"Les RSSI ont fait une erreur: ils se sont trop concentrés" sur le personnel administratif, a-t-il déclaré.
"C'est vrai qu'il faut absolument avoir l'appui de la direction générale pour mettre en place les mesures de sécurité, mais ça ne suffit pas. Il faut aller voir comment ça marche dans les services et demander comment on peut améliorer le quotidien tout en améliorant la sécurité."
A titre d'exemple, l'utilisation d'un système d'authentification à deux facteurs dans un service de réanimation peut permettre aux médecins d'éviter de saisir un mot de passe de 20 caractères avant d'enregistrer chaque acte médical, en le remplaçant par une clé USB et un code personnels. Les médecins ont obtenu un gain de temps et la sécurité en a été renforcée.
De même, des médecins qui s'échangeaient des images par e-mail "ne connaissaient pas l'outil" destiné à sécuriser ces échanges, "c'est donc qu'il y a un défaut de pédagogie du côté du RSSI".
"Il faut sensibiliser le personnel soignant" à la sécurité informatique, a-t-il conclu.
Les RSSI "doivent fournir des indicateurs, expliquer l'exposition aux risques et proposer des plans d'action" à la direction, qui "n'y connaît rien et s'en fiche:...