350 millions d'euros, issus des 2 milliards d'euros du Ségur de la santé consacrés au numérique, seront consacrés à la sécurité des systèmes d'information des établissements de santé. Une enveloppe qui permettra à tout l'écosystème de mieux répondre aux menaces. Le point avec Dali Kilani, chief technical officer (CTO) de Lifen
L'APHP a annoncé, à la veille de cet entretien, le vol des données personnelles de 1,4 million de personnes. Ce piratage montre-t-il l'importance de la cybersécurité ?
Il montre que personne n'est à l'abri : l'APHP est l'un des acteurs de la santé le mieux doté en ressources humaines et financières ! La cybersécurité est l'affaire de tous, du cabinet du médecin de ville jusqu'au CHU. Il y a eu beaucoup d'incidents depuis 18 mois, ce qui a entraîné une vraie prise de conscience, mais il reste beaucoup à faire car les menaces sont diverses et les mesures à prendre sont multidimensionnelles. Il faut avoir les bons outils, former ses collaborateurs, voire en embaucher, et revoir certaines pratiques et idées reçues. Par exemple, le fait de se sentir en sécurité quand l'outil informatique est à l'intérieur d'un établissement, ce n'est plus vrai.
Le Ségur de la santé vise à accélérer la numérisation du secteur, notamment en termes de coordination et communication. C'est un défi ?
Oui, car l'information numérique est plus facilement copiable et volable. Il faut contrôler et authentifier chaque accès à ces données, avec des services comme Pro Santé Connect pour les professionnels ou France Connect pour les patients. Le Ségur, en s'appuyant sur les référentiels d'identité, va forcer tout l'écosystème à monter d'un cran en termes de sécurisation. A charge de tous les éditeurs et des fournisseurs de services de se mettre à niveau. C'est déjà le cas chez Lifen : Pro Santé Connect est intégré à nos services d'authentification, et nous sommes certifiés Hébergeur de données de santé (HDS). Se faire certifier n'est pas une finalité en soi, mais c'est une preuve qu'on a géré et piloté de manière industrielle les bonnes pratiques de sécurisation de données, de gestion des accès et de gestion des risques en général. Nous voulons montrer qu'il est possible pour une jeune start-up de se faire certifier et de suivre les règles les plus ambitieuses en matière de sécurisation du système d’informations.
Traditionnellement, les questions de sécurité sont peu discutées, car chacun a peur de passer pour le mauvais élève. Nous pensons à l'inverse qu'il faut de la transparence. Face à des acteurs malveillants de plus en plus organisés, il ne faut pas rester seul. Il faut s'entraider, partager ses bonnes pratiques. Historiquement, il y a eu un sous-investissement dans la cybersécurité en santé. Le Ségur est donc une bonne chose, mais il faut une mutualisation des efforts afin d'être le plus efficient possible et de s'assurer de la bonne allocation des fonds : il ne faut pas que chacun réinvente la roue dans son coin.