Les cyberattaques
contre les hôpitaux français ne sont plus des événements exceptionnels.
Elles sont devenues prévisibles, documentées et répétitives.
À ce stade, une
question dérangeante doit être posée, sans polémique mais avec lucidité :
Que signifie la responsabilité d’un dirigeant hospitalier lorsqu’un risque est connu, documenté, et pourtant insuffisamment traité ?
Il y a encore quelques années, une cyberattaque pouvait être considérée comme un événement imprévisible.
Ce n’est plus le cas aujourd’hui.
Les mécanismes sont
connus :
- attaques via flux chiffrés,
- exploitation d’API légitimes,
- propagation silencieuse,
- paralysie des systèmes critiques,
- interruption directe des soins.
Les conséquences sont connues :
- reports d’interventions,
- redirections d’urgences,
- perte de données
de santé,
- atteinte à la
sécurité des patients,
- exposition médiatique et judiciaire.
Et pourtant, malgré cette connaissance collective, les dispositifs de protection restent largement inadaptés à la nature réelle des attaques.
Il faut le dire
clairement : continuer à s’appuyer exclusivement sur des outils réactifs
n’est plus suffisant.
Dans tous les autres domaines de risque hospitalier tels incendie, électricité, hygiène, radioprotection, le principe est le même : la prévention prime sur la réaction.
Pourquoi accepterions-nous une exception pour le cyber-risque, alors même qu’il peut interrompre les soins ?
La cybersécurité
hospitalière n’est pas un sujet technique réservé aux équipes IT.
C’est un sujet de gouvernance, de continuité des soins, et de responsabilité institutionnelle.
Un dirigeant n’est pas
tenu à une obligation de résultat absolu.
Mais il est tenu à une obligation de moyens adaptés au risque connu.
Aujourd’hui, ne pas
s’interroger sur :
- la prévention en amont,
- la maîtrise des
flux chiffrés,
- la protection des
dispositifs non supervisables,
- l’absence de
dépendance cloud critique,
pose une question simple : les moyens mis en œuvre sont-ils réellement proportionnés au risque identifié ?
Ce débat n’est ni idéologique, ni technologique. Il est éthique, juridique et opérationnel.
Protéger un hôpital,
ce n’est pas protéger une infrastructure informatique.
C’est protéger une mission de service public et des vies humaines.
Le silence, l’inaction
ou le statu quo ne sont plus des positions neutres.
Ils deviennent, de fait, des choix engageant la responsabilité.
Patrick HOUYOUX LL.M.
ULB – Trinity College Cambridge, UK,
Expert en cybersécurité
Président de PT SYDECO
Info@syde.co info@ritapi.io
#Hôpital
#Cybersécurité #Responsabilité #Gouvernance #SécuritéDesSoins
#RisqueCyber #ContinuitéDesSoins #SantéPublique #ANSSI
No comments:
Post a Comment