Le Centre hospitalier de Mâcon sert plus de 200 000 habitants, sur un bassin situé entre les régions Bourgogne/Franche-Comté et Auvergne/Rhône-Alpes. Fin 2016, confronté à une série de cyberattaques, sa DSI modernise ses solutions de sécurité et en profite pour sensibiliser massivement tous les services.
Les attaques sur le monde de la santé sont monnaie courante et, comparées à de nombreuses autres organisations, ses acteurs ont souvent une culture plus forte du risque. En 2017, cela n’a pas empêché le Centre hospitalier de la ville de Mâcon en Saône-et-Loire de passer un nouveau cap.
En décembre 2016, l’établissement a connu une sérieuse alerte. Touché par un cryptolocker, il souffre d’une coupure d’activité, notamment au niveau de son service Pharmacie, dont la base de données est atteinte. Des sauvegardes lui permettent de se remettre rapidement en selle, mais la direction de l’hôpital prend ce coup de semonce très au sérieux : décision est prise de renforcer la sécurité, tant d’un point de vue technologique qu’organisationnel et culturel.
Faire prendre conscience de la réalité de la menace
« Quand une attaque monopolise nos efforts et effectifs, c’est évidemment un déclencheur pour agir et changer. Même quand l’impact est limité, comme cela a été le cas pour nous, c’est clairement le genre d’évènement que l’on ne veut pas voir se reproduire », décrit Jean-Christophe Tamboloni, le directeur du système d’information (DSI) du centre hospitalier.
Cette décision n’est pas anodine : la DSI regroupe seulement une dizaine de personnes. « Nous n’avons pas de SSI dédiée et avec un peu de recul, on peut voir que nous sommes une équipe sous-dimensionnée par rapport à d’autres centres hospitaliers de taille équivalente. Comme beaucoup, nous sommes dans un contexte de réduction budgétaire. C’est donc une sorte d’injonction paradoxale à prendre en compte », détaille-t-il.
Après les incidents de fin 2016, la direction générale mène une campagne de communication interne pour attirer l’attention de tous sur les risques encourus et les investissements nécessaires. En connaissance de cause, elle souhaite faire prendre conscience aux équipes de la réalité de la menace, quitte à faire peur ! « Notre rôle a été ensuite de rassurer et d’expliquer ce qui avait été mis en place. Cela fait son effet, même si, selon les instances, la réception varie. Les médecins préfèrent ne pas avoir à y penser. Ils veulent juste que nous les protégions. Mais, côté pharmacie, les attentes étaient très fortes et les équipes ont été moteur pour mieux comprendre et être sensibilisés aux bonnes pratiques ».
Cette nouvelle façon de procéder ne saurait être détachée de l’acquisition de nouvelles technologies. Le centre hospitalier s’est à ce titre tourné vers l’éditeur Trend Micro, qui lui fournissait des solutions de sécurité depuis déjà dix ans, afin de muscler ses outils. Protection des emails – canal d’entrée privilégiée des menaces de type cryptolocker – mais aussi sécurité des serveurs physiques et virtuels, des postes de travail, ou encore mise en place en place d’un serveur d’analyse des malwares en sandbox… Cette panoplie est aussi mise en valeur par une remise en question du modus operandi des équipes. « Il fallait que nous puissions changer notre façon de sauvegarder par exemple ; mais aussi que nous améliorions notre suivi et la traçabilité sur le système d’information, pour aller vers du temps réel », décrit Jean-Christophe Tamboloni.
« Comme beaucoup, nous sommes dans un contexte de réduction budgétaire » Jean-Christophe Tamboloni, DSI du CH de Mâcon
La dimension pratico-pratique est mise en avant : un proof of concept permet de tester la validité des outils par rapport aux dernières menaces, tout en s’assurant de la cohérence de ces évolutions de pratiques. En trois mois, la mise en condition opérationnelle est réalisée sans arrêt de production. Et le nouvel arsenal ne fait pas perdre le sens des priorités au DSI pour qui la « top priorité » reste la protection de la « chaîne » du dossier patient, qui commence dès la prise de rendez-vous, avec comme point critique à protéger la prescription et l’administration des médicaments.
« L’amélioration de nos outils a permis de revoir notre vision globale et notre réalité opérationnelle », affirme le DSI. Fin 2016, le centre hospitalier commençait juste son travail pour se mettre en conformité avec le règlement général sur la protection des données personnelles (RGPD) qui entre en vigueur en mai 2018. L’année 2017 est l’occasion de faire un bond en avant grâce à la remise à plat de l’approche de sécurité de l’établissement. « La traçabilité est un point névralgique pour le RGPD et cela a été un de nos axes majeur de travail, en termes d’outils comme de pratiques », illustre le responsable.
Interrogé sur ce qu’il ferait différemment dorénavant, Jean-Christophe Tamboloni épingle un usage dans lequel se reconnaitront de nombreuses organisations et leur DSI : « Avec du recul, on sait maintenant que l’on doit à tout prix éviter de mener des actions en one shot : il ne faut surtout pas que l’on cède à la tentation du « C’est fait, on passe à autre chose ». La priorité est d’installer de la régularité, des actions quotidiennes sur le terrain… Que ce soit pour notre vision technique ou la sensibilisation du reste de l’établissement ». Un défi permanent qui nécessitera quelques piqûres de rappel.
Des repères
Création du centre : 1983 (site Les Chânaux)
Budget de fonctionnement : 150 millions d’euros
Effectif : 2 000 personnes (médical et non-médical sur plus de 10 sites)