Arnaud Robinet, 47 ans, est maître de conférences – praticien hospitalier en pharmacologie.
Maire de Reims depuis 2014, il a siégé à l’Assemblée nationale comme député de la Marne de 2008 à 2017. Président du conseil de surveillance de l’hôpital de Reims, il a succédé l’an dernier à Frédéric Valletoux à la présidence de la Fédération hospitalière de France (FHF).
Journal des Communes : Vous avez pris fin septembre la présidence de la FHF et avez été confronté dès le départ à plusieurs attaques importantes visant des hôpitaux. Est-ce le nouveau « mal du siècle » qui menacerait notre système de santé ?
Arnaud Robinet : La cybersécurité est effectivement un enjeu fort de nos sociétés numérisées. Le prochain virus qui neutraliserait la planète pourrait bien être numérique. Une dépendance trop marquée à d’autres puissances économiques questionnerait la souveraineté nationale ou européenne. Et le domaine de la santé ne serait pas épargné.
La cybersécurité est un sujet politique et pas seulement un sujet technique. C’est un enjeu majeur de souveraineté nationale, voire européenne. L’objectif est, au-delà des directives, de définir une véritable stratégie nationale de cybersécurité pour l’hôpital. On constate depuis quelques années une multiplication des attaques et des risques.
Les conséquences de ces attaques ne sont pas seulement techniques mais impactent lourdement les conditions de prise en charge des patients, en mobilisant les équipes hospitalières pendant des semaines, voire des mois, autour de la restauration des bases de données et des fonctionnalités. L’enjeu, lors d’une attaque, est non seulement la protection des données personnelles des patients mais également la continuité des soins, notamment dans des secteurs sensibles comme les soins critiques, les maternités et les urgences.
JDC : Le dernier Grenelle de la Santé avait débloqué 350 millions d’euros pour répondre à la cybercriminalité visant les hôpitaux. Est-ce suffisant ? Avez-vous pu obtenir des assurances supplémentaires concernant l’engagement de l’État dans ce domaine ?
AR : Ces crédits ne sont pas venus en plus mais sont issus de l’enveloppe du Ségur du Numérique en santé (plan de 2 Md€ sur 3 ans sur l’ensemble du sanitaire et du médico-social, à destination des établissements mais aussi des éditeurs). La cybersécurité étant un enjeu de souveraineté nationale ne peut relever de la seule responsabilité des acteurs de santé, et notamment des hôpitaux publics, mais doit relever d’une politique d’État et d’investissement appropriée, et non uniquement d’une volonté de prescription et de contrôle.
Au-delà du Ségur du Numérique, qui est un plan de relance par définition non pérenne, il faut prévoir la poursuite de l’investissement en cybersécurité. Il nous a été annoncé, lors de la réunion interministérielle du 21 décembre, un nouveau plan de cybersécurité.
L’enjeu, au-delà des questions de financement, est un enjeu de ressources humaines et de compétences. Au niveau régional, des moyens ont été notifiés aux ARS (agences régionales de santé) et aux GRADeS (Groupement régional d’appui au développement de la e-santé) permettant de recruter des ressources et des compétences. Il s’agit désormais d’aller plus loin dans l’opérationnalité et de permettre, à travers des financements dédiés et sanctuarisés, aux établissements publics de santé, de recruter des ressources et compétences (niveau ingénieur mais aussi niveau TSH – technicien supérieur hospitalier) afin de se doter de véritables départements de sécurité des systèmes d’information (SI), de réaliser des mises à jour régulières et continues et de procéder à des tests et des actions de sensibilisation des professionnels.
Les établissements publics ne partent pas de rien, loin de là. Des actions ont déjà été menées (audits, exercices plan blanc…). Mais il s’agit de les généraliser, de les poursuivre et d’accompagner les établissements.
JDC : Selon-vous, faut-il mieux sensibiliser les élus locaux administrant des hôpitaux aux dangers de la cybercriminalité ? Des partenariats sont-ils envisageables dans ce sens avec l’AMF, la police nationale et la gendarmerie ?
AR : L’échange et la coopération entre tous les acteurs sont essentiels : services de police, de gendarmerie, ANSSI (Agence nationale de la sécurité des systèmes d’information), acteurs hospitaliers, ARS et GRADeS, élus locaux… Les collectivités locales et les services de l’État pouvant également être l’objet d’attaques. Nous sommes face à des réseaux de hackers extrêmement structurés et non plus isolés, dont l’objectif est de déstabiliser le tissu social. Les hôpitaux sont des acteurs extrêmement structurants du tissu social. La coopération entre tous les acteurs est donc extrêmement importante et cette coopération commence par la sensibilisation de tous. La cybersécurité n’est pas l’affaire des seuls informaticiens mais l’affaire de tous.
JDC : Les attaques contre nos hôpitaux proviennent souvent de pays extra-européens. Une coordination s’amorce-t-elle au niveau européen pour lutter contre ce fléau ?
AR : La réunion en interministériel en présence de trois ministres du 21 décembre était très importante de ce point de vue. Ce pilotage interministériel était d’ailleurs une demande de la FHF. Un pilotage interministériel de la cybersécurité permet de positionner la santé au rang d’autres secteurs d’activité (économie, défense, diplomatie, …) et ainsi de bénéficier d’un haut niveau de pratiques et de financements dédiés. La cybersécurité étant un enjeu de souveraineté national et même européen, une politique à l’échelle européenne est effectivement essentielle.
Comment mieux rassurer les usagers quant à la préservation de leurs données personnelles et du secret médical ?
Les établissements de santé se mettent en ordre de marche afin de limiter les risques d’attaques et, en cas d’attaques, limiter leurs impacts. Les 135 établissements supports de GHT (groupement hospitalier de territoire) ont été désignés Opérateurs de Services Essentiels avec un haut niveau d’exigence en matière de protection des données pour tous les SIH (système d’information hospitalier) définis comme essentiels. Des audits de sécurité ont été réalisés dans quasiment tous ces établissements afin de définir des plans d’actions et des exercices de type plan blanc seront également réalisés dans tous ces établissements. L’appui des pouvoirs publics, au niveau régional comme national, est essentiel.