La partie développement est une faible partie de notre activité. En matière de systèmes d'information, nous développons des solutions quand nous constatons un manque dans les solutions du marché. Par exemple, nous avons développé le portail pour les patients car nous avons considéré que les solutions disponibles sur le marché n'étaient pas facilement intégrables ou n'offraient pas les services qui nous intéressaient. S'agissant du développement du portail pour les patients, nous avons opté d'emblée pour la security by design et la privacy by design. Cela signifie que les équipes de développement, le RSSI et la DPO sont intégrés dans le cycle de développement. S'agissant de l'entrepôt de données de santé, nous intégrons également ces enjeux plus en amont. Cela n'est pas simple. Nous intégrons donc les enjeux de sécurité dans notre cahier des charges et dans notre expression de besoins.
La cybersécurité couvre un sujet beaucoup plus large que celui de nos propres développements. Les dernières attaques montrent que les hackers n'ont pas attaqué un logiciel du marché : ils se sont introduits par des portes dérobées, par des vulnérabilités de logiciels d'infrastructure. Ils n'ont pas attaqué un dossier patient informatisé. Ils sont entrés par une porte, qui était ouverte pour un tas de raisons, et se sont introduits plus avant dans le système. Il faut y réfléchir.
Nous avons mis en place beaucoup d'outils de sécurité. Nous possédons une bonne sécurité périmétrique : cela signifie qu'entrer et sortir de l'AP-HP est compliqué. Nous avons recours pour cela à des outils classiques du marché : nous avons, par exemple, investi, sur le volet antivirus, dans Vade Secure, qui est une entreprise lilloise. Nous possédons quelques très bons acteurs français en la matière mais nous avons du mal à les valoriser. Vade Secure fait partie des leaders mondiaux sur le sujet. Nous avons opéré un vrai choix afin de soutenir une entreprise française. S'agissant de la cybersécurité, l'AP-HP recourt à des outils classiques, conduits des audits – cela est très insuffisant de mon point de vue, mais ce sujet est devenu très prégnant depuis deux ans.