{"id":48207,"date":"2024-04-01T14:31:07","date_gmt":"2024-04-01T12:31:07","guid":{"rendered":"https:\/\/gestions-hospitalieres.fr\/?p=48207"},"modified":"2024-05-02T17:00:17","modified_gmt":"2024-05-02T15:00:17","slug":"cybersecurite-entre-enjeux-strategiques-et-sujet-technique","status":"publish","type":"post","link":"https:\/\/www.ricom-web8.com\/gestions\/cybersecurite-entre-enjeux-strategiques-et-sujet-technique\/","title":{"rendered":"Cybers\u00e9curit\u00e9\u2009: entre enjeux strat\u00e9giques et sujet technique"},"content":{"rendered":"Temps de lecture\u00a0: <\/span> 9<\/span> minutes<\/span><\/span>

Tour d\u2019horizon des cyberattaques<\/h1>\n

Les attaques informatiques des syst\u00e8mes d\u2019information des \u00e9tablissements, de sant\u00e9 ou non, publics ou priv\u00e9s, rev\u00eatent diff\u00e9rentes formes\u2009:<\/p>\n

    \n
  • le ran\u00e7ongiciel<\/strong>, ou ransomware<\/i>, est un logiciel malveillant con\u00e7u pour chiffrer les donn\u00e9es d\u2019un syst\u00e8me informatique, les rendant inaccessibles aux utilisateurs l\u00e9gitimes. Une ran\u00e7on est alors demand\u00e9e contre la cl\u00e9 de d\u00e9chiffrement. En 2022, l\u2019h\u00f4pital Sud-Francilien de Corbeil-Essonnes (CHSF) a \u00e9t\u00e9 paralys\u00e9 trois mois par une telle attaque, avec une demande de ran\u00e7on de 10\u00a0millions de dollars(2)<\/sup>\u2009;<\/li>\n
  • l\u2019attaque par d\u00e9ni de service<\/strong>, ou distributed denial of service attack<\/i> (DDoS), rend inutilisable le syst\u00e8me d\u2019information en le saturant via un volume excessif de trafic, l\u00e9gitime ou malveillant, perturbant les connexions entre machines, emp\u00eachant l\u2019acc\u00e8s \u00e0 un service, \u00e0 un serveur web ou encore la distribution de mails. En janvier 2024, le CHU de Nantes a eu l\u2019acc\u00e8s \u00e0 son r\u00e9seau Internet compl\u00e8tement bloqu\u00e9, avec entre autres une prise de rendez-vous via Doctolib impossible(3)<\/sup>\u2009;<\/li>\n
  • le vol de donn\u00e9es sensibles<\/strong>, de sant\u00e9 notamment, qui sont d\u2019un int\u00e9r\u00eat majeur pour favoriser les escroqueries \u00e0 l\u2019assurance maladie, les usurpations d\u2019identit\u00e9 ou les chantages. En f\u00e9vrier 2024, 300\u2009000 patients de l\u2019h\u00f4pital d\u2019Armenti\u00e8res ont vu ainsi pirater leurs donn\u00e9es(4)<\/sup>.<\/li>\n<\/ul>\n

    L\u2019appropriation du risque cyber\u2009: un n\u00e9cessaire d\u00e9cloisonnement\u00a0<\/span><\/h1>\n

    En raison du haut niveau de technicit\u00e9 qu\u2019ils impliquent, les enjeux des syst\u00e8mes d\u2019information sont longtemps rest\u00e9s largement per\u00e7us comme relevant quasi exclusivement des services ou directions des syst\u00e8mes d\u2019information (DSI). De fa\u00e7on caricaturale, tant que les outils SI fonctionnaient et rendaient le service attendu, personne, en dehors des techniciens et ing\u00e9nieurs des DSI, ne se pr\u00e9occupait de savoir comment cela marchait, et encore moins du niveau de s\u00e9curit\u00e9 des outils. Au niveau strat\u00e9gique, les principales variables d\u2019arbitrage \u00e9taient d\u2019une part le co\u00fbt des investissements, d\u2019autre part la satisfaction des utilisateurs associ\u00e9e \u00e0 un d\u00e9sir de modernisation des outils. Les DSI \u00e9voluaient ainsi \u00e0 la fois au sein des \u00e9tablissements et en parall\u00e8le, traitant leurs propres probl\u00e9matiques dans l\u2019ignorance relative du reste des services.\u00a0<\/span><\/p>\n

    Ce fonctionnement, qui n\u2019avait rien de sp\u00e9cifique au secteur sanitaire, a connu un premier bouleversement avec la g\u00e9n\u00e9ralisation du dossier patient informatis\u00e9 (DPI)\u2009: le fonctionnement des syst\u00e8mes d\u2019information rencontrait alors le monde des soins. Bien s\u00fbr, il ne s\u2019agit pas de laisser penser qu\u2019avant la g\u00e9n\u00e9ralisation du DPI, les services des h\u00f4pitaux n\u2019avaient aucune interface num\u00e9rique \u2013 une large vari\u00e9t\u00e9 de progiciels et d\u2019autres applications m\u00e9tiers assistent depuis longtemps les services administratifs, de m\u00eame qu\u2019une technologie toujours plus performante est embarqu\u00e9e dans les \u00e9quipements biom\u00e9dicaux \u2013, mais c\u2019est avec le DPI que le mariage entre SI et soins a v\u00e9ritablement \u00e9t\u00e9 scell\u00e9, les seconds ne pouvant d\u00e9sormais plus \u00eatre assur\u00e9s sans le premier. Source d\u2019une plus grande s\u00e9curit\u00e9 et d\u2019une meilleure qualit\u00e9 des prises en charge, cette alliance peut \u00eatre per\u00e7ue comme un profond progr\u00e8s dont il convient de se f\u00e9liciter. Cependant, la num\u00e9risation d\u2019un secteur d\u2019activit\u00e9 entra\u00eene n\u00e9cessairement une exposition accrue aux risques d\u2019origine cyber. Dans le secteur de la sant\u00e9, c\u2019est avec les vagues successives de cyberattaques depuis 2021-2022 que l\u2019ampleur du risque est devenue flagrante.\u00a0<\/span><\/p>\n

    Ainsi, en 2023, 10\u2009% des cyberattaques avec demande de ran\u00e7on ont concern\u00e9 des \u00e9tablissements de sant\u00e9. L\u2019Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (Anssi) rel\u00e8ve par ailleurs que \u00ab\u2009les acteurs malveillants n\u2019ont pas forc\u00e9ment besoin d\u2019un haut niveau de sophistication pour cibler des entit\u00e9s de secteurs encore trop vuln\u00e9rables, comme la sant\u00e9(5)\u2009<\/sup>\u00bb.<\/p>\n

    Toutes ces cyberattaques peuvent avoir des cons\u00e9quences d\u00e9vastatrices\u2009:<\/p>\n

      \n
    • perturbation des services critiques\u2009<\/strong>: blocage des syst\u00e8mes d\u2019information, indisponibilit\u00e9 des dossiers m\u00e9dicaux, interruption des soins, etc.\u2009;<\/li>\n
    • fuite de donn\u00e9es sensibles<\/strong>\u2009: vols de donn\u00e9es m\u00e9dicales, d\u2019informations confidentielles sur les patients ou les personnels, etc.\u2009;<\/li>\n
    • atteinte \u00e0 la r\u00e9putation de l\u2019\u00e9tablissement et \u00e0 la confiance\u2009<\/strong>: perte de cr\u00e9dibilit\u00e9 aupr\u00e8s des patients, des partenaires et des autorit\u00e9s.<\/li>\n<\/ul>\n

      Un enjeu de gouvernance<\/h2>\n

      Face \u00e0 ces risques croissants, l\u2019ensemble des acteurs de l\u2019\u00e9tablissement doit s\u2019approprier les enjeux de la cybers\u00e9curit\u00e9. Au-del\u00e0 des solutions techniques de s\u00e9curisation du SI, la pr\u00e9vention passe par un plan de formation et des sensibilisations r\u00e9guli\u00e8res pour tous les personnels, \u00e0 tous les niveaux de responsabilit\u00e9, une communication claire et transparente sur les risques et les bonnes pratiques et une culture du signalement pour encourager les remont\u00e9es d\u2019incident et d\u2019anomalie.\u00a0<\/span><\/p>\n

      Les DSI jouent en la mati\u00e8re un r\u00f4le essentiel. En tant que garantes de l\u2019expertise technique, ces directions repr\u00e9sentent la cheville ouvri\u00e8re de la strat\u00e9gie de cybers\u00e9curit\u00e9. Elles sont notamment responsables de la mise en place des solutions techniques de s\u00e9curit\u00e9\u00a0(pare-feu, antivirus, syst\u00e8mes de d\u00e9tection d\u2019intrusion, etc.). Elles assurent la surveillance et la maintenance des syst\u00e8mes d\u2019information\u00a0pour garantir leur fiabilit\u00e9 et leur s\u00e9curit\u00e9 et g\u00e8rent les incidents de s\u00e9curit\u00e9\u00a0ainsi que la mise en place de plans de r\u00e9ponse. Souvent per\u00e7ues comme les chefs d\u2019orchestre de la strat\u00e9gie de cybers\u00e9curit\u00e9, elles se heurtent n\u00e9anmoins \u00e0 deux limites\u2009:\u00a0<\/span><\/p>\n

        \n
      • le manque de ma\u00eetrise des enjeux et contraintes propres \u00e0 chaque direction m\u00e9tier\u2009<\/strong>: la mise en place d\u2019une organisation permettant d\u2019assurer la continuit\u00e9 de l\u2019activit\u00e9 ne se limite pas \u00e0 la seule question des moyens techniques, y compris en cas de cyberattaque. Si les ressources habituellement utilis\u00e9es sont indisponibles pour une p\u00e9riode pouvant varier d\u2019une heure \u00e0 un mois ou plus encore, l\u2019enjeu ne se situe plus au niveau informatique mais au niveau de la capacit\u00e9 de chaque service et chaque direction \u00e0 assurer la poursuite de leurs missions les plus essentielles. C\u2019est ainsi autour des enjeux m\u00e9tiers qu\u2019une organisation de secours doit \u00eatre mise en place. Celle-ci peut et, dans une certaine mesure, doit \u00eatre d\u00e9tach\u00e9e des sujets informatiques. L\u2019objectif est pr\u00e9cis\u00e9ment de r\u00e9ussir \u00e0 faire sans, pour une p\u00e9riode plus ou moins longue. Dans un tel contexte, ce sont les expertises propres \u00e0 chaque m\u00e9tier qui doivent se faire entendre et sp\u00e9cifier les activit\u00e9s qui ne peuvent souffrir d\u2019aucune interruption et celles qui peuvent attendre. C\u2019est d\u2019elles que doit venir l\u2019organisation de secours propre \u00e0 leur p\u00e9rim\u00e8tre, y compris lorsque l\u2019interruption de l\u2019activit\u00e9 est caus\u00e9e par une indisponibilit\u00e9 des outils num\u00e9riques\u2009;\u00a0<\/span><\/li>\n
      • la n\u00e9cessit\u00e9 d\u2019un arbitrage<\/strong>\u2009: dans une situation de crise, chaque direction va faire \u00e9tat de ses urgences. Or, des conflits de priorit\u00e9 peuvent appara\u00eetre. Sur quelle fonction faut-il concentrer les premiers efforts lorsque tout devient urgent\u2009? De tels arbitrages ne sauraient relever des seules directions des syst\u00e8mes d\u2019information.\u00a0<\/span><\/li>\n<\/ul>\n

        Il nous semble ainsi que la cybers\u00e9curit\u00e9 ne peut plus \u00eatre rel\u00e9gu\u00e9e au rang de simple question technique, elle doit \u00eatre appr\u00e9hend\u00e9e comme un enjeu de gouvernance engageant la responsabilit\u00e9 de la direction g\u00e9n\u00e9rale, garante d\u2019une vision strat\u00e9gique et des arbitrages qu\u2019elle implique.\u00a0<\/span><\/p>\n

        Un expert-visiteur est d\u00e9sormais d\u00e9di\u00e9 \u00e0 l\u2019\u00e9valuation de la s\u00e9curit\u00e9 du SI et les professionnels sont directement interrog\u00e9s sur leur niveau de ma\u00eetrise des mesures de s\u00e9curit\u00e9 informatique<\/p><\/blockquote>\n

        La cybers\u00e9curit\u00e9 au niveau national\u2026\u00a0<\/span><\/h1>\n

        Les \u00e9tablissements sont appuy\u00e9s dans leur d\u00e9marche par les autorit\u00e9s nationales qui incitent de plus en plus en plus \u00e0 la s\u00e9curisation de leurs syst\u00e8mes d\u2019information. Quelques mesures phares permettent d\u2019en attester. On peut mentionner le cadre r\u00e9glementaire qui impose aux \u00e9tablissements de sant\u00e9 des exigences minimales en mati\u00e8re de cybers\u00e9curit\u00e9. Ainsi, l\u2019arr\u00eat\u00e9 du 14 septembre 2018 pris en application du d\u00e9cret du 23 mai 2018 place un certain nombre d\u2019\u00e9tablissements de sant\u00e9 dans la cat\u00e9gorie des op\u00e9rateurs de services essentiels et des fournisseurs de services num\u00e9riques. Ils sont \u00e0 ce titre soumis \u00e0 un r\u00e9gime de s\u00e9curit\u00e9 plus contraignant et doivent notamment\u00a0:<\/p>\n

          \n
        • r\u00e9aliser une analyse des risques pour identifier les vuln\u00e9rabilit\u00e9s du SI\u2009;<\/li>\n
        • mettre en \u0153uvre des mesures de s\u00e9curit\u00e9 techniques (pare-feu, antivirus, etc.) et organisationnelles (gestion des acc\u00e8s, sensibilisation des personnels, etc.)\u2009;<\/li>\n
        • mettre en place un plan de r\u00e9ponse aux incidents de s\u00e9curit\u00e9\u2009;<\/li>\n
        • notifier les incidents de s\u00e9curit\u00e9 aux autorit\u00e9s comp\u00e9tentes.<\/li>\n<\/ul>\n

          Autre marqueur de l\u2019importance que les pouvoirs publics accordent \u00e0 la cybers\u00e9curit\u00e9, le CERT Sant\u00e9, offre aux \u00e9tablissements un soutien pr\u00e9cieux lorsque ceux-ci sont confront\u00e9s \u00e0 une cyberattaque. Mise en place en 2017 par le minist\u00e8re de la Sant\u00e9 et de la Pr\u00e9vention, cette cellule d\u2019accompagnement fonctionnant 24\u2009h\/24, 7 j\/7 est d\u00e9di\u00e9e au traitement des signalements des incidents de s\u00e9curit\u00e9 SI des structures de sant\u00e9. Son r\u00f4le est d\u2019accompagner les \u00e9tablissements de sant\u00e9, les organismes m\u00e9dico-sociaux et les professionnels de sant\u00e9 face aux cyberattaques. Il assure ainsi :<\/p>\n

            \n
          • la surveillance des menaces et la veille sur les vuln\u00e9rabilit\u00e9<\/strong>s du secteur de la sant\u00e9\u2009;<\/li>\n
          • l\u2019alerte et l\u2019information<\/strong> des acteurs du monde de la sant\u00e9 en cas de cyberattaque\u2009;<\/li>\n
          • l\u2019accompagnement des victimes<\/strong> de cyberattaques dans la r\u00e9ponse \u00e0 l\u2019incident et la restauration de leurs syst\u00e8mes d\u2019information\u2009;<\/li>\n
          • le d\u00e9veloppement de la culture de la cybers\u00e9curit\u00e9<\/strong> dans le secteur de la sant\u00e9.<\/li>\n<\/ul>\n

            Par ailleurs, l\u2019Agence du num\u00e9rique en sant\u00e9 (ANS) a \u00e9tabli la strat\u00e9gie nationale \u00ab\u2009Cybers\u00e9curit\u00e9 acc\u00e9l\u00e9ration et R\u00e9silience des \u00c9tablissements\u2009\u00bb (CaRE) en d\u00e9cembre 2023, qui vise \u00e0 renforcer la cybers\u00e9curit\u00e9 dans le secteur de la sant\u00e9 en France. Elle met l\u2019accent sur la coordination des parties prenantes et le renforcement des ressources et des pratiques de s\u00e9curit\u00e9 informatique au sein des \u00e9tablissements sanitaires et m\u00e9dico-sociaux.<\/p>\n

            Enfin, la vague de cyberattaques qui cible les organismes publics, notamment de sant\u00e9 depuis la sortie de la crise Covid, a conduit la Haute Autorit\u00e9 de sant\u00e9 (HAS) \u00e0 int\u00e9grer ces consid\u00e9rations parmi les crit\u00e8res de certification de la qualit\u00e9 des soins. Depuis le 1er<\/sup> janvier 2024, le nouveau r\u00e9f\u00e9rentiel de la HAS tient compte de la maturit\u00e9 des \u00e9tablissements en mati\u00e8re de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des donn\u00e9es de sant\u00e9. Au titre de l\u2019objectif, \u00ab\u2009l\u2019\u00e9tablissement dispose d\u2019une r\u00e9ponse op\u00e9rationnelle adapt\u00e9e aux risques auxquels il peut \u00eatre confront\u00e9\u2009\u00bb, la ma\u00eetrise des risques num\u00e9riques est d\u00e9sormais prise en compte (crit\u00e8re 3.6-02). Un expert-visiteur est d\u00e9sormais d\u00e9di\u00e9 \u00e0 l\u2019\u00e9valuation de la s\u00e9curit\u00e9 du syst\u00e8me d\u2019information et les professionnels sont directement interrog\u00e9s sur leur niveau de ma\u00eetrise des mesures de s\u00e9curit\u00e9 informatique.\u00a0<\/span><\/p>\n

            On constate ainsi qu\u2019au-del\u00e0 de la s\u00e9curisation de l\u2019infrastructure informatique, l\u2019accent est mis sur la sensibilisation et la formation du personnel, le principal facteur de risque restant, en la mati\u00e8re, le facteur humain.<\/p>\n

            S\u2019approprier un sujet dont on n\u2019est pas sp\u00e9cialiste\u00a0<\/span><\/strong><\/p>\n

            En abordant des missions li\u00e9es \u00e0 la cybers\u00e9curit\u00e9 ou plus g\u00e9n\u00e9ralement aux syst\u00e8mes d\u2019information, les EDH se trouvent confront\u00e9s au questionnement plus large de leur l\u00e9gitimit\u00e9, en tant qu\u2019\u00e9l\u00e8ves mais aussi et surtout en tant que futurs dirigeants hospitaliers.\u00a0<\/span><\/p>\n

            Selon Max Weber, la l\u00e9gitimit\u00e9 du fonctionnaire, l\u00e9gale-rationnelle, s\u2019appuie sur sa recherche de l\u2019int\u00e9r\u00eat g\u00e9n\u00e9ral, qui doit \u00eatre son objectif,\u00a0et sur son savoir technique, qui doit \u00eatre son outil. Cette l\u00e9gitimit\u00e9 par l\u2019expertise justifie son autorit\u00e9, son pouvoir d\u2019agir. Le fait que les directeurs et directrices d\u2019h\u00f4pital soient s\u00e9lectionn\u00e9s sur concours et suivent un cycle de formation sp\u00e9cifique les inscrit dans cet id\u00e9al type. Ce sont ainsi de nos connaissances et comp\u00e9tences, sanctionn\u00e9es par le concours et d\u00e9velopp\u00e9es en formation et en stage, que nous tirons la justification de notre positionnement.\u00a0<\/span><\/p>\n

            Quels sont notre domaine d\u2019expertise et les sujets sur lesquels nous sommes fond\u00e9s \u00e0 agir\u2009? Sommes-nous des sp\u00e9cialistes de la sant\u00e9 publique, de la gestion hospitali\u00e8re ou du management en g\u00e9n\u00e9ral\u2009? Peu d\u2019entre nous se d\u00e9clareraient sp\u00e9cialistes des questions li\u00e9es au num\u00e9rique ou \u00e0 la cybers\u00e9curit\u00e9. Se saisir de cet objet, est-ce d\u00e9passer les limites de notre l\u00e9gitimit\u00e9\u00a0?\u00a0<\/span><\/p>\n

            Cette question, pos\u00e9e dans le cadre de l\u2019appropriation des sujets de cybers\u00e9curit\u00e9, ne l\u2019est gu\u00e8re dans celle de la gestion des ressources humaines, ou des finances. On peut chercher la raison de cet \u00e9cart dans l\u2019apparente nouveaut\u00e9 de l\u2019appropriation du champ des SI par les directrices et directeurs ainsi que dans la technicit\u00e9 de son langage pour les profanes. Si ce champ nous semble nouveau, il s\u2019agirait alors peut-\u00eatre d\u2019en prendre simplement l\u2019habitude, et si sa langue nous semble obscure, c\u2019est en partie parce que sa ma\u00eetrise nous semble moins n\u00e9cessaire du fait m\u00eame qu\u2019il ne s\u2019agit pas d\u2019un champ que nous occupons traditionnellement. On peut arguer que l\u2019apprentissage de comp\u00e9tences li\u00e9es aux syst\u00e8mes d\u2019information est plus ardu que d\u2019autres. Mais le manageur public n\u2019est pas n\u00e9cessairement un expert du domaine qu\u2019il manage. Il peut en effet consid\u00e9rer que son r\u00f4le est d\u2019adopter un point de vue plus global. Il s\u2019agit donc pour nous de d\u00e9cider de notre l\u00e9gitimit\u00e9 \u00e0 nous saisir des questions de cybers\u00e9curit\u00e9 pour que notre positionnement en ce domaine nous semble progressivement plus \u00e9vident.\u00a0<\/span><\/p>\n

            Si l\u2019\u00e9cueil de la r\u00e9ticence \u00e0 l\u2019appropriation d\u2019un sujet par crainte de manque de l\u00e9gitimit\u00e9 \u00e0 le faire est courant, il ne s\u2019agit pas de tomber de Charybde en Scylla. Un autre risque de l\u2019investissement d\u2019un champ nouveau est celui de l\u2019illusion de la comp\u00e9tence. Le cas de la cybers\u00e9curit\u00e9, inscrit dans le champ plus large des syst\u00e8mes d\u2019information, peut en \u00eatre un exemple \u00e9difiant. L\u2019omnipr\u00e9sence du num\u00e9rique peut ainsi en banaliser la perception et nous pousser \u00e0 sous-estimer la technicit\u00e9 des enjeux qui lui sont li\u00e9s. Or, la recherche prudente est exhaustive de l\u2019information, comme l\u2019appui sur des acteurs disposant de comp\u00e9tences techniques est n\u00e9cessaire \u00e0 l\u2019anticipation et la gestion de la crise \u00e9ventuelle.\u00a0<\/span><\/p>\n

            En parall\u00e8le, l\u2019apparente \u00e9vidence de la litt\u00e9ratie num\u00e9rique peut amener \u00e0 surestimer la connaissance qu\u2019ont les autres professionnels du bon usage des syst\u00e8mes d\u2019information, des impacts concrets de ceux-ci sur leur activit\u00e9, et des moyens de les pr\u00e9server. Ce pr\u00e9suppos\u00e9 de comp\u00e9tence est d\u2019autant plus marqu\u00e9 lorsqu\u2019on s\u2019adresse \u00e0 des personnes jeunes, dont on estime qu\u2019ils ma\u00eetrisent les outils informatiques mais \u00e9galement les risques aff\u00e9rents. Or, le recours \u00e0 des solutions informatiques ne signifie pas une connaissance des m\u00e9canismes \u00e0 l\u2019\u0153uvre et des menaces humaines et organisationnelles de leur d\u00e9faillance. Le danger, alors, est de ne pas prendre la mesure du besoin d\u2019information et de formation de tous les professionnels \u00e0 un usage s\u00e9curis\u00e9, efficace et utile des outils dont ils ont l\u2019usage.\u00a0<\/span><\/p>\n

            Comment alors se saisir de ce sujet technique sans craindre d\u2019outrepasser notre champ de comp\u00e9tence, ni surestimer notre capacit\u00e9 \u00e0 l\u2019investir\u00a0?\u00a0<\/span><\/p>\n

            Pour aborder les sujets de cybers\u00e9curit\u00e9, les EDH disposent d\u2019abord de la m\u00e9thode qu\u2019ils ont acquise ou qui est en cours d\u2019acquisition. En effet, un des domaines incontestables de comp\u00e9tence des directeurs et directrices d\u2019h\u00f4pital est celui du management d\u2019acteurs aux cultures professionnelles et expertises diverses. Dans le cadre de l\u2019anticipation des cyberattaques, de diffusion des bonnes pratiques, de la formalisation de plans de continuit\u00e9 et de reprise de l\u2019activit\u00e9, cette comp\u00e9tence n\u2019est pas n\u00e9gligeable. Le pr\u00e9requis du pilotage de dossiers de ce type est en effet la mise en relation et le dialogue entre professionnels experts des syst\u00e8mes d\u2019information et utilisateurs, que ces derniers soient issus des services de soin, des directions ou des fonctions supports.\u00a0<\/span><\/p>\n

            Ce premier constat suffit \u00e0 affirmer la pertinence de l\u2019appropriation de ce champ par les directeurs et directrices d\u2019h\u00f4pital. Parce que nous devons \u00eatre sp\u00e9cialistes non de la cybers\u00e9curit\u00e9 mais du management de comp\u00e9tences diff\u00e9rentes et pouvons nous appuyer sur des m\u00e9thodes solides, notre plus-value est ici celle d\u2019un positionnement transversal. Cette \u00ab\u2009technique du g\u00e9n\u00e9ral\u2009\u00bb peut ainsi favoriser la recherche d\u2019une information compl\u00e8te et plurielle ainsi que la mise en \u0153uvre d\u2019une d\u00e9marche collective.<\/p>\n

            C\u2019est donc certes avec humilit\u00e9 mais aussi confiance et certitude en la pertinence de la d\u00e9marche que les directeurs et les directrices d\u2019h\u00f4pital peuvent se saisir des sujets li\u00e9s \u00e0 la cybers\u00e9curit\u00e9, et les \u00e9l\u00e8ves commencer \u00e0 les appr\u00e9hender.<\/p>\n