Alexandre AUBERT
Directeur Général du GHT NOVO
La sécurité informatique va finir par s’imposer d’elle-même à l’hôpital
Pour Alexandre Aubert, directeur du GHT NOVO, la sécurité informatique va finir par s’imposer au sein des établissements de santé par la mise en œuvre des groupements hospitaliers de territoire et la convergence de leur Système d’Information (SI). Un point de vue salvateur pour que cette prise de conscience soit partagée par le plus grand nombre de directeurs hospitaliers.
Après avoir été DSI, vous avez dirigé plusieurs hôpitaux et êtes depuis 2016 à la tête d’un GHT générant un budget de fonctionnement de 475 millions d’euros. Quelle place occupe aujourd’hui la sécurité informatique au sein des directions hospitalières ?
« Si mes collègues imaginent ce que peut être la réalité d’un hôpital démuni d’informatique à la suite d’une cyber-attaque, comme ce fut le cas dernièrement au CHU de Rouen, je ne suis pas sûr qu’ils mesurent pour autant toutes les implications au niveau de la Direction des SI. Il est normal qu’ils ne réalisent pas forcément l’ampleur du travail que nécessitent la reconstruction d’un serveur et la récupération de données, parfois définitivement perdues. Il n’est pas simple de concevoir toutes les conséquences de la perte subie (absence du codage des actes, heures supplémentaires des personnels, renfort d’intérimaires pour reprise des saisies…). Les directions hospitalières ont de plus en plus conscience de l’importance et de la fragilité d’un SI sans donner forcément à la sécurité informatique les moyens dont elle a besoin ».
Quoi qu’on en dise, ce domaine reste très compliqué et on ne peut pas demander à mes collègues d’acquérir cette compétence du jour au lendemain. D’autant plus que les usages évoluent. Vouloir partager la même identité au sein d’un GHT ou avec un hôpital de proximité pour « fluidifier » les parcours de soins risque d’ouvrir une faille et de fragiliser le système d’information. Sans compter que diriger un établissement de santé suppose une gestion tellement complexe que la sécurité informatique est généralement déléguée au DSI ».
Au sein du Centre Hospitalier René-Dubos de Pontoise, établissement support du GHT Nord Ouest Vexin Val-d’Oise, vous disposez d’un RSSI et d’une personne en charge du RGPD. Quels conseils pourriez-vous donner pour encourager cet « investissement » ?
« Le Centre Hospitalier René-Dubos de Pontoise est un établissement de recours du Nord Île- -de-France qui dispose d’une offre de soins variée, avec toutes les spécialités médicales et chirurgicales, à part la neurochirurgie et la chirurgie cardiaque. A lui seul, il dépasse les 300 millions d’euros de budget annuel. Nous nous sommes donc doté d’un RSSI, que nous partageons avec d’autres structures territoriales grâce à un dispositif encouragé par l’Agence Régionale de Santé (ARS) Île-de-France. Cette mesure permet de pallier au manque de moyens et de mettre en commun des compétences car les RSSI, qui ne sont pas nombreux, peuvent avoir un coût très important pour les hôpitaux que tous ne sont pas en mesure d’assumer. Nous avons également un ingénieur de la DSI, dédié au RGPD, qui travaille en lien étroit avec le RSSI. Les établissements hospitaliers de plus de 100 millions d’euros sont également soumis au commissariat aux comptes qui audite la qualité du SI et sa sécurité, indépendamment des orientations et des priorités de la direction. De plus, un hôpital qui voudrait, par exemple, bénéficier du programme HOP’EN (pour « Hôpital numérique ouvert sur son environnement ») devra régulièrement passer un audit en matière de sécurité informatique. Donc, progressivement, la sécurité informatique va finir par s’imposer d’elle-même. Enfin, la mise en œuvre des GHT favorise cette évolution récente puisqu’elle donne au directeur général de l’établissement support des prérogatives parmi lesquelles le SI, qui lui permet d’appliquer une politique générale de sécurité du SI sur les autres structures du GHT même s’il n’en n’a pas la direction ».
Quel message souhaiteriez-vous faire passer aux directeurs d’établissements ?
« J’ai envie de dire à mes collègues qu’en investissant dans la sécurité informatique : ils ne « jettent pas l’argent public par les fenêtres ». Il suffit de penser au CHU de Rouen, qui disposait d’une DSI structurée et performante, et aux conséquences de l’attaque sur son fonctionnement pendant des semaines. Je voudrai aussi souligner la vigilance des DSI qui font des exercices de phishing ou d’hameçonnage et l’importance de les écouter en CODIR. Enfin, il est important d’accompagner les directeurs d’établissements dans l’arbitrage entre sécurité et métier. Pour le personnel soignant, les outils informatiques sont avant tout une aide et ne doivent pas les empêcher de travailler ».
Des questions sur cette thématique, retrouvez notre offre dédiée à la Cybersécurité
Bio express
Depuis 2016, Alexandre Aubert est directeur général du GHT Nord Ouest Vexin Val-d’Oise (NOVO) qui représente aujourd’hui six sites principaux et trois établissements juridiques qu’il dirige : le CH René-Dubos, le groupe hospitalier Carnelle Portes de l’Oise et le groupement hospitalier intercommunal du Vexin. Il a été, auparavant, directeur du Groupement Hospitalier Simone -Veil d'Eaubonne Montmorency, directeur intérimaire du Groupe Hospitalier de l'Est Francilien, directeur du CH de Millau. Alexandre Aubert a également été DSI du CH d’Argenteuil en 2006, et également dans les débuts 2000 DRH du CH de Nemours lors de la mise en place des 35 heures. Auparavant, Alexandre Aubert était infirmier et cadre de santé à l'AP-HP.
Conception : Doshas Consulting
Responsable de la publication : Didier Ambroise
Rédaction : Cécile Jouanel
Création graphique et réalisation : Agence Biskot.Bergamote
Crédit : Shutterstock
