Publicité en cours de chargement...
Les procédures dégradées, quelle implication des MOA
Qui écrit les procédures dégradées métier ?
Les métiers, bien entendu. Qui d'autre qu'un médecin sait ce qu'il convient de faire quand l'outil de prescription est inaccessible ? Bien entendu, la DSI peut accompagner, mais la décision de quoi faire, quoi ne pas faire et quoi ressaisir ensuite que le logiciel refonctionne est de la seule responsabilité de la MOA.
Qui décide de passer en procédure dégradée, à partir de quel temps de panne ou d'indisponibilité ?
La MOA bien entendu. Le délai ? Dès lors que la DSI n'est plus capable d'estimer un temps de remise en fonctionnement du système ou quand les délais contractuels de remise en service de la DSI vont être dépassés.
Qui teste la procédure dégradée ?
Une partie des tests techniques peuvent être réalisés par la DSI, mais la partie organisationnelle, prise de connaissance, formation des agents à ces procédures, est de la responsabilité de la MOA et d'elle seule. C'est un point très complexe, surtout dans les grosses organisations.
Qui décide de la plage d'arrêt pour maintenance (qui entrainera le lancement des procédures dégradées) ?
Ce point est délicat: la MOA veut faire cela hors heures ouvrables pour minimiser les perturbations sur le quotidien, mais hors heures ouvrables en cas de soucis (le côté beurrée de la tartine) il y a moins de monde à la DSI sur le pont, et les fournisseurs ne sont pas toujours joignables. Dans l'idéal, les arrêts pour maintenance doivent être classifiés : ceux de moins de 30mn doivent pouvoir être réalisé en journée, alors que les arrêts longs (de 2h à 6h) doivent être positionnés pour moitié hors heures ouvrables, et pour l'autre moitié en heures ouvrables. Ce dernier cas est la seule solution connue pour inciter (fortement) les MOA à jouer (et donc tester) les procédures dégradées.
Qui fait l'analyse post-mortem du bon déroulement des procédures dégradées ?
Il s'agit sans aucun doute d'un travail en binôme entre la DSI et la MOA.
[1] Voir « La sécurité du système d'information des établissements de santé » p150
Avez-vous apprécié ce contenu ?
A lire également.

Le futur de l’IA : Big Crunch, Big Freeze ou TVA ?
12 mai 2026 - 06:50,
Tribune
-C’est un fait : nous finirons tous cramés comme des merguez ou gelés comme des ours polaires.

Cyber-résilience hospitalière : renforcer détection et réponse sans surcharger ses ressources
11 mai 2026 - 11:24,
Actualité
- Fabrice Deblock, DSIHLe secteur de la santé n’est plus une cible secondaire, mais un objectif récurrent pour le cybercrime organisé. Entre les exigences de NIS2 et l’interconnexion croissante des systèmes, la seule détection ne suffit plus à contenir les risques. Les établissements doivent désormais renforcer leur capac...
Centre hospitalier de Moulins-Yzeure : conserver une capacité de coordination lorsque la crise survient
05 mai 2026 - 07:15,
Actualité
- Fabrice Deblock, DSIHPlan Blanc, cyberattaque, intoxication… Les établissements de santé doivent piloter des crises impliquant SAMU, services, direction de garde et partenaires extérieurs. Au CH de Moulins-Yzeure, les solutions CrisiSoft structurent l’alerte, le suivi des ressources et la coordination territoriale.

Fuites de données en France : inquiétant, désabusé…ou espoir ?
28 avril 2026 - 08:10,
Tribune
-En 2025, la France a détenu le record du nombre de fuites de données personnelles (ramené à la population), tout pays de l’OCDE confondu.
