Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

GHT : stratégie de convergence SSI, partie I

13 mars 2018 - 10:16,
Tribune - Cédric Cartau
La loi de santé 2016 impose, au sein d’un GHT, une convergence des SI. Après moult discussions, la notion de convergence est entendue par les pouvoirs publics comme un logiciel unique (le même) pour couvrir un besoin fonctionnel. OK OK, on peut ergoter sur ce qu’est un logiciel et jouer sur les mots entre modules, logiciels, progiciels ou que sais-je, mais la direction semble claire.

En revanche, quid de la sécurité des SI ? On conçoit facilement que si le SI converge, c’est que la SSI doit elle aussi s’aligner. Pas question de mettre à disposition de plusieurs établissements le même DPI si certains d’entre eux ne maîtrisent pas les identifiants des utilisateurs : présence de logins génériques, incapacité à s’assurer que les personnes ayant quitté l’établissement ont leurs accès verrouillés, etc.

Le nerf de la guerre, dans une démarche SSI structurée tout bien comme il faut, c’est le triptyque appréciation des risques/suivi des actions/audit. Intéressons-nous aux audits puisqu’ils constituent un bon moyen à la fois de mesurer, de communiquer et d’alimenter les deux autres volets de la démarche. 

Ce qu’il ne faut pas faire : lancer des audits mégalos, le genre qui vous consomme des dizaines de journées de consultant externe, au moins autant en interne (car les consultants ne travaillent pas ex nihilo) et vous produisent des rapports de 200 pages inexploitables. Mauvaise stratégie.

Ce qu’il faut faire : pratiquer la pingrerie comme un art, doublée d’une fainéantise terrible sur le périmètre à couvrir, la taille du rapport et la liste des mesures correctives. Par exemple, dans le genre des outils que j’adore, je ne saurais trop conseiller PingCastle (https://www.pingcastle.com) pour auditer un AD. Un utilitaire à installer sur un PC banalisé, un compte de connexion sans privilèges particuliers, et quelques minutes plus tard vous avez un joli petit rapport (avec des camemberts en couleurs tout mignons, oui madame) listant les plus grosses vulnérabilités de votre AD (si vous croyez que votre AD est propre, vous croyez aussi que Casimir a vraiment existé et que les filles naissent dans les choux et les garçons dans les roses – ou l’inverse). À partir de là, il « suffit » (!!!) de prendre les 20 % des vulnérabilités les plus criantes, de les corriger… et de recommencer le mois suivant.

Pour qui veut s’en donner la peine, le Web regorge d’outils du même tonneau, auxquels on pourra trouver certes tous les défauts du monde (comme celui, par exemple, de ne pas être au catalogue des grands cabinets d’audit), mais quand ces outils ne remonteront plus rien sur nos infras, c’est que l’on aura franchi un cap, que dis-je, une péninsule.

La montée en maturité de la SSI d’un GHT passe nécessairement par une stratégie comme celle-ci : il va être impensable de consommer autant de jours payants par établissement que compte un GHT, pour autant d’audits, pour autant de mesures, sans ETP supplémentaires pour gérer le tout et encore moins les budgets, qui sinon risquent d’exploser.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Avec le robot Da Vinci à incision unique, l'IPC renforce son leadership en chirurgie mini-invasive

Avec le robot Da Vinci à incision unique, l'IPC renforce son leadership en chirurgie mini-invasive

22 sept. 2025 - 21:54,

Communiqué

- L’Institut Paoli-Calmettes (IPC)

L’Institut Paoli-Calmettes franchit une nouvelle étape dans l’innovation chirurgicale en devenant le quatrième établissement en France et le premier en région PACA à s’équiper du robot chirurgical Da Vinci Single Port (SP). Cet appareil de chirurgie robot-assistée, doté d’une caméra assurant une vis...

Illustration La plateforme de télémédecine Rofim lève 10 millions d’euros pour poursuivre sa croissance et internationaliser son activité

La plateforme de télémédecine Rofim lève 10 millions d’euros pour poursuivre sa croissance et internationaliser son activité

15 sept. 2025 - 22:03,

Actualité

- Propos recueillis par Mehdi Lebranchu et Pauline Nicolas

Pensée par et pour des médecins en 2018, Rofim est une plateforme de télémédecine qui regroupe désormais six modules afin de permettre aux patients de recevoir le juste soin, au bon endroit, au bon moment et par le bon professionnel de santé. En cette rentrée 2025, Rofim annonce une levée de fonds d...

Illustration ESMS numérique : l’instruction du 5 septembre donne un nouveau cap pour 2025

ESMS numérique : l’instruction du 5 septembre donne un nouveau cap pour 2025

08 sept. 2025 - 23:17,

Actualité

- DSIH

Une nouvelle instruction (1) ministérielle, publiée le 5 septembre 2025, modifie en profondeur les modalités de financement du programme ESMS numérique. Elle rebat les cartes pour les établissements d’accueil, d’hébergement et d’insertion (AHI) et redistribue une enveloppe budgétaire désormais porté...

Illustration PHAST pour la mise en œuvre des terminologies LOINC et SNOMED CT

PHAST pour la mise en œuvre des terminologies LOINC et SNOMED CT

26 août 2025 - 08:46,

Actualité

- DSIH, Damien Dubois

Fin juillet, l’opérateur d’interopérabilité sémantique PHAST a annoncé la sélection de son consortium par l’Agence du numérique en santé pour porter le marché de la mise en œuvre des terminologies LOINC et SNOMED CT.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.