Sécurité IT : un calendrier d’actions

Notons d’une part que ceci étant une circulaire, elle n’a pas force de loi. Cela étant, compte tenu du contexte d’Etat d’urgence que l’on sait, il convient tout de même de prendre en compte ce document sans tarder.

Ensuite, force est de constater que cette liste – en trois parties (6 mois, 12 mois et 18 mois) – doit surtout être vue comme un guide ou une feuille de route, plutôt bien faite et très pragmatique du reste.

Enfin, il faut garder la tête froide, sur les 19 mesures listées au moins 12 à 13 sont totalement satisfaites dans la plupart des CHU, et 3 partiellement réalisées.

L’intérêt d’une telle circulaire est double : d’une part, « racler les fonds de tiroir » des mesures partiellement ou pas du tout mises en œuvre, et pour lesquelles le RSSI a besoin de mettre un coup de booster, et d’autre part sensibiliser les décideurs internes.

Cela étant, entre ce document et la récente instruction (16 novembre 2016) relative aux mesures de sécurisation dans les établissements de santé (dont la partie SI n’est qu’un volet), cela fait toujours plus de pressions sur la sécurisation des SI de santé.

[1] http://circulaire.legifrance.gouv.fr/pdf/2016/11/cir_41533.pdf