Ingénieur de formation, Cédric Cartau a exercé dans le privé avant d'entrer au CHU de Reims en 1999 comme ingénieur spécialiste système et sécurité. Nommé responsable de département de 2004 à 2009 au CHU de Rennes, il rejoint ensuite celui de Nantes en tant que Responsable Sécurité des Systèmes d’Information (RSSI) et DPO.
C. Cartau (CHU Nantes) : "En matière de cybersécurité, il y a beaucoup de choses à faire avant de dépenser de l'argent"
Décideurs. Emmanuel Macron a annoncé un plan d'un milliard d'euros pour sécuriser les sites les plus sensibles contre les cyberattaques. Il était temps selon vous ?
Cédric Cartau. La cybersécurité à l’hôpital n’est pas qu’un problème d’argent mais aussi et surtout d’hommes. Vous pouvez avoir les meilleurs systèmes informatiques au monde, s’il n’y a personne par la suite pour les superviser et les monitorer, cela ne servira à rien.
"La part du budget SI que les hôpitaux consacrent à la cybersécurité est de l’ordre de 5 % à 10%"
Par ailleurs, les hôpitaux font face à une nouvelle menace depuis quelques années avec les ransomwares, donc la question est plutôt de savoir quels moyens additionnels mettre en face car un nouveau risque ne se règle pas avec les moyens existants. Pour l’heure, en moyenne, la part du budget SI que les hôpitaux consacrent à la cybersécurité est de l’ordre de 5 à 10%.
Réalisez-vous des audits réguliers de vulnérabilité des SI ?
Oui et cela représente même une bonne partie de notre travail. Nous avons environ une trentaine de points de mesure sur notre tableau d’audit. En fonction de leur degré de criticité, certains sont réalisés tous les trimestres, mois, semaines ou jours. Ces audits ne nécessitent pas forcément beaucoup de moyens financiers car de nombreux outils et/ou solutions sont disponibles, souvent gratuitement sur Internet. En matière de cybersécurité, il y a beaucoup de choses à faire avant de commencer à dépenser de l’argent !
Propos recueillis par Anne-Sophie David
