Centrales d'achat/GHT

Cybersécurité, mutualiser pour mieux protéger

Par

Publié le 25/08/2022

Les groupements hospitaliers de territoire et les centrales d'achat hospitalières seraient le cadre idoine pour favoriser la mutualisation entre les établissements en matière de cybersécurité. Explications.

Crédit photo : GARO/PHANIE

Marisol Touraine avait-elle anticipé à ce point les mesures d'économie et de mutualisation engendrées par sa réforme des groupements hospitaliers de territoire afin de faire monter le niveau de sécurité informatique hospitalière ? La prise en charge de la cybersécurité par les établissements support soutenus par des remises avantageuses des centrales d'achat permettrait de faire monter le niveau. Ces dernières ont bien cerné la problématique du manque de moyens en négociant des remises pour rendre plus accessibles les technologies pour sécuriser les systèmes d'information hospitaliers. Exemple, la CAIH propose des solutions globales en mode service construites à l'aide de retours du terrain de RSSI très expérimentés. Selon Guillaume Deraedt qui travaille aussi à temps partiel pour la CAIH, « l'objectif de la centrale est de massifier très fortement les solutions d'EDR* qui permettent d'arrêter les risques émergents, avec un SOC** qui tient compte de la capacité d'investissement et des difficultés d'attractivité ». Cette détection automatique via de l'intelligence artificielle est un moyen de stopper toute attaque de manière préventive. Est-elle pour autant avantageuse pour les établissements ? Sûrement, selon Guillaume Deraedt, qui souligne la casse des prix proposée par sa centrale. Auparavant, le coût annuel pour protéger un poste ou un serveur informatique était de 100 euros par an, il est passé à 15 euros. Résultat, 120 000 postes protégés ont été déployés en 18 mois.

Décorréler la fonction de RSSI de celle de DSI

Cette mutualisation des moyens est-elle suffisante ? Non, selon Olivier Eyries (Saporo), le manque d'expertises étant tellement criant, le recours à des sociétés prestataires qui ont des outils technologiques et qui délivrent du conseil est nécessaire. L'expert critique le coût exorbitant de ces prestataires et déplore le fait que l'hôpital ne dispose pas de ces ressources en interne pour réaliser lui-même ses missions, à l'instar de l'exécutif qui fait travailler des cabinets de conseil. Autre solution apportée par cet expert, le fait de décorréler la fonction de DSI de celle de RSSI. Un DSI a déjà énormément de tâches à accomplir et n'a pas forcément les compétences requises en sécurité informatique, d'où la nécessité d'embaucher un RSSI.

Qualité de service et de sûreté

L'objectif selon Cyrille Politi « n'est pas de faire du cyberwashing en élaborant une stratégie numérique et en rajoutant un peu de cybersécurité ». Mais bien de se fixer en même temps des objectifs d'usage, d'outils à implémenter et un niveau de sûreté (qualité de service et de sécurité) à atteindre. Et de plaider : « il faut se fixer des objectifs ambitieux en ce sens et les intégrer dès l'origine dans les schémas directeurs SI. »

Relyens l'a bien compris. Cet assureur et manager des risques a remporté un appel d'offres auprès de la centrale UniHA comportant deux composantes : une offre services avec la société Advens (audit et accompagnement) et un volet de solutions d'accompagnement à la sécurisation avec la solution de la start up CyberMDX qui apporte une protection sur la partie équipements biomédicaux. Les principaux acteurs nouent donc des partenariats qui les impliquent encore plus et qui transforment radicalement le marché. Vers plus de sécurité ?

* EDR : Endpoint Detection and Response
** SOC : Security Operation Center