« Faire monter collectivement
le niveau de maturité des hôpitaux  » 

Convaincu que la transformation numérique est l’avenir des établissements de santé, Rodrigue Alexander a engagé le CH d’Arles, dont il est directeur adjoint, dans la démarche « hôpital sans papier ». Son témoignage sur la cyberattaque par ransomware de son système informatique, en août 2021, devrait convaincre les plus réticents de la nécessaire sensibilisation aux risques encourus et des moyens de contrer cette menace grandissante.


 

Finances, activités et SI, la direction que vous occupez au CH d’Arles, depuis 2017, a un périmètre très large. Est-ce, à votre avis, une condition sine qua non pour mener à bien la transformation digitale d’un établissement ?

« Ce n’est pas obligatoire, mais ça aide énormément au quotidien, notamment pour convaincre les personnels de l’intérêt du changement et lever certaines résistances. Je suis passionné par la transformation numérique et persuadé que c’est l’avenir des hôpitaux, en termes d’amélioration de la qualité de prises en charge, d’efficience et d’harmonie des conditions de travail pour les professionnels. La direction que j’occupe englobe également le contrôle de gestion, les admissions et facturations, le service social, les archives ainsi que les secrétariats médicaux. Elle me donne donc une vision assez large de la transformation digitale de l’établissement. Quand j’ai pris mon poste en 2017, je me suis très rapidement retrouvé avec énormément de documents à parapher et de bordereaux à signer pour le trésor public. J’ai alors engagé le CH d’Arles dans la démarche « hôpital sans papier », en mettant en place une dématérialisation des échanges entre l’ordonnateur et le comptable pour le service financier, ainsi qu’une digitalisation complète avec dictée numérique, reconnaissance vocale, messagerie sécurisée et signature électronique sur l’ensemble de la chaine des compte rendus médicaux, des consentements opératoires et de toute la production de courriers. »

1607547845958.jpg

Rodrigue Alexander,
Directeur adjoint du CH d’Arles chargé des finances, de l’activité et du système d’information

Et puis, le 2 août 2021, votre établissement est victime d’une attaque informatique par ransomware de grande envergure…

« A côté des projets fonctionnels qui sont visibles, il existe aussi tous les projets techniques qui sont la face cachée de l’iceberg. Avant août 2021, nous avions déjà commencé à travailler à une logique de sécurisation informatique qui, malheureusement, n’a pas suffi à nous protéger d’assaillants malveillants. Nous nous sommes donc réveillés un lundi matin face à une cyberattaque massive ayant mis à plat, par ransomware, tout notre système informatique. »

 

Ce jour là, comment avez-vous réagi ?

« Le jour où le ciel vous tombe sur la tête, il faut d’abord essayer de comprendre ce qui vous arrive. Nos premiers réflexes ont été de suivre une procédure assez classique de mise en sécurité, à savoir couper les accès internet et désactiver l’ensemble des liens avec notre cœur de réseau, l’isoler pour éviter la contagion, comme pour un virus médical. Très rapidement ensuite, nous avons rempli un processus de déclaration obligatoire permettant de qualifier, dans la journée, la nature des dégâts. Et puis surtout, puisque nous sommes un hôpital et non un site de e-commerce, nous avons activé le plan de continuité d’activité pour que les désagréments informatiques n’aient pas de conséquences néfastes pour les malades. » 

 

​Le passage en procédure dégradée a-t-il été difficile ?

« Dans notre malheur, nous avons eu la chance de pouvoir retirer les bénéficies du travail mené depuis deux ans sur des démarches qualités. La rédaction d’un plan de continuité de l’activité (PCA) dans le cadre du programme HOP’EN a notamment été très utile. Ces acquis nous ont évité de rajouter de nouveaux désagréments techniques à la permanence des soins. Par une cellule de crise, des points entre professionnels plusieurs fois par jour pour mesurer l’étendue des dégâts, nous avons réussi à réajuster les procédures quand elles n’étaient pas suffisantes et à prioriser les actions de contournement. Un exemple parmi des dizaines, le premier soir s’est posé la question de l’interprétation des examens d’imagerie des patients pris en charge aux urgences. Pour y répondre, nous avons eu recours à un abonnement taxi, assurant le transport des résultats de chaque examen, gravés sur CD, au service radiologie du CHU de Nîmes, situé à 30 minutes. »

 

Quel bilan tirez-vous de cette cyberattaque ?

« Même si notre anticipation technique était cohérente par rapport aux moyens consacrés à l’évolution technologique de notre SI et qu’elle nous a bien aidé le jour J, quand on se retrouve au cœur du cyclone, on est forcé de constater que le niveau de maturité des hôpitaux est assez léger face à ce type d’attaques, par rapport à d’autres secteurs beaucoup mieux armés. Je pense notamment aux investissements massifs réalisés par les établissements bancaires. En comparaison, nos petites structures sont à des années lumière des procédures de sécurité qu’exige ce nouveau risque ! Cette cyberattaque a cependant été un accélérateur des projets de sécurisation informatique et de sensibilisation auprès des utilisateurs, avec des actions  dédiées au phishing ou le recours aux serious games. Comme la vaccination, ces campagnes informatives ont pour objectif de maintenir un niveau d’anticorps suffisamment élevé au sein du corps hospitalier. »

 

Pourquoi avez-vous accepté de participer à la deuxième édition du CyberCamps Santé ?

« Pendant un temps, il était un peu honteux d’avouer avoir été piraté et pour les directeurs d’établissements ou les DSI, c’était l’apanage des mauvais. L’acculturation à l’ampleur du risque restait bien insuffisante. Depuis que nous en avons été victime, j’en parle de manière totalement décomplexée pour partager notre expérience et montrer la complexité d’une cyberattaque. Je suis convaincu que c’est par une plus grande communication autour des risques encourus par chaque établissement que nous augmenterons notre niveau de maturité collective et que nous détournerons les attaquants du secteur de la santé ! »

BIO EXPRESS

Directeur d’hôpital de formation, Rodrigue Alexander est passionné par les enjeux de transformation numérique de l’hôpital public. Après avoir été directeur adjoint chargé de la performance et des systèmes d’information au CHI Compiègne-Nyon, il a rejoint la direction du CH d’Arles où il est responsable, depuis 2017, des finances, de l’activité et du système d’information. Dans cet établissement, il a piloté sur le deuxième semestre 2021, la gestion d’une cyberattaque par ransomware s’étant déroulée début août. Ont ainsi été mis en place un plan de reprise d’activité à l’aide de technologies variées et la reconstruction d’un système d'information beaucoup plus robuste. Le retour d’expérience de ce spécialiste est particulièrement précieux pour connaitre le véritable coût d’une cyberattaque.