Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

En Bretagne, gros temps sur les hôpitaux

20 mars 2017 - 10:05,
Tribune - Cédric Cartau
Le Télégramme de Brest titre[1] :« Manque de sécurisation des salles hébergeant les serveurs informatiques, données sensibles qui se promènent... Un rapport de la chambre régionale des comptes pointe du doigt plusieurs failles dans la sécurité informatique des hôpitaux. » A priori, sale temps sur certaines DSI, mais l’article mérite tout de même une analyse un peu plus poussée.    

La Cour des Comptes (CC) n’est pas réputée pour faire le travail à moitié, et en lisant l’article susnommé l’impression ne se dément pas : les auditeurs sont allés regarder dans les recoins, et le résultat est bien plus fiable qu’un dossier Hôpital Numérique (HN), qui rappelons-le n’est jamais que déclaratif sans contrôle sur pièce à la clé. Il serait d’ailleurs intéressant de connaître lesquels de ses hôpitaux émargent au plan HN, il n’est pas impossible que certaines surprises soient au rendez-vous, entre l’affichage et la réalité constatée par la CC… 

Cela étant, il convient tout de même de faire la distinction, parmi les points relevés par la CC, entre ce qui relève de la zone d’humiliation – pour reprendre une expression chère à Alexandre FERNANDEZ-TORO, le pape de l’ISO 27000 en France – et ce qui relève d’un plan d’amélioration certes objectif, mais moins urgent. 

Dans la zone d’humiliation, l’article du Télégramme signale que certaines salles informatiques se trouvent sous le niveau de la rivière locale. Vérification faite dans le rapport de la Chambre[2], le rapport mentionne plus précisément que la salle hébergeant le coeur de réseau redondé est « situé aux abords de la rivière XXX, le bâtiment a été sécurisé contre les risques d’inondations tout en étant équipé de pompes de relevage. » Doit-on en déduire que la salle en question est en zone inondable ? Si tel est le cas, comment peut-on, au XXIème siècle, trouver encore ce genre de datacenters ? Certes la place est comptée dans un CH, mais je rappelle que même une salle de secours doit se trouver dans un endroit sécurisé : en cas d’inondation, le CH se retrouverait sur une seule patte informatique, ce qui une situation potentiellement grave. 

Dans la même zone on trouve les droits des agents qui ne sont pas supprimés après leur départ. Oui c’est une humiliation, car connecter le logiciel RH à l’AD, on fait cela depuis plus de 10 ans, et cela ne coûte pas un radis en investissement, si l’on excepte les quelques jours d’ingénieurs pour réaliser l’interface et la tester. 

La gestion des droits utilisateurs défaillante, par contre, cela n’est pas – selon moi -à ranger dans le même sac. Pour avoir participé dans mon établissement à un des plus gros projets IAM, je sais que ce sujet est particulièrement complexe, même s’il est vrai que le gros du travail peut être assez rapidement automatisé. 

Mais le principal problème n’est-il pas l’atomisation des établissements et des DSI ? Dans les établissements cités (Quimper, Morlaix, Lorient, Pontivy, Ploërmel (56), Vitré (35), Fougères (35), Cancale (35) et Paimpol) on en trouve certains dont la DSI fait moins de 7-8 personnes, et on sait qu’en dessous de 10 la vie n’est plus tenable. 

Et s’il n’y avait que cela. En 2008, j’officiais au CHU de RENNES. L’un des établissements cités (et je ne dirai pas lequel, mais c’est un de ceux dont la DSI faisait justement moins de 5 agents à l’époque) avait renouvelé son système de sauvegarde. Pas un – je dis bien pas un seul – des agents de ladite DSI n’a eu la présence d’esprit de contacter le CHU (pourtant à moins de 45mn de route) pour avoir un avis sur la solution qu’il comptaient mettre en place, avis qu’on leur aurait donner avec plaisir et sans contrepartie. Sans parler de cet autre (je ne dirai pas qui, DSI d’environ 10 agents) qui avait investi dans un système (je ne dirai pas lequel) que dans mon CHU on avait abandonné 4 ans auparavant car nous n’avions pas les moyens humains pour l’exploiter. 

C’est peut-être cela le mal des DSI hospitalières : 1000 clochers, 1000 petits chefs et aucune gestion des fournisseurs qui interviennent en salle informatique.

[email protected]


[1] http://www.letelegramme.fr/bretagne/cyber-securite-des-hopitaux-passoires-15-03-2017-11434523.php#closePopUp 

[2] https://www.ccomptes.fr/Publications/Recherche-avancee/(SearchText)/CRC%20bretagne%20hôpitaux 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.