SMART CYBER - SMART CYBER, 4e partie du 19 décembre 2025 - Vidéo Dailymotion

B SMART

Vendredi 19 décembre 2025, retrouvez Hervé Pellarin (RSSI, Hôpital Annecy Genevois) dans SMART CYBER, une émission présentée par Delphine Sabattier.

Transcript

00:00Dans l'interview RSSI, j'ai le grand plaisir de recevoir Hervé Pellarin.

00:08Bonjour Hervé.

00:08Bonjour Nathine.

00:09Alors, cinq années passées au Conseil départemental en tant qu'ingénieur sécurité,

00:14vous avez rejoint le groupe hospitalier territorial Haute-Savoie, pays de Gex.

00:18Oui.

00:19Voilà pour votre rapide CB.

00:22J'ai lu que vous portiez un regard de red teamer sur la sécurité.

00:25Oui.

00:25C'est original pour un responsable de la sécurité, non ?

00:28En fait, je suis un responsable de la sécurité.

00:29Je suis convaincu qu'on ne peut pas défendre si on n'a pas de notion d'attaque.

00:33Il faut comprendre les vecteurs d'attaque pour voir ses propres fragilités avec du recul.

00:39Et si on n'a pas une idée comment quelqu'un peut cambrioler une maison,

00:44on a beau être le meilleur des architectes,

00:47on ne fera pas forcément la maison la plus sûre qui préservera l'intégrité de ce qu'il y a dedans.

00:51Quelle est, selon vous, la première mission d'un RSSI au sein d'un centre hospitalier ?

00:55Qu'est-ce que vous, vous vous êtes fixé ?

00:57Moi, je n'ai pas de première mission, j'en ai qu'une.

00:59C'est être au service des soignants.

01:01Mon boulot, c'est de faire en sorte que les soignants soignent coûte que coûte.

01:05D'accord.

01:05Donc, c'est vraiment au service des métiers.

01:07Un hôpital, son boulot, c'est quand vous arrivez devant lui, il vous ouvre ses portes.

01:12Ça veut dire, venez, vous êtes le bienvenu.

01:14On va prendre soin de vous.

01:15Et ça, rien ne doit changer ça.

01:18Même le climat cyberactuel, même le climat géopolitique actuel,

01:21les portes doivent toujours être ouvertes coûte que coûte.

01:24Et ça, c'est une énorme pression parce que les centres hospitaliers sont des cibles à part entière aujourd'hui des cyberattaquants.

01:31Alors, quand je vous ai rencontré pour la première fois, c'était aux assises de la cybersécurité à Monaco.

01:38Et vous étiez pas mal remonté sur la question du matériel médical.

01:43Vous m'expliquez qu'en fait, vous n'aviez pas de garantie de sécurité.

01:46Rien du tout.

01:47Il faut comprendre qu'un hôpital, il marche, il y a deux mondes parallèles.

01:51Il y a l'informatique du service informatique qui est maîtrisé généralement plutôt bien.

01:55Les postes des agents et tout ça, c'est plutôt bien maîtrisé à jour et tout.

01:59Et il y a l'informatique qu'on appelle le biomédical.

02:02C'est l'informatique qui va être au service de tous les appareils médicaux, scanner, IRM, labo, automatismes, toutes ces choses-là.

02:08Et ça, c'est un monde à part sur lequel on n'a pas la main, où les éditeurs nous vendent à prix fort.

02:15Pour la petite histoire, là j'en suis.

02:16Mise à jour Windows 10, Windows 11, 14 000 euros par poste.

02:20Voilà.

02:20Après, on s'étonne qu'on n'a pas de sous.

02:22Où les éditeurs, en fait, imposent leurs lois parce qu'il n'y a pas de règle qui leur impose de rentrer dans les nôtres.

02:27C'est-à-dire que les gens peuvent vous vendre du Windows 7 avec un utilisateur administrateur et désactiver l'antivirus.

02:33Et vous dire que mon automate, il a été qualifié comme ça.

02:35Si vous osez mettre un antivirus, je vous retire le marquage et je n'assure plus la maintenance.

02:40Donc quand vous payez 300 000 euros une machine, vous n'avez pas le choix.

02:43Alors ce qui fait, en fait, pour imager les choses, si un hôpital, c'était une sorte de grande maison,

02:48vous avez plein de couloirs, plein de pièces qui sont hautement enflammables en cas de cyberattaque, elles tombent.

02:53Et quand elles tombent, qu'est-ce qui se passe ? Ce sont des valeurs métiers qu'on perd et ce sont des soins qu'on perd.

02:57Ce sont des dangers qu'on met en vis-à-vis de la santé, des soins des patients.

03:01Mais alors moi, ça me semblait complètement fou.

03:04Vous ne m'aviez pas cru.

03:05J'avoue que ce matériel ne soit pas soumis à tous les règlements qui, aujourd'hui, sont discutés jusqu'au niveau européen.

03:13Cyber Resilience Act, Nice 2 qu'on attend.

03:17Et vous m'avez dit non.

03:19C'est toujours non ?

03:20Ben oui, bien sûr que c'est non, parce qu'en fait, c'est des gens qui sont extrêmement bien organisés, pour ne pas se mettre de contraintes.

03:26Les matériels médicaux, en fait, ils ne rentrent pas dans le CERA, pour ceux qui connaissent une nouvelle grande loi cyber européenne.

03:31Ils ont été retirés. Pourquoi ?

03:32Parce qu'on ne peut pas réglementer quelque chose qui est déjà réglementé.

03:35Et les matériels médicaux sont réglementés par deux règlements, qui s'appellent le MDR et le VDR, pour Medical Device Regulation,

03:40et In-Vitro Device Regulation,

03:42dans lesquels le cyber est noté de la manière suivante que les fabricants s'engagent à développer à l'état de l'art.

03:48C'est tout.

03:49D'accord.

03:49Et comme l'état de l'art n'est pas qualifié...

03:51C'est mince.

03:51C'est extrêmement mince.

03:52Et ce n'est pas un hasard.

03:53Comme l'état de l'art, personne n'a qualifié l'état de l'art égal deux points,

03:58l'état de l'art n'est pas opposable.

03:59Donc en fait, j'invite tous mes homologues.

04:03Quand on a une machine qui n'est pas à jour, un antivirus qui est désactivé sciemment,

04:07et un logiciel qui tourne avec un utilisateur-administrateur, ça ne peut pas être l'état de l'art.

04:12Oui.

04:13Mais pourquoi cette résistance à la cybersécurité ?

04:17Parce qu'à la base, je pense, c'est mon point de vue, j'ai le droit de me tromper,

04:21on part d'une genèse où on fabrique des automates pour du soin,

04:24puis arrivait la notion de connecter les automates à travers la numérisation des établissements de santé

04:30pour faciliter les traitements.

04:32Et puis les choses étaient faites à la base pour soigner,

04:34ce n'était pas fait pour de la sécurité.

04:36Et on a oublié qu'en fait, pour soigner, par les temps qui courent,

04:39il faut qu'il y ait un minimum de sécurité.

04:41Et c'est du boulot en plus qu'ils ne veulent pas faire.

04:43Et des coûts.

04:44Et des coûts.

04:45Et moi, ce que je leur reproche, c'est le manque de volonté à essayer de faire.

04:49Quand vous dites à un industriel, on installe l'EDR pour le protéger

04:51parce que c'est un système critique dans ma mécanique de soins,

04:54c'est non.

04:55Ce n'est même pas chiche, on essaye.

04:57C'est non.

04:58Ils ne veulent même pas s'embêter avec ça, en fait.

05:00Alors, donc, vous me disiez que vous alliez quand même ruer dans les brancards.

05:03Oui.

05:04Ça bouge, genre, au niveau politique.

05:05Est-ce qu'on s'est emparé en France de ce sujet ?

05:07Alors, déjà, on a réussi, avec la députée Riotton,

05:10à placer un amendement à Nice 2

05:11qui impose une notion de responsabilité des éditeurs.

05:15Quels qu'ils soient, donc.

05:16Et donc, là, on n'attend pas tellement que ça passe

05:22parce que ça va changer des choses.

05:25Dans le cas, comme il m'est arrivé de trouver une faille

05:27sur un logiciel de brancardage

05:28et où on n'avait aucun levier juridique

05:29pour imposer à l'éditeur de boucher le trou,

05:32là, on va avoir un levier.

05:34Mais la temporalité pour faire bouger les choses

05:37par rapport à la temporalité des menaces cyber,

05:40on n'est pas sur les mêmes échelles.

05:41Et puis, alors, vous, dans votre région, là,

05:42vous avez quelques pressions supplémentaires qui arrivent.

05:44Alors, on a deux, trois quarts messes sympas qui arrivent.

05:46On a le G7 l'année prochaine.

05:47L'année d'après, on a la Coupe du monde de vélo.

05:49Et deux ans après, on a les JO.

05:50Il faut s'occuper.

05:53Voilà.

05:54Bon.

05:55Donc, effectivement, on a un peu ce temps-ci.

05:56Vous avez lancé une opération papyrus en 2024.

06:00C'est ça, la solution retourner au papier ?

06:02Alors, non, la solution, ce n'est pas retourner...

06:04De toute façon, on sera au papier.

06:06On sera au papier.

06:07Mais c'est de retourner au papier

06:08avec une traçabilité des papiers.

06:10Et oui, l'opération papyrus, c'était quoi ?

06:12C'était remettre les soignants au cœur de leur métier

06:14en les faisant travailler sans leurs outils nominaux

06:16pour reconstruire les automatismes

06:18qui permettent de continuer leur valeur métier,

06:20c'est-à-dire soigner.

06:21Et se préparer aussi, faire des exercices de crise.

06:24On en fait deux, trois par an, oui.

06:25Deux, trois par an ?

06:25Oui, oui.

06:26Deux, trois par an.

06:27On a mis en place une solution

06:28qui nous permet, même si on a une cyberattaque,

06:31même si on ferme tout,

06:32de pouvoir continuer à accueillir les gens,

06:34créer des identités, créer des séjours,

06:36imprimer des étiquettes

06:38et surtout garder une traçabilité

06:39de l'identité aux vigilances.

06:41Vous avez fait partie de l'opération gouvernementale ?

06:44Rempart.

06:45Oui, on l'a fait.

06:47D'accord.

06:47Et c'était très bien

06:48parce que ça nous a permis dans l'hôpital

06:49d'avoir plein de gens

06:50qui n'avaient pas eu l'occasion

06:51de travailler ensemble,

06:52des services,

06:53qui étaient tous autour de la table.

06:54C'est une problématique commune,

06:55on est en crise.

06:56C'était un très bon exercice

06:57et on attend tous Rempart 26.

07:00Merci beaucoup, Hervé Pellarin,

07:01d'avoir été avec nous,

07:02d'avoir témoigné sincèrement

07:04et de nous avoir parlé

07:05de votre métier cruciale.

07:06Et rejoignez la santé.

07:08Voilà, absolument.

07:10Je rappelle que vous êtes le RSSI

07:11de l'hôpital Annecy-Genevoix.

07:13Nous, on enchaîne,

07:14on va parler de l'intelligence artificielle

07:15utilisée dans les cyberattaques.

07:16de l'hôpital Annecy-Genevoix.

SMART CYBER - SMART CYBER, 4e partie du 19 décembre 2025

Catégorie

Transcription

Écris le tout premier commentaire

Recommandations