaires et techniques ainsi que des différents acteurs. D’après notre expérience à l’hôpital Nord Ouest, ce qui a accéléré la prise en compte de la sécurité pour l’ensemble des utilisateurs du SI, qu’ils soient soignants ou personnel administratif, c’est la cyberattaque que nous avons subi sur notre établissement support, le CH de Villefranche sur Saône. Et ce, malgré des campagnes de prévention portées par notre RSSI qui n’ont pas suffi à nous protéger d’une panne généralisée et totale de notre SI. »

 

Faut-il  donc un tel électrochoc pour faire changer les mentalités ?

« Malheureusement, c’est exactement ce qui s’est passé pour nous et je crains que ce soit très souvent le cas. Il reste encore énormément de travail à accomplir sur la formation des usagers de nos systèmes d’informations. Cette cyberattaque a permis une prise de conscience et une accélération des mesures sécuritaires au sein de notre GHT. Elle a démontré que la sensibilisation à la sécurité était l’affaire de tous, puisque la faille de sécurité première vient d’une mauvaise manipulation d’un utilisateur. J’aurai naturellement préféré que ça se passe autrement… »

 

D’où votre décision de communiquer très largement autour de ce rançongiciel, dans un souci de pédagogie ?

« Tout à fait. Dès les premières heures de l’attaque, nous avons pris le partie de diffuser un communiqué de presse pour faire prendre conscience aux utilisateurs, aux politiques, à l’ensemble des acteurs institutionnels et au grand public de l’ampleur de la menace. D’autant plus que face aux différentes vagues de Covid, nous n’avions pas besoin de lutter aussi contre de tels actes criminels. Si je participe bien volontiers à des événements tels que le CyberCamp Santé c’est pour faire de la pédagogie et dire stop à certaines idées reçues. On entend souvent dire  que les hôpitaux publics ne sont pas sécurisés, c’est complètement faux ! Ils le sont, ce qui ne les empêche pas d’être exposés à des risques comme n’importe quelle entreprise. Les représentants politiques se sont très vite emparés du sujet. Après la visite du Ministre des Solidarités et de la Santé, Olivier Véran, la même semaine que la cyberattaque nous avons eu une visioconférence avec le Président de la République, Emmanuel Macron qui en a profité pour annoncer son plan cyber. Il était important de montrer que personne n’est à l’abri, même des établissements très informatisés et souvent en avance comme l’était le CH de Villefranche sur Saône. Nous avons beaucoup communiqué pour servir de détonateur. La menace existe, il faut en avoir conscience et tout mettre en œuvre pour la limiter. D’après les retours de certains de mes collègues, le message est en train de porter ses fruits, servant notamment à débloquer des budgets en faveur de la sécurité et c’est tant mieux !  »

 

Qu’en est-il au niveau européen ?

« La directive Network and Information System Security (NIS) qui s’applique désormais aux établissements support de GHT va dans le bon sens. Elle reste cependant compliquée à appliquer. Je plaide souvent en faveur de la formation continue pour nos personnels ingénieurs et RSSI, tant le domaine de la sécurité nécessite des compétences, en termes d’audit, de mise en place de plan d’actions et de définition d’une politique de stratégie de sécurité. Je suis aussi favorable pour l’intégration d’un volet sécurité des SI, dans tous les cursus universitaires. La sensibilisation ne concerne  pas que le monde de la santé, elle touche toute la société. »

BIO EXPRESS

Travaillant dans le numérique en santé depuis juillet 2000, Nasser Amani a mené de nombreux projets et réflexions autour des dossiers patients informatisés ainsi que des échanges de données entre professionnels de santé, établissements hospitaliers et médecine de ville. Directeur des services numériques du territoire pour le GHT Rhône Nord Beaujolais Dombes - dont l’établissement support, le CH de Villefranche sur Saône, a été victime d’une cyberattaque en février 2021 - il est à la tête d’une équipe de 34 personnes qui assure le maintient des conditions opérationnelles du SI de l’ensemble du GHT. Au cours de sa carrière, il a également œuvré au déploiement d’outils et d’applications métiers dans les 300 établissements sanitaires ou médico-sociaux de la Croix- Rouge française.