© 2020 by CyberCamp Santé. Proudly created with Wix.com

Interview de Mathieu Hernandez,

Expert Sécurité SI 

Actis Monaco

La cybersécurité au service des métiers de la santé

Constatant que la santé a tendance à se considérer comme un secteur à part en matière de sécurisation des systèmes d’information, Mathieu Hernandez spécialiste du domaine depuis plus de vingt ans plaide pour des procédures véritablement adaptées aux besoins des métiers.

Quelle vision spécifique avez-vous des systèmes d’information ?

« A force de vouloir faire appliquer des certifications et une politique de sécurité des systèmes d’information (PSSI) qui consiste souvent à donner de grands conseils, les experts en cybersécurité sont vus aujourd’hui comme des empêcheurs de travailler et une source de contraintes. La vision défendue chez Actis, société pour laquelle je suis expert en cybersécurité, souhaite bousculer cette image et changer un peu la donne, en permettant à la sécurité de pouvoir par exemple accompagner la transition numérique à l’hôpital. C’est une manière de procéder très proche des préoccupations du métier. »

 

De quelle manière agissez-vous concrètement avec les établissements de santé ?

« Notre objectif est de rassurer tous les acteurs et utilisateurs d’un SI, qu’ils soient professionnels de santé ou patients, sans en bloquer les usages. Pour y parvenir, nous étudions le fonctionnement de l’établissement, son écosystème et ses services afin de proposer des procédures et des solutions permettant d’intégrer la sécurité au système et d’éviter de perturber ou gêner les habitudes de travail. En début de mission, nous sensibilisons les responsables aux risques actuels de cyberattaques puis nous leur présentons des solutions pragmatiques de contournement,  adaptées à leur utilisation quotidienne, tenant compte du risque résiduel associé. Un risque considéré comme « prenable » par rapport à l’écosystème mondial. » 

Cette cohérence de l’implémentation de la sécurité impose également une bonne connaissance du contexte économique et humain.

« Il est en effet primordial de connaître la viabilité financière de l’établissement tout comme la perception qu’ont les équipes de la sécurité. Suivant les attitudes manifestées, nous proposons des campagnes de communication afin que la cybersécurité ne soit pas obligatoirement perçue comme une contrainte. C’est parce que je désire sensibiliser et informer les différents acteurs de la santé sur les risques liés à l’utilisation qu’ils font quotidiennement des systèmes d’information que je suis très motivé pour participer au CyberCamp Santé du 5 février. »

 

Ayant une bonne expertise du monde de la santé et du milieu hospitalier, remarquez-vous une évolution vis-à-vis des risques liés à la cybersécurité ?

« S’il existe incontestablement une prise de conscience du monde de la santé sur l’importance de mettre les SI au goût du jour, notamment en termes de services connectés, les RSSI des centres hospitaliers ne sont pas toujours entendus lorsqu’ils essaient de rappeler les bonnes pratiques de sécurité. Qu’il soit implanté dans un hôpital, une usine ou un bureau, un SI reste un SI, avec les mêmes programmes et les mêmes risques. Il faut juste adapter les procédures et la façon de fonctionner avec le métier. Aujourd’hui, j’ai parfois l’impression que la santé a tendance à se considérer comme un secteur particulier, ayant la tentation de se mettre à l’écart et de ne pas s’adapter encore tout à fait à l’évolution des nouvelles technologies. Il est fréquent d’entendre dire les professionnels de santé qu’ils n’ont pas besoin d’informatique pour soigner leurs patients. Je ne suis pas convaincu que ce soit la vérité tant les SI sont devenus indissociables du quotidien, même médical… »

 

Comment les convaincre ?

« Il est simple d’expliquer les risques cyber en ayant recours à une analogie entre un SI et le corps humain. Les termes employés comme ceux de chiffreurs d’artères, d’hygiène informatique et de virus sont très évocateurs. Il en est de même pour le fonctionnement avec un cœur de réseau mettant en relation plusieurs services qu’on pourrait comparer à des serveurs sur un SI. Les utilisateurs et leur PC sont les stimuli d’entrée et de sortie, l’épiderme servant de sécurité périphérique. S’il est convenu d’admettre que l’on ne peut pas faire n’importe quoi avec son corps, ce n’est pas le cas avec les SI qui sont souvent interconnectés de manière inopportune ! »

 

Bio express

Fort d’une vingtaine d’années d’expériences, Mathieu Hernandez est responsable Sécurité des Systèmes d’Information pour le groupe monégasque Telis. Ancien militaire, il a commencé sa carrière professionnelle en tant qu’administrateur SSI pour le ministère de la Défense, expert SSI au sein de l’ANSSI puis pour l’État-major des Armées. Avant de rejoindre la société Actis en tant qu’expert en cybersécurité, il a été architecte référent SSI pour Engie Ineo puis RSSI du Centre hospitalier Princesse Grace à Monaco.