Thomas Jan (UniHA) : “En cyber, la mutualisation du risque est capitale”

Quels sont les grands axes de la stratégie numérique d’UniHA ? Où se situe la cybersécurité dans cette stratégie ?

Afin de proposer une offre numérique complète à nos adhérents, la stratégie numérique a été déclinée en quatre axes. Le premier axe concerne les fonctions informatiques de base (réseau, infrastructure, matériel, etc.). Le deuxième axe se concentre sur l’amélioration des processus et le gain de temps administratif et médical. Il s’agit notamment d’intégrer dans ce pilier l’offre logicielle santé et hors santé, ainsi que toutes les innovations, notamment l’intelligence artificielle. Le troisième pilier de notre stratégie numérique concerne les données de santé, qui sont en pleine explosion. Dans ce champ-là, on retrouve beaucoup de sujets liés par exemple à l’hébergement des données ainsi qu’aux problématiques cloud. Enfin, le quatrième pilier est la sécurité. Les enjeux en matière de sécurité sont évidemment très élevés pour les établissements de santé. Cette stratégie numérique est de plus en plus transverse.

UniHA a annoncé en février dernier la création d’Unibiotech, un pôle d’expertises mutualisées de ses filières Ingénierie biomédicale, biologie et santé digitale & numérique. Elles vont construire ensemble de nouveaux marchés. À quoi cela va ressembler ?

Unibiotech fait dialoguer le biomédical avec la santé numérique pour en extraire des solutions communes. Nous ne voulons pas offrir des réponses “en silo” sur nos marchés. Sur le marché de l’anatomopathologie, par exemple, le système de gestion des images très orienté métier connecte aussi bien le biomédical que les solutions d’IA pour l’aide au diagnostic et les solutions d’hébergement et de sécurité. La culture sécurité irrigue toutes les filières.

Les achats publics figurent dans le programme France 2030. L’AIS a notamment noué un partenariat avec UniHA. En quoi les achats publics représentent-ils un levier d’action pour stimuler l’innovation ?

La commande publique est parfois vue, à tort, comme un frein à la diffusion de l’innovation. Or, la commande publique dispose de beaucoup d’outils pour permettre à l’innovation d’infuser dans les établissements. Ces dernières années, l’innovation apparaît souvent dans les établissements sous la forme de PoC (Proof of Concept, ndlr). Les projets menés avec les start-up ont du mal à atteindre une taille critique et un volume d’affaires qui les pérennisent. Il faut donc réfléchir à des modèles contractuels et économiques plus pérennes en amont. C’est à ce niveau qu’UniHA intervient. En qualité de tiers de confiance sur la commande publique, UniHA travaille avec la DNS et l’AIS, entre autres, pour trouver les bons leviers contractuels et faciliter l’achat de l’innovation dans les établissements. 

Nous menons notamment des réflexions sur l’IA en radiologie, qui est très diffuse mais sans véritable modèle économique viable. Il faut trouver une manière de fédérer les besoins, et au travers d’un marché, soutenir un modèle économique dans lequel les start-up pourraient s’y retrouver.

Le congrès de l’Apssis s’inscrit cette année dans une actualité particulière, à l’approche des Jeux Olympiques de Paris… Comment aidez-vous les établissements à anticiper cette période, en lien aussi avec le programme CaRE ?

Dès mon arrivée, ça a été un énorme sujet que nous avons essayé de mettre en valeur. Quatre milliards d’attaques sont attendues sur la période des JO. Il faut absolument que l’on soit préparé. Je pense que tous les établissements doivent augmenter leur résilience. 

Faire de la cybersécurité dans son coin lorsqu’on est un CH, cela n’a pas de sens. Chez UniHA, nous voulons mutualiser le risque. 

Lorsqu’une cyberattaque intervient, c’est tout le fonctionnement de l’hôpital qui est touché. Aussi, nous soutenons le marché des “SOC managés” (ces centres d’opérations de sécurité qui permettent d’apporter une réponse globale en cybersécurité, ndlr). Notre solution est désormais utilisée par la moitié des GHT à travers le marché de la CAIH. 

Pour répondre aux ambitions du programme CaRE, nous avons mené un grand chantier de mise en adéquation, aussi bien sur nos marchés de cybersécurité que de logiciels. Nous déployons en outre un marché portant sur “l’assistance à maîtrise d’ouvrage sécurité des SI”, au travers duquel plus de 50% des exercices de crise cyber demandés par le programme CaRE ont été réalisés.

Il faut que tout le monde monte en maturité pour déployer les solutions le plus rapidement possible. Un établissement bien protégé peut se remettre d’équerre huit fois plus rapidement après une cyberattaque qu’un établissement qui n’est pas bien protégé.

D’où l’importance aussi de travailler en amont sur une offre assurantielle ?

Aujourd’hui, c’est au bon vouloir des ARS de financer les établissements touchés par des cyberattaques, pour les aider à mettre en place la continuité des soins et à remettre en route les SI. Parce qu’il n’y a jamais de “risque zéro” en matière de cybersécurité, UniHA a travaillé sur une assurance pour soutenir les établissements en difficulté. Cette offre assurantielle cyber permet d’accélérer cette remédiation en cas d’attaque et d’éviter les trous de trésorerie. Toutefois, il faut aussi que les établissements montent en compétences car plus leur niveau de protection est faible, moins l’assureur sera incité à prendre le risque. Depuis 2021, on voit que le marché bouge et que les audits se multiplient. L’étape d’après sera d’améliorer l’anticipation des risques.

Le nombre d’établissements à déclarer des incidents est en hausse en 2023, selon les chiffres du CERT Santé. Pourtant, les acteurs de santé semblent encore insuffisamment préparés face à cette augmentation de la menace. Comment expliquez-vous un niveau de préparation toujours faible ?

C’est un jeu du chat et de la souris. Les attaques sont de plus en plus élaborées et nombreuses. Au-delà de la prise de conscience, cela représente des coûts pour les établissements de santé. Aujourd’hui, en France, l’investissement sur le numérique est de l’ordre de 1,6% du budget global. Cela reste faible. Dans cette partie du budget consacré au digital, on dit qu’il faut que 10% soit lié à la cybersécurité. Par comparaison, la Mayo Clinic (l’un des centres hospitaliers américains les plus réputés en matière d’innovation, ndlr) consacre 8% de son budget annuel au numérique. L’intelligence collective et la mutualisation sont à mon sens une réponse au problème. Il n’est pas possible d’avoir de “méga experts cyber” dans chaque établissement, il faut mutualiser au maximum ces compétences rares.

UniHA et le Club des RSSI ont officialisé, en septembre 2023, un partenariat pour intégrer la cybersécurité dans les achats hospitaliers. Dans le cadre de cet accord, la CAIH et UniHA s’engagent à intégrer un clausier de conformité numérique dans les futurs appels d’offres pour sécuriser les établissements de santé. Ce projet est-il lancé ? À quel stade du déploiement en êtes-vous ?

Nous avons soufflé notre première année de partenariat avec le club RSSI. Une deuxième version de ce clausier de sécurité informatique vient de sortir. Il a été élaboré cette fois-ci avec l’AFIB (Association française des ingénieurs biomédicaux, ndlr) et le réseau des DPO (délégués à la protection des données, ndlr), pour inclure 118 points de contrôle au total. Ce référentiel est mis à la disposition gratuitement des acheteurs pour constituer leur “check-list” avant d’intégrer les établissements, des environnements très complexes pouvant rassembler jusqu’à 600 SI différents.