Jean-Sylvain Chavanne, Responsable de la Sécurité des Systèmes d’Information du CHRU de Brest. ©DR
Pourriez-vous revenir sur votre parcours ?
Jean-Sylvain Chavanne : J’ai commencé des études de médecine, puis me suis réorienté vers un master de droit privé et de sciences criminelles, où j’ai acquis une expertise juridique et géopolitique. Mais il me manquait une expertise technique. J’ai alors également suivi une formation d'ingénieur en cybersécurité, avant d’intégrer l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), où je suis resté six ans et demi. J'y ai occupé trois principaux postes. J'ai commencé par être chargé de mission à la sous-direction Expertise, et ai ensuite rejoint la sous-direction Stratégie pour mettre en place des référents régionaux en cybersécurité. Un poste que j’ai fini par occuper moi-même, en devenant délégué à la sécurité numérique de la région Pays de la Loire.
Dans quel contexte avez-vous alors rejoint le CHRU de Brest ?
Étant originaire de la ville, j’ai profité d’une opportunité pour y revenir. Après l’ANSSI, j’avais travaillé pendant un peu plus d’un an pour une société de cybersécurité privée. Rejoindre le CHRU de Brest était, aussi, l’occasion de retrouver le secteur public, et plus particulièrement le secteur de la santé. Même si je n’ai pas poursuivi mes études de médecine jusqu’à leur terme, ce monde me tient toujours à cœur et je suis heureux d’y intervenir. C’est ainsi que je suis devenu, en novembre 2020, le responsable de la sécurité des systèmes d'information du CHRU de Brest et du GHT de Bretagne Occidentale, dont il est l’établissement support.
Quelles sont vos missions au quotidien ?
La mission principale d'un RSSI est, sans surprise, d'assurer un niveau de cybersécurité adéquat pour l'établissement. Mais cet objectif premier se décline en plusieurs sous-parties, puisque le système d’information d’un hôpital, et plus encore d’un CHRU, est composé d’une multitude de solutions et d’applications, en fonction des domaines adressés. Il nous faut donc à chaque fois identifier et définir des mesures de sécurité pertinentes, c’est-à-dire qui permettront d’atteindre le niveau attendu sans pour autant bloquer l’activité des professionnels de santé. Nous sommes également tenus de contrôler leur mise en place et leur respect effectifs. Nous agissons ici un peu comme des médecins qui s’assurent qu’une prescription ou une préconisation sont bien suivies.
Sur quels paramètres reposent ces mesures de sécurité que vous évoquez ?
Les facteurs considérés sont nombreux et dépendent des évolutions techniques, mais aussi, du contexte politique. Les tensions russo-ukrainiennes, par exemple, font évoluer les mesures de sécurité que nous avons pu mettre en place précédemment. Pour garantir la pertinence des mises à jour, je consacre d’ailleurs une vingtaine de minutes tous les matins à la lecture d’articles relatifs à la cybersécurité. Cette veille quotidienne me permet également de suivre l'évolution des modes opératoires des attaquants. Pour pouvoir adapter en permanence les mesures de cybersécurité, le RSSI doit en effet avoir une vision en quasi-temps réel de la manière dont les systèmes d’information seront exposés.
Quelle part la prévention représente-t-elle dans vos missions ?
La prévention, c’est près de 80 % de mon travail. Il faut en effet régulièrement sensibiliser les agents hospitaliers aux bons gestes de sécurité informatique, mais aussi anticiper les crises potentielles de manière à ce qu’elles aient le moins d’impact possible sur le fonctionnement de l’établissement. Il est d’autant plus indispensable d’y être préparés que notre système d'information est de plus en plus ouvert, et donc de plus en plus exposé. Des réunions pluriprofessionnelles, des sessions de formation, ont ainsi lieu pour que chaque équipe soit prête et puisse mettre en place les organisations les plus adaptées à son service et à ses besoins.
Qu’en est-il des 20 % restants ?
Cette part de mon travail est consacrée à la remédiation, dont fait partie la levée de doute : je vérifie que la structure réputée fragile ne soit pas corrompue, ou que l’alerte émise par un logiciel de surveillance des risques soit bien réelle. Dans la majorité des cas, il s’agit heureusement de faux positifs, c’est-à-dire d’alertes dues à une mauvaise coordination ou à une mauvaise utilisation du système. Mais il peut aussi y avoir un « vrai positif ». Nous sommes alors accompagnés par une entreprise privée pour analyser et expertiser la situation, et pouvoir ensuite la gérer de la manière la plus adéquate. Mais, et je tiens à le préciser, dans la majorité des cas, ce n’est pas spectaculaire. Les attaques ne sont pas toutes destinées à voler de la donnée ou à installer un rançongiciel, certains scripts consomment par exemple uniquement de la ressource pour miner du bitcoin. Dans tous les cas, nous devons ensuite qualifier l’incident et surtout, savoir si les données patients ont été touchées.
Vous l’avez dit, vous êtes également le RSSI du GHT Bretagne Occidentale…
Chaque établissement du GHT dispose d’un référent en cybersécurité présent sur site, mais je fais office de centre de ressources. Pour résumer, quand il y a des vulnérabilités ou des tensions, je dois en informer le référent. C'est un travail d'adaptation assez important, car les systèmes d'information équipant les autres établissements du groupement ne sont pas forcément les mêmes que ceux du CHRU de Brest. Par ailleurs, en tant que coordonnateur de la cybersécurité pour le GHT, j’utilise également les outils de l’ANSSI pour auditer l’ensemble des annuaires des établissements. Toutes ces actions visent un même objectif, assurer un niveau de cybersécurité qui soit le plus homogène possible à l’échelle du groupement.
Un dernier mot sur la manière dont vous percevez les enjeux de votre métier ?
Le principal, celui qui sous-tend tout ce que nous faisons pour maintenir la cybersécurité, a trait à la confiance. L’enjeu, pour un RSSI, est d'assurer la confiance dans les systèmes d'information des centres hospitaliers. Et cela est d’autant plus nécessaire que le numérique occupe une place grandissante dans le secteur de la santé et du diagnostic. Le praticien doit pouvoir avoir une confiance aveugle dans les données statistiques. Le patient n’est pas en reste car, quand il vient au CHRU, il doit pouvoir nous confier ses données sensibles sans crainte. C’est pour cela que tous doivent être sensibilisés aux risques cyber. Si les professionnels de santé semblent s’en être rendu compte et adaptent de plus en plus leurs pratiques, force est de constater que ce pas n’a pas encore été franchi par le grand public. Je vois encore trop de patients qui photographient leur carte d'identité et l'envoient par mail. Il faut que tous aient conscience de la valeur de leurs données personnelles et des menaces qui y pèsent.
Article publié dans l'édition de mai 2022 d'Hospitalia à lire ici.
Jean-Sylvain Chavanne : J’ai commencé des études de médecine, puis me suis réorienté vers un master de droit privé et de sciences criminelles, où j’ai acquis une expertise juridique et géopolitique. Mais il me manquait une expertise technique. J’ai alors également suivi une formation d'ingénieur en cybersécurité, avant d’intégrer l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), où je suis resté six ans et demi. J'y ai occupé trois principaux postes. J'ai commencé par être chargé de mission à la sous-direction Expertise, et ai ensuite rejoint la sous-direction Stratégie pour mettre en place des référents régionaux en cybersécurité. Un poste que j’ai fini par occuper moi-même, en devenant délégué à la sécurité numérique de la région Pays de la Loire.
Dans quel contexte avez-vous alors rejoint le CHRU de Brest ?
Étant originaire de la ville, j’ai profité d’une opportunité pour y revenir. Après l’ANSSI, j’avais travaillé pendant un peu plus d’un an pour une société de cybersécurité privée. Rejoindre le CHRU de Brest était, aussi, l’occasion de retrouver le secteur public, et plus particulièrement le secteur de la santé. Même si je n’ai pas poursuivi mes études de médecine jusqu’à leur terme, ce monde me tient toujours à cœur et je suis heureux d’y intervenir. C’est ainsi que je suis devenu, en novembre 2020, le responsable de la sécurité des systèmes d'information du CHRU de Brest et du GHT de Bretagne Occidentale, dont il est l’établissement support.
Quelles sont vos missions au quotidien ?
La mission principale d'un RSSI est, sans surprise, d'assurer un niveau de cybersécurité adéquat pour l'établissement. Mais cet objectif premier se décline en plusieurs sous-parties, puisque le système d’information d’un hôpital, et plus encore d’un CHRU, est composé d’une multitude de solutions et d’applications, en fonction des domaines adressés. Il nous faut donc à chaque fois identifier et définir des mesures de sécurité pertinentes, c’est-à-dire qui permettront d’atteindre le niveau attendu sans pour autant bloquer l’activité des professionnels de santé. Nous sommes également tenus de contrôler leur mise en place et leur respect effectifs. Nous agissons ici un peu comme des médecins qui s’assurent qu’une prescription ou une préconisation sont bien suivies.
Sur quels paramètres reposent ces mesures de sécurité que vous évoquez ?
Les facteurs considérés sont nombreux et dépendent des évolutions techniques, mais aussi, du contexte politique. Les tensions russo-ukrainiennes, par exemple, font évoluer les mesures de sécurité que nous avons pu mettre en place précédemment. Pour garantir la pertinence des mises à jour, je consacre d’ailleurs une vingtaine de minutes tous les matins à la lecture d’articles relatifs à la cybersécurité. Cette veille quotidienne me permet également de suivre l'évolution des modes opératoires des attaquants. Pour pouvoir adapter en permanence les mesures de cybersécurité, le RSSI doit en effet avoir une vision en quasi-temps réel de la manière dont les systèmes d’information seront exposés.
Quelle part la prévention représente-t-elle dans vos missions ?
La prévention, c’est près de 80 % de mon travail. Il faut en effet régulièrement sensibiliser les agents hospitaliers aux bons gestes de sécurité informatique, mais aussi anticiper les crises potentielles de manière à ce qu’elles aient le moins d’impact possible sur le fonctionnement de l’établissement. Il est d’autant plus indispensable d’y être préparés que notre système d'information est de plus en plus ouvert, et donc de plus en plus exposé. Des réunions pluriprofessionnelles, des sessions de formation, ont ainsi lieu pour que chaque équipe soit prête et puisse mettre en place les organisations les plus adaptées à son service et à ses besoins.
Qu’en est-il des 20 % restants ?
Cette part de mon travail est consacrée à la remédiation, dont fait partie la levée de doute : je vérifie que la structure réputée fragile ne soit pas corrompue, ou que l’alerte émise par un logiciel de surveillance des risques soit bien réelle. Dans la majorité des cas, il s’agit heureusement de faux positifs, c’est-à-dire d’alertes dues à une mauvaise coordination ou à une mauvaise utilisation du système. Mais il peut aussi y avoir un « vrai positif ». Nous sommes alors accompagnés par une entreprise privée pour analyser et expertiser la situation, et pouvoir ensuite la gérer de la manière la plus adéquate. Mais, et je tiens à le préciser, dans la majorité des cas, ce n’est pas spectaculaire. Les attaques ne sont pas toutes destinées à voler de la donnée ou à installer un rançongiciel, certains scripts consomment par exemple uniquement de la ressource pour miner du bitcoin. Dans tous les cas, nous devons ensuite qualifier l’incident et surtout, savoir si les données patients ont été touchées.
Vous l’avez dit, vous êtes également le RSSI du GHT Bretagne Occidentale…
Chaque établissement du GHT dispose d’un référent en cybersécurité présent sur site, mais je fais office de centre de ressources. Pour résumer, quand il y a des vulnérabilités ou des tensions, je dois en informer le référent. C'est un travail d'adaptation assez important, car les systèmes d'information équipant les autres établissements du groupement ne sont pas forcément les mêmes que ceux du CHRU de Brest. Par ailleurs, en tant que coordonnateur de la cybersécurité pour le GHT, j’utilise également les outils de l’ANSSI pour auditer l’ensemble des annuaires des établissements. Toutes ces actions visent un même objectif, assurer un niveau de cybersécurité qui soit le plus homogène possible à l’échelle du groupement.
Un dernier mot sur la manière dont vous percevez les enjeux de votre métier ?
Le principal, celui qui sous-tend tout ce que nous faisons pour maintenir la cybersécurité, a trait à la confiance. L’enjeu, pour un RSSI, est d'assurer la confiance dans les systèmes d'information des centres hospitaliers. Et cela est d’autant plus nécessaire que le numérique occupe une place grandissante dans le secteur de la santé et du diagnostic. Le praticien doit pouvoir avoir une confiance aveugle dans les données statistiques. Le patient n’est pas en reste car, quand il vient au CHRU, il doit pouvoir nous confier ses données sensibles sans crainte. C’est pour cela que tous doivent être sensibilisés aux risques cyber. Si les professionnels de santé semblent s’en être rendu compte et adaptent de plus en plus leurs pratiques, force est de constater que ce pas n’a pas encore été franchi par le grand public. Je vois encore trop de patients qui photographient leur carte d'identité et l'envoient par mail. Il faut que tous aient conscience de la valeur de leurs données personnelles et des menaces qui y pèsent.
Article publié dans l'édition de mai 2022 d'Hospitalia à lire ici.