Vous êtes dans : Accueil > Tribunes libres >

En Bretagne, gros temps sur les hôpitaux

Cédric Cartau, LUNDI 20 MARS 2017

Le Télégramme de Brest titre[1] :« Manque de sécurisation des salles hébergeant les serveurs informatiques, données sensibles qui se promènent... Un rapport de la chambre régionale des comptes pointe du doigt plusieurs failles dans la sécurité informatique des hôpitaux. » A priori, sale temps sur certaines DSI, mais l’article mérite tout de même une analyse un peu plus poussée.    

La Cour des Comptes (CC) n’est pas réputée pour faire le travail à moitié, et en lisant l’article susnommé l’impression ne se dément pas : les auditeurs sont allés regarder dans les recoins, et le résultat est bien plus fiable qu’un dossier Hôpital Numérique (HN), qui rappelons-le n’est jamais que déclaratif sans contrôle sur pièce à la clé. Il serait d’ailleurs intéressant de connaître lesquels de ses hôpitaux émargent au plan HN, il n’est pas impossible que certaines surprises soient au rendez-vous, entre l’affichage et la réalité constatée par la CC… 

Cela étant, il convient tout de même de faire la distinction, parmi les points relevés par la CC, entre ce qui relève de la zone d’humiliation – pour reprendre une expression chère à Alexandre FERNANDEZ-TORO, le pape de l’ISO 27000 en France – et ce qui relève d’un plan d’amélioration certes objectif, mais moins urgent. 

Dans la zone d’humiliation, l’article du Télégramme signale que certaines salles informatiques se trouvent sous le niveau de la rivière locale. Vérification faite dans le rapport de la Chambre[2], le rapport mentionne plus précisément que la salle hébergeant le coeur de réseau redondé est « situé aux abords de la rivière XXX, le bâtiment a été sécurisé contre les risques d’inondations tout en étant équipé de pompes de relevage. » Doit-on en déduire que la salle en question est en zone inondable ? Si tel est le cas, comment peut-on, au XXIème siècle, trouver encore ce genre de datacenters ? Certes la place est comptée dans un CH, mais je rappelle que même une salle de secours doit se trouver dans un endroit sécurisé : en cas d’inondation, le CH se retrouverait sur une seule patte informatique, ce qui une situation potentiellement grave. 

Dans la même zone on trouve les droits des agents qui ne sont pas supprimés après leur départ. Oui c’est une humiliation, car connecter le logiciel RH à l’AD, on fait cela depuis plus de 10 ans, et cela ne coûte pas un radis en investissement, si l’on excepte les quelques jours d’ingénieurs pour réaliser l’interface et la tester. 

La gestion des droits utilisateurs défaillante, par contre, cela n’est pas – selon moi -à ranger dans le même sac. Pour avoir participé dans mon établissement à un des plus gros projets IAM, je sais que ce sujet est particulièrement complexe, même s’il est vrai que le gros du travail peut être assez rapidement automatisé. 

Mais le principal problème n’est-il pas l’atomisation des établissements et des DSI ? Dans les établissements cités (Quimper, Morlaix, Lorient, Pontivy, Ploërmel (56), Vitré (35), Fougères (35), Cancale (35) et Paimpol) on en trouve certains dont la DSI fait moins de 7-8 personnes, et on sait qu’en dessous de 10 la vie n’est plus tenable. 

Et s’il n’y avait que cela. En 2008, j’officiais au CHU de RENNES. L’un des établissements cités (et je ne dirai pas lequel, mais c’est un de ceux dont la DSI faisait justement moins de 5 agents à l’époque) avait renouvelé son système de sauvegarde. Pas un – je dis bien pas un seul – des agents de ladite DSI n’a eu la présence d’esprit de contacter le CHU (pourtant à moins de 45mn de route) pour avoir un avis sur la solution qu’il comptaient mettre en place, avis qu’on leur aurait donner avec plaisir et sans contrepartie. Sans parler de cet autre (je ne dirai pas qui, DSI d’environ 10 agents) qui avait investi dans un système (je ne dirai pas lequel) que dans mon CHU on avait abandonné 4 ans auparavant car nous n’avions pas les moyens humains pour l’exploiter. 

C’est peut-être cela le mal des DSI hospitalières : 1000 clochers, 1000 petits chefs et aucune gestion des fournisseurs qui interviennent en salle informatique.

cedric@cartau.net


[1] http://www.letelegramme.fr/bretagne/cyber-securite-des-hopitaux-passoires-15-03-2017-11434523.php#closePopUp 

[2] https://www.ccomptes.fr/Publications/Recherche-avancee/(SearchText)/CRC%20bretagne%20hôpitaux 

##sécurité#dsi#chu#hopitaux


Les plus lus