‍

350 millions d'euros, issus des 2 milliards d'euros du Ségur de la santé consacrés au numérique, seront consacrés à la sécurité des systèmes d'information des établissements de santé. Une enveloppe qui permettra à tout l'écosystème de mieux répondre aux menaces. Le point avec Dali Kilani, chief technical officer (CTO) de Lifen

‍

L'APHP a annoncé, à la veille de cet entretien, le vol des données personnelles de 1,4 million de personnes. Ce piratage montre-t-il l'importance de la cybersécurité ?

‍

Il montre que personne n'est à l'abri : l'APHP est l'un des acteurs de la santé le mieux doté en ressources humaines et financières ! La cybersécurité est l'affaire de tous, du cabinet du médecin de ville jusqu'au CHU. Il y a eu beaucoup d'incidents depuis 18 mois, ce qui a entraîné une vraie prise de conscience, mais il reste beaucoup à faire car les menaces sont diverses et les mesures à prendre sont multidimensionnelles. Il faut avoir les bons outils, former ses collaborateurs, voire en embaucher, et revoir certaines pratiques et idées reçues. Par exemple, le fait de se sentir en sécurité quand l'outil informatique est à l'intérieur d'un établissement, ce n'est plus vrai.

‍

Le Ségur de la santé vise à accélérer la numérisation du secteur, notamment en termes de coordination et communication. C'est un défi ?

‍

Oui, car l'information numérique est plus facilement copiable et volable. Il faut contrôler et authentifier chaque accès à ces données, avec des services comme Pro Santé Connect pour les professionnels ou France Connect pour les patients. Le Ségur, en s'appuyant sur les référentiels d'identité, va forcer tout l'écosystème à monter d'un cran en termes de sécurisation. A charge de tous les éditeurs et des fournisseurs de services de se mettre à niveau. C'est déjà le cas chez Lifen : Pro Santé Connect est intégré à nos services d'authentification, et nous sommes certifiés Hébergeur de données de santé (HDS). Se faire certifier n'est pas une finalité en soi, mais c'est une preuve qu'on a géré et piloté de manière industrielle les bonnes pratiques de sécurisation de données, de gestion des accès et de gestion des risques en général. Nous voulons montrer qu'il est possible pour une jeune start-up de se faire certifier et de suivre les règles les plus ambitieuses en matière de sécurisation du système d’informations.

‍

Traditionnellement, les questions de sécurité sont peu discutées, car chacun a peur de passer pour le mauvais élève. Nous pensons à l'inverse qu'il faut de la transparence. Face à des acteurs malveillants de plus en plus organisés, il ne faut pas rester seul. Il faut s'entraider, partager ses bonnes pratiques. Historiquement, il y a eu un sous-investissement dans la cybersécurité en santé. Le Ségur est donc une bonne chose, mais il faut une mutualisation des efforts afin d'être le plus efficient possible et de s'assurer de la bonne allocation des fonds : il ne faut pas que chacun réinvente la roue dans son coin.

‍

‍

En juin, tous les établissements support de GHT ont été désignés comme opérateurs de services essentiels par l'Etat. C'est une étape importante ?

‍

C'est une bonne chose, car ce label implique des attentes de la part du gouvernement et va dynamiser le secteur. La santé apporte une coloration aux outils : on n'achète pas un serveur pour des données de santé comme on en achète ailleurs, du fait de contraintes métiers et réglementaires spécifiques. Dans de nombreux cas, les outils de sécurisation dédiés à la santé n'existent pas ; cet appel d'air va donc créer de l'innovation.  

‍

Vous avez lancé, dans quatre groupes d'établissements privés, le déploiement de votre plate-forme d'intermédiation (PFI), qui fait le lien entre les outils du SIH et les services extérieurs (DMP, MSSanté, etc.). Quels sont les premières leçons que vous en tirez ?

‍

Le Ségur est un peu un plan Marshall pour tout le secteur de la santé : nos pilotes concernent des groupes ayant des dizaines de points de présence, chacun avec leur spécificité. La réalité, c'est qu'on ne peut pas faire rapidement des montées de version sur des logiciels déployés depuis parfois dix ou quinze ans. Nos pilotes fonctionnent car notre PFI est dans une logique SaaS (software as a service) : il n'y a rien à déployer au sein de l'établissement, ce qui leur permet de se mettre à niveau pour le Ségur en quelques jours.. Séparer la plate-forme d'intermédiation du DPI permet à l’établissement de gagner significativement en agilité. De plus, cela nous permet de corriger les failles découvertes dans des délais très courts, souvent dans les 24h.. Face aux menaces, il faut être capable de détecter les problèmes et de réagir très rapidement, idéalement en comblant les failles avant qu'elles soient exploitées. Ceci est possible grâce à notre approche de service de type SaaS.