Gouvernance et hackers : les maux d'Aria. Priorités incertaines, peu de force, tant à faire : « Et la planification part en vrille »

Milan – « Nous sommes un organe instrumental qui doit répondre aux demandes de la Région Lombardie . Et nous sommes dans ce jeu. Mais dans ce jeu, la stabilité est essentielle. C'est un peu comme les marchés avec Trump : sans stabilité, la planification est vouée à l'échec. » Des mots clairs, des mots d'un directeur général qui ne parle pas souvent ou volontiers en public : Lorenzo Gubian . Pour être précis, le directeur général d'Aria Spa. Oui, la centrale d'achat lombarde, la même Aria qui ces dernières semaines a été au centre d'une confrontation acharnée entre Guido Bertolaso, conseiller à la protection sociale, le grand accusateur qui a signé un dossier résolument critique sur les performances de la filiale, notamment en ce qui concerne la gestion des appels d'offres pour le système de santé, et Fratelli d'Italia, qui a au contraire défendu ses actions. Gubian est intervenu hier lors de la conférence sur la cybersécurité organisée par le Parti démocrate lombard au Pirellone. Et même sur le front de la cybersécurité, le tableau dressé par la DG n’est rassurant que jusqu’à un certain point. En effet, la cybersécurité, en Aria, fait face à quelques difficultés supplémentaires par rapport aux autres activités car elle constitue une priorité plus « récente » que d’autres.

Quant aux questions de gouvernance d'Aria, Gubian s'y est attardé pendant 4 minutes intenses. « Nous avons besoin d'une planification plus ponctuelle, notamment pour les activités annuelles, entre les bureaux régionaux et les bureaux d'Aria, car très souvent la planification que nous faisons au début de l'année est modifiée et cela ne rend pas les choses très faciles à gérer », a-t-il expliqué. « Modifier la planification à la volée, surtout avec ce volume d’activité et des ressources humaines limitées, n’est pas facile. » Dans le domaine des achats – l'un des domaines mis en avant par Bertolaso ​​– une coordination renforcée est nécessaire. Sans coordination rigoureuse, le fonctionnement d'une partie du système risque d'être réduit à néant par l'absence d'action cohérente d'un acteur qui ne respecte pas les accords. Exemple : « Si, par le biais d’un concours, je vous propose d’acheter 100 prothèses et que vous n’en achetez que 3, j’ai perdu mon temps. Une coordination rigoureuse et une définition claire des rôles sont nécessaires. Les allers-retours, consistant à dire « vous faites ou ne faites pas telle ou telle activité », sont néfastes. Aujourd’hui vous les faites, demain non, puis vous les refaites. Mais si une activité n’est plus nécessaire, je confie une autre tâche aux gens, compte tenu de la pénurie. » Une étape non secondaire est celle de la confiance : « Il est essentiel de pouvoir rétablir un climat de confiance avec les directions régionales, qui existe dans la plupart des directions générales ». Dans « la plupart », pas dans tous. Gubian ne cite pas de noms mais les références semblent évidentes.

Combien en matière de cybersécurité , au cours des premiers mois de 2025, 595 cyberattaques ont déjà eu lieu contre des hôpitaux publics de Lombardie, bloquées par les systèmes de protection d'Aria. L’année dernière, 2 214 attaques ont été perpétrées contre la Région et contre des entités et des entreprises du système régional, qui ont été interceptées et repoussées. Chez Aria, en revanche, les employés affectés à la cybersécurité sont 3 sur 400. Le recours à des experts externes (environ 50) embauchés comme consultants est inévitable. Mais les embaucher n’est pas chose facile : la concurrence est rude, celui qui paie le mieux gagne. Il y a ensuite une question générationnelle : moins de 5% des salariés d'Aria ont moins de 35 ans, moins de 5% appartiennent à des générations particulièrement prédisposées à travailler dans le secteur. « La cybersécurité est aujourd’hui centrale », déclare Pietro Bussolati, conseiller régional du Parti démocrate . « Le fait que chez Aria, seules trois personnes sur plus de 400 employés s'occupent de cybersécurité montre qu'il est difficile de mettre en place une structure stable et adéquate à cet effet. » Enfin, au cours de la matinée, le Centre de Réservation Unique (CUP) a été évoqué. « Le directeur général d'Aria a expliqué la complexité technique de la mise en œuvre du CUP unique, même dans les seuls hôpitaux publics », souligne Pierfrancesco Majorino, chef du Parti démocrate. « Nous sommes désormais encore plus inquiets, car nous ne voyons pas la fin du problème du CUP unique, pourtant essentiel à la gouvernance de l'offre de soins. La responsabilité incombe aux politiques, à Fontana et aux différents conseillers sociaux, qui, au nom du laisser-faire dans le secteur privé, n'ont jamais insisté. » « Il est clair qu'Aria est perçue comme un centre de pouvoir par la FdI et la Lega », conclut Bussolati. « C'est un problème majeur, l'intérêt des Lombards passe avant tout. »