Forum InCyber

Le 20 novembre dernier, nous avons eu le plaisir de participer au petit déjeuner organisé par InCyber à la caserne des Célestins, sur le thème «Protéger les données sensibles : un levier de confiance numérique pour le secteur public et la santé». Animé par le Général d’armée Marc Watin-Augouard et la rédactrice en chef d’InCyber, Mélissa Perié-Betton, l’événement regroupait plusieurs experts: Sarah Edimbourg de l’intégrateur KNS, Amélie Leroux d’Imprivata, Michael Briand de de Sailpoint, le docteur Xavier Alacoque CSO/CDO de l’IUCT de Toulouse, et Jean-Baptiste Milone de la DNS.

La discussion s’est portée sur l'équilibre entre normes de sécurité (RGPD, NIS2, serment d'Hippocrate) et fluidité des soins, face à la fatigue numérique, aux systèmes hérités obsolètes, aux attaques cyber récentes, et aux besoins en gestion des accès pour le personnel.

Parmi les points principaux abordés:

  • Les données de santé sont sensibles : La majorité des données de santé sont à protéger (Données biométriques, génétiques, personnelles, de santé) et peuvent être la cible de malveillances.
  • L’IAM se décompose en trois piliers : Gouvernance, gestion des accès (authentification multifactorielle), accès privilégiés pour veiller au cycle de vie des identités.
  • La fatigue numérique : Les soignants peuvent s’authentifier de 60 à 100 fois par jour. Il leur faut des solutions single sign-on (SSO) sans contact et simples pour fluidifier les flux cliniques sans compromettre la sécurité. La cybersécurité n'est pas un frein mais une opportunité : en sécurisant l'accès à la source, on élargit l'accès aux données patients (DMP, allergies), évitant examens redondants et gagnant du temps médical (45 min/jour/soignant), comme démontré dans les expérimentations Hospiconnect.
  • Les défis des établissements de santé: Des systèmes hérités hétérogènes, un trop faible investissement dans les SI, des besoins d'interopérabilité. Les hôpitaux sont confrontés à 100-160 apps obsolètes (non compatibles avec les nouveaux standards).
  • Les financements et les régulations : L’initiative Hospiconnect et ses 200 M€, les standards RGPD et NIS2 à appliquer, la responsabilisation des directions générales avec de possibles sanctions pour non-conformité.
  • La gouvernance organisationnelle : Il faut embarquer DG, RH, DSI et métiers dans la transition. Les DPO et les intégrateurs experts jouent un rôle clé des via accords-cadres. En parallèle, il faut former les soignants à cette nouvelle culture de la cybersécurité.

Le chantier de la cybersécurité dans les établissements de santé peut sembler insurmontable mais des technologies éprouvées sont déjà disponibles pour aider à mettre en place une cybersécurité solide qui, non seulement n’entrave pas le travail des personnels de santé, mais au contraire leur redonne du temps disponible à consacrer à leurs patients. Cependant, la pression réglementaire va s'intensifier avec l'entrée en vigueur de la norme NIS2 en 2026, ainsi que les exigences en matière de cybersécurité imposées par les initiatives du gouvernement français. Il est donc nécessaire d'entamer cette transformation dès que possible.

Mais le renforcement des exigences en matière de sécurité et de conformité ne doit pas se faire au détriment des flux de travail dans le secteur de la santé et doit être aussi simple que possible. Depuis plus de 20 ans, Imprivata s'efforce d'améliorer et de simplifier la sécurité de la gestion des accès, afin que les professionnels de santé puissent se concentrer sur les soins aux patients sans être dérangés, ce qui se traduit par une meilleure expérience pour les cliniciens et les patients.

Vous pouvez revoir l’intégralité des débats sur ce lien.

Pour plus d’information sur la norme NIS2, découvrez les livre blanc Imprivata ici.