Stratégie

Données, cybersécurité, talents, les défis des DSI pour 2022

Jean-Christophe Calvo, chef du département transformation numérique au CHRU de Nancy : « L’IA est un enjeu qui concerne l’hôpital tout entier, avec derrière une transformation des métiers. »

À l'occasion d'un webinaire organisé par Virage Group, deux décideurs IT, Jean-Christophe Calvo du CHRU de Nancy et Stéphane Jullien, d'In Extenso, ont partagé leurs projets et enjeux pour 2022. Ils évoquent notamment les données, la cybersécurité ou encore les défis en matière de recrutement de talents IT.

PublicitéA priori, il y a peu de choses en commun entre un système d'information hospitalier et celui d'un groupe d'expertise comptable. Toutefois, les DSI des deux organisations possèdent de nombreuses préoccupations partagées, comme l'ont montré les témoignages de Jean-Christophe Calvo, chef du département territorial de la transformation numérique et de l'ingénierie biomédicale au CHRU de Nancy, et de Stéphane Jullien, DSI du cabinet d'accompagnement comptable et juridique In Extenso, lors d'un webinaire organisé par l'éditeur Virage Group le 7 décembre. En évoquant leurs projets récents et leurs enjeux pour 2022, tous deux se sont rejoints à de multiples reprises. Au coeur de leurs feuilles de route respectives figurent notamment les données, la cybersécurité ou le recrutement de talents IT, des défis que rencontrent actuellement la majorité des décideurs IT.

Avec près 9000 professionnels et 11 établissements différents, le CHRU de Nancy est le centre hospitalier régional universitaire de référence dans la région Grand Est et le premier employeur de Lorraine. Le département territorial de la transformation numérique et de l'ingénierie biomédicale, confié à Jean-Christophe Calvo, assure entre autres la gestion d'un système d'information comptant plus de 250 applicatifs métiers, l'ingénierie et la maintenance de près de 26 000 équipements biomédicaux ainsi que la coordination de tout l'accompagnement médico-administratif du patient. « Tous nos dispositifs et logiciels génèrent de la donnée, c'est pour nous un enjeu fort », a pointé Jean-Christophe Calvo en présentant le CHRU. « Aujourd'hui, les données sont éparpillées dans l'ensemble de nos applications : dossier patient informatisé (DPI), système pour la biologie, application pour la radiologie, outil pour la gestion des urgences... », décrit le DSI. Le département de Jean-Christophe Calvo a déjà mis en place une couche de requêtage avancé, qui permet d'aller beaucoup plus vite pour extraire des cohortes de patients de tous ces systèmes, en vue d'alimenter des études multicentriques sur différents établissements.

Développer les cas d'usage autour de l'IA

Le CHRU a également un projet d'entrepôt de données. Interrogé sur le Health Data Hub, la plateforme nationale pour le partage des données, créée en 2019, Jean-Christophe Calvo estime que disposer d'un grand entrepôt de données à l'échelle nationale, avec les données de la CPAM, est une nécessité pour le secteur de la santé. « Pour nous, le Health Data Hub est avant tout un environnement de travail. Cela nous permet de croiser les données hospitalières avec le reste du parcours des patients, et nous allons travailler sur les premiers cas d'usage en 2022. Nous avons saisi cette opportunité pour accélérer notre projet d'entrepôt, dans une réflexion territoriale qui va au-delà du GHT. En effet, quasiment tous les établissements du quart nord-est de la France utilisent le même entrepôt de données. » Le projet de nouvel hôpital à Nancy, en vue de regrouper les différents établissements sur un seul site, a fourni une autre opportunité pour enrichir cette base scientifique en construction avec des données issues des archives. En effet, le bâtiment qui héberge aujourd'hui les archives papier, occupant 42 km en linéaire, va être rasé. « Pour nous, c'est l'occasion d'optimiser notre politique zéro papier. Il s'agit de voir quels documents sont pertinents à numériser dans des dossiers qui peuvent compter une centaine de pages », indique Jean-Christophe Calvo.

PublicitéLa centralisation des données ouvre la voie à de nombreuses applications, notamment autour de l'intelligence artificielle (IA). « L'IA fait aujourd'hui plus que toquer à la porte, elle est très présente, avec des applications dans l'imagerie et bien d'autres cas d'usage », observe Jean-Christophe Calvo. « Il y a deux ans, nous avons ouvert une école d'intelligence artificielle pour la santé, avec Microsoft et Simplon. Les jeunes chercheurs en médecine nous présentent des projets très variés, où l'IA peut apporter des réponses. La technologie est prête, mais il nous manquait la donnée de masse. » Le département de Jean-Christophe Calvo a récemment travaillé avec le laboratoire du sommeil du CHRU afin de tester l'IA sur des données d'électroencéphalogrammes (EEG), en vue de reconnaître les différentes phases du sommeil. Le taux de reconnaissance obtenu s'est révélé supérieur à 95%. « Utiliser l'IA pour classifier la donnée permet aux soignants d'arrêter des tâches laborieuses à faible valeur ajoutée pour se recentrer sur leur vraie valeur ajoutée. C'est un enjeu qui concerne l'hôpital tout entier, avec une transformation des métiers », estime Jean-Christophe Calvo.

Faire converger les applicatifs

Dans un tout autre secteur, In Extenso rencontre également des défis autour du traitement des données et de la dématérialisation. Ce cabinet présent sur l'ensemble du territoire français propose un accompagnement sur la comptabilité, la fiscalité, la paie et le domaine juridique à 140 000 clients TPE et PME et il génère plus de 230 000 bulletins de salaire chaque mois. Pour ce groupe comptant 5 800 salariés, qui édite également ses propres logiciels, la place du numérique est très importante. « Contrairement à ce que l'on pourrait penser, la comptabilité et la paie ne sont pas des univers statiques, les changements sont fréquents et les processus se digitalisent de plus en plus. Nous sommes une profession réglementée, sur un marché où les clients ont une approche principalement basée sur les coûts et volumes. Néanmoins, il nous faut tout de même chercher des relais de croissance, des nouveaux services à leur proposer. Nous accompagnons par exemple nos clients sur la facture électronique ou la dématérialisation des bulletins de paie », indique Stéphane Jullien. Sur le plan technologique, les systèmes et les pratiques évoluent. L'État lui-même impose des évolutions, notamment sur les échanges de données. « Il ne faut pas rester à la traîne. Même si la technologie n'est pas notre coeur de métier, nous devons suivre. Nous avons par exemple mis en place un data lake. L'activité comptable génère traditionnellement beaucoup de documents, cela tend à disparaître, pour aller vers le traitement de flux », observe le DSI. Tout comme au CHRU, ces changements technologiques s'accompagnent de transformations sur le plan humain. « Des tâches comme la saisie de factures tendent à disparaître, il faut donc former et réorienter les collaborateurs vers d'autres activités, comme le conseil », illustre Stéphane Jullien.

Le deuxième défi commun aux deux organisations concerne la convergence des applications. « Le plus grand défi de 2022 pour moi est de réunir nos applicatifs historiques (paie, comptabilité, gestion de caisse, notes de frais, etc.) en un seul environnement intégré. Nous lançons des investissements massifs dans ce but, c'est tout un écosystème à rassembler », confie Stéphane Jullien. « Pour 2022, l'un des gros sujets est de poursuivre la convergence des systèmes d'information des différents établissements du territoire, initiée à la suite de la loi de modernisation du système de santé de 2016 », affirme de son côté Jean-Christophe Calvo. « Il s'agit de ne plus avoir qu'une seule grande application par domaine fonctionnel : un dossier patient informatisé (DPI), une application de paie, une application de brancardage, etc. », poursuit-il. Le schéma directeur élaboré pour répondre à ces obligations représente un investissement conséquent, aussi bien financier (avec un budget de 17 millions d'euros) qu'humain. En 2022, le CHRU a prévu de finaliser une brique majeure du socle, le DPI, en cours de déploiement à l'heure actuelle. « Au-delà du simple logiciel, l'enjeu est l'harmonisation des pratiques et des manières de recueillir les données », souligne le chef du département. « Il s'agit aussi d'accompagner le patient dans ses déplacements, pour bâtir une vraie logique de parcours. »

Investir dans la cybersécurité, une priorité

En parallèle, les organisations doivent moderniser leurs infrastructures. Chez In Extenso, un gros projet a été mené en 2021 sur la partie réseau. « Avec 255 agences physiques implantées sur l'ensemble du territoire français, la connectivité est un enjeu important. Le réseau français est assez disparate. Or, quand on est en mode centralisé et full-SaaS, il est nécessaire d'avoir un réseau qui tient la route. Cette année, nous avons achevé un gros projet de déploiement SD-WAN sur 700 lignes Internet, dont l'objectif était également d'anticiper l'arrivée de la 5G », relate Stéphane Jullien. La résilience du réseau joue en effet un rôle important pour se prémunir contre certains aléas, comme les inondations. « Chaque année, celles-ci coupent certaines agences du monde durant quelques jours. La 5G peut nous offrir une alternative aux réseaux filaires dans de tels cas », estime Stéphane Jullien. Le CHRU a quant à lui prévu de mutualiser ses infrastructures, pour passer de 22 salles serveurs à deux datacenters reliés en fibre noire. Pour le centre hospitalier, cette rationalisation va également faciliter la prise en compte d'un autre enjeu clef, la cybersécurité.

« Chaque semaine, nous observons des cyberattaques. Il faut poursuivre les investissements en cybersécurité, même si nous savons que ce sera toujours insuffisant, et il faut en faire bénéficier tous les établissements du territoire », souligne Jean-Christophe Calvo. Pour celui-ci, les nombreuses attaques qui ont touché des établissements de santé au cours des dernières années ont permis de faire évoluer les mentalités dans le secteur. « Les collaborateurs acceptent mieux par exemple que les web mails soient coupés. Nous recevons plus de 3,4 millions de mails par mois, pour en laisser passer 300 000. L'enjeu aujourd'hui est de se doter d'autres outils, pour se prémunir au moment où une cyberattaque va arriver. Nous cherchons en particulier à renforcer les capacités de redémarrage des établissements. Il y a d'ailleurs un AMI (appel à manifestation d'intérêt) de l'État sur la cybersécurité des territoires, auquel nous avons répondu avec la région Grand Est, le conseil départemental des Vosges et Pulsy, portant sur la détection de signaux en vue d'anticiper et de redémarrer rapidement », témoigne Jean-Christophe Calvo. Celui-ci pointe également la difficulté pour chaque établissement de gérer un sujet aussi complexe que la cybersécurité à son seul niveau, en rêvant « d'avoir un seul tuyau filtrant les entrées / sorties, et qui serait géré par l'État ».

Lors du webinaire, Stéphane Jullien, DSI d'In Extenso, a partagé les enseignements tirés de la cyberattaque vécue en 2021.

Se battre contre des cybermalfaiteurs professionnels

Chez In Extenso, la cyberattaque redoutée est malheureusement survenue. En avril 2021, le groupe a fait partie des victimes du cybergang REvil, une expérience que Stéphane Jullien a évoquée en toute franchise. Comme tous les DSI et RSSI qui ont vécu de tels événements, il témoigne que cela fait un « drôle d'effet d'être appelé à une heure du matin et d'apprendre que toute sa production a été cryptée, il faut le supporter humainement ». Malgré tous les investissements effectués en cybersécurité, à un moment donné chacun peut tomber sur plus fort que lui, a rappelé le DSI. « Tous types d'attaques confondues, nous observons près d'un million de tentatives par an, sur les derniers jours nous en sommes à 41 000 », indique-t-il. « Il ne faut pas être naïf. La question n'est pas de savoir si des cybermalfaiteurs vont réussir à rentrer, mais quand », rappelle Stéphane Jullien, qui confie avoir été surpris par la qualité de l'attaque. « On est très loin du mail bourré de fautes que tout le monde imagine. Il s'agissait de social engineering très bien fait, avec un numéro de ticket existant, sur un client existant et sur un sujet qui n'était pas clôturé. On est loin de l'amateurisme ». Il souligne que le groupe REvil a fait jusqu'à 150 millions d'euros de chiffres d'affaires. « Quand ils recrutaient un développeur, ils le payaient un million d'euros par an. Ce qu'il faut comprendre, c'est que c'est un business, que nous avons affaire à des professionnels, qui ont un enjeu de retour sur investissement par rapport aux montants investis pour s'introduire dans les systèmes d'information de leurs cibles », insiste Stéphane Jullien.

Pour le DSI d'In Extenso, la meilleure défense face à un tel événement est de se remettre d'aplomb sans payer la rançon, afin de casser le ROI. De cette expérience, Stéphane Jullien retient deux choses : d'une part, tant que l'entreprise n'est pas attaquée, il est très compliqué d'arriver devant un conseil d'administration pour demander d'investir une somme importante en vue de sécuriser le système. « Le MFA (authentification multifactorielle), l'EDR (endpoint detection and response) ont un coût, il est difficile de faire comprendre que c'est utile quand l'organisation n'a pas rencontré de soucis depuis plusieurs années. Il faut expliquer que ce sont des professionnels contre lesquels nous devons nous battre ». L'autre enseignement, c'est l'importance des sauvegardes. Par chance, la DSI avait mis en place des sauvegardes biquotidiennes délocalisées sur un autre domaine, ce qui a permis à l'entreprise de reconstruire ses systèmes sans perte de données, ni vol, grâce à d'autres outils adéquats. Le groupe a tout de même connu une interruption de ses activités, le temps de la remise en route, dans une période de clôture fiscale. « Les cybermalfaiteurs n'attaquent pas n'importe quand, ils choisissent leur moment », observe Stéphane Jullien. « Nous avons aussi mis à jour tous nos anciens serveurs. Un tel événement est l'occasion de remettre tout à plat : en un mois, nous rattrapons dix ans de dette technique, mais dans la souffrance. Mes équipes ont cumulé près de 300 heures de travail en quelques jours », confie-t-il également.

DSI, une fonction passionnante et un défi en soi

Un dernier défi commun concerne les talents. Confrontés l'un comme l'autre à de nombreux départs en retraite au sein de leur organisation, les deux DSI évoquent des enjeux en matière de recrutement et un marché de l'emploi tendu. « La vraie difficulté c'est d'embaucher des talents. Même si techniquement nous faisons des choses innovantes, cela reste compliqué de vendre de la comptabilité et de la paie. Il m'arrive même de devoir vendre des projets à des prestataires », témoigne par exemple Stéphane Jullien. Celui-ci souligne aussi l'importance du travail hybride pour attirer des candidats : « Aujourd'hui c'est la norme, il n'y aura pas de retour en arrière. Nous avons deux jours hebdomadaires de télétravail chez nous. Soit on est capable de le faire, soit on est condamné », estime-t-il. « Les ressources humaines sont également un challenge pour nous, même si nos métiers IT sont passionnants », acquiesce Jean-Christophe Calvo. « Aujourd'hui, ce n'est pas de main-d'oeuvre dont nous avons besoin, mais plutôt d'expertise sur la sécurité, la réglementation ou l'accompagnement d'ateliers. Sur le volet financier, des réflexions sont en cours pour harmoniser les grilles de salaires, pour je l'espère rendre les postes IT à l'hôpital plus attractifs. »

En conclusion du webinaire, Jean-Christophe Calvo comme Stéphane Jullien ont tenu tous deux à souligner la dimension passionnante de leur fonction, mais aussi les défis associés. « Être DSI est un défi en soi, avec des enjeux à la fois organisationnels, technologiques et de ressources humaines. Certains défis sont inhérents à notre métier, avec des organisations qui changent, des réglementations croissantes, des enjeux de sécurité, sans compter les facteurs environnementaux comme la crise du Covid-19 », estime Stéphane Jullien. Pour Jean-Christophe Calvo, 2022 va être une année de concrétisation pour de nombreux projets. Il place aussi beaucoup d'espoirs autour de l'IA. « Le contexte Covid ne va pas nous empêcher d'avancer, pour l'IT c'est une source d'opportunités. » De son côté, Stéphane Jullien espère que 2022 sera une année de réflexion. « Il y a tellement de sujets à adresser, il faut oser et lancer des projets, aller sur l'IA ou d'autres domaines sans se mettre de limites. »