Sécurité des SI de santé : état normatif ou la fin annoncée du bricolage

Les établissements qui échappent encore à cette réglementation (notamment les établissements psychiatriques) sont pour certains dans une situation financière plus que délicate ; j’en connais même qui sont dans une situation de quasi-tutelle qui ne dit pas son nom, preuve que la rémunération par l’activité est une pratique saine.

Il n’en reste pas moins qu’une fois ce système généralisé il ne reste plus aux pouvoirs publics qu’à jouer sur les tarifs pour serrer la vis, progressivement mais sûrement. N’est-ce pas aussi ce qui est en train de se produire côté SI et surtout côté sécurisation de nos SI ? Il aura fallu 15 ans à la T2A, mais les signes avant-coureurs ne trompaient pas : en ce moment, il faudrait être assez aveugle pour ne pas voir, dans la série de mesures qui s’annoncent, des signes précurseurs de changement d’époque, sur la sécurité des SI aussi. Que l’on en juge.

Les changements de réglementation Cnil introduisent deux modifications majeures : l’obligation de déclarer des incidents de sécurité, et des amendes non plus forfaitaires mais basées sur un pourcentage du budget de l’établissement incriminé. Bien entendu, il y a aussi l’évolution d’ici à deux ans du CIL vers la notion de DPO, pour laquelle beaucoup de points sont encore en débat concernant leur interprétation ou leur impact, sujet de l’excellente vidéo de M^e Alain Bensoussan[1].

La loi de santé 2015 introduit elle aussi une obligation de centralisation des obligations Cnil sur la tête de l’établissement support ainsi qu’un signalement obligatoire des incidents de sécurité, de toute nature cette fois. Certes, peu de détails pour le moment sur ces incidents : de quelle nature, de quel niveau de gravité, à qui les signaler, etc. Il y a plus de flou que pour la réglementation Cnil évoquée ci-dessus (un incident Cnil, c’est typiquement une fuite de données nominatives), mais on sent bien le vent tourner.

La modification annoncée du décret hébergeur, qui selon les dernières informations va passer d’un mode d’agrément de type déclaratif à un mode de certification, basé en grande partie sur l’ISO 27000 et en mode contrôle sur site, va laisser des hébergeurs agréés sur le carreau. Ce n’est pas tout à fait la même chose en effet que de remplir (ou de faire remplir par un prestataire externe) un dossier de 800 pages en mode déclaratif, que de subir un audit sur pièce et sur site de trois à six jours (en fonction de la taille de l’équipe d’hébergement), avec deux auditeurs chevronnés qui vont fouiller dans les coins.

La certification des comptes (CICF) introduit également des changements majeurs pour les DSI, les obligeant par exemple à formaliser et à réévaluer périodiquement des éléments que, la plupart du temps, elles mettaient sous le tapis : politique d’attribution des comptes à privilège, mise sous séquestre des comptes génériques, réévaluation des comptes nominatifs, etc.

Enfin la certification HAS avait fait un « saut quantique » en passant de la version 2010 à la version 2014 : le chapitre sur la SSI est en effet passé de trois questions fastoches à douze questions trapues. 

Je ne peux pas m’empêcher de trouver, dans les dernières déclarations de la ministre, Marisol Touraine, la continuité de cette mouvance : « Considérant que “la sécurité est la condition sine qua non de la confiance et de l’acceptabilité de l’innovation”, Marisol Touraine a annoncé la publication d’un “plan d’action sur la sécurisation des systèmes d’information en santé”, qualifié d’“élément essentiel de la continuité et de la sécurité des soins”[2]. »

Bref, tout annonce la fin des bricolages et des arrangements entre amis. Et en tant que contribuable et patient de ce pays, je ne peux qu’approuver.

[1] https://youtu.be/MFBm1KpXsJ0 

[2] TicsIC Santé.com, dépêche du 04/07/2016.