Publicité en cours de chargement...

Axigate-Link juin

Publicité en cours de chargement...

5ème Congrès National de la Sécurité des Systèmes d’Informations de Santé : retour sur 3 journées d’exception (Partie 1)

11 avril 2017 - 10:38,
Tribune - Charles Blanc-Rolin
Le #CNSSIS est le rendez-vous incontournable de tous les acteurs se préoccupant de la sécurité des systèmes d’information de santé, et par conséquent de la sécurité des patients et de leurs données. La cuvée 2017 aura encore été un grand cru ! 21 conférences réparties sur trois jours intenses et très riches en partages, rencontres et réflexions. Ce petit écosystème composé de divers acteurs, éditeurs, intégrateurs, professionnels de la sécurité, médecins, avocats, directeurs d’établissements, RSSI, DSI, représentants de l’état, étudiants, n’ont fait qu’un pendant trois jours pour faire avancer la sécurité des SI de santé. Un congrès éprouvant, car il faut bien le dire, les journées sont longues et les nuits sont courtes, mais tellement enrichissant !

Sur le plan institutionnel, Jean-François Parguet (ASIP Santé) nous a indiqué l’arrivée d’un nouveau référentiel sur l’identification des patients, intégrant la gestion du NIR, qui sera mis en concertation publique par l’ASIP Santé et qui viendra compléter les 20 documents et guides pratiques ainsi que les 2 guides organisationnels (pour les cabinets et petits établissements) qui composent la PGSSI-S.

Philippe Loudenot (FSSI MCAS) et Frédérique Pothier (DSSIS) ont insisté sur l’importance de mettre en place en urgence les actions demandées par la récente instruction ministérielle, même si ces actions font déjà partie de la PSSI MCAS, qui elle est déjà opposable. Philippe Loudenot a également rappelé l’importance de l’homologation de chaque projet SI en effectuant une analyse de risques. « Les risques résiduels doivent être présentés ». « Une bonne gestion des risques permet justement de prendre des risques ». Il a également rappelé que l’homologation doit être un processus qui n’est pas figé ! Le Commandant Michel Dubois (Service de santé des Armées) a d’ailleurs ajouté que le Directeur ne peut décider que sur présentation des risques par le comité d’homologation. Michel Raux (DGOS) préfère d’ailleurs aujourd’hui (et à juste titre) parler de risque numérique.

La question qui aura sûrement le plus fait débat tout au long de ces trois jours, est : « Un établissement doit-il être agréé (et prochainement certifié) pour héberger les données de santé d’un autre établissement de son GHT ? »

Pour Jean-François Parguet et Michel Raux, cela ne fait aucun doute, l’établissement doit absolument détenir ce précieux sésame. Pour Cédric Cartau, le texte stipule que le patient est le patient du GHT et par conséquent, il n’y aurait pas hébergement pour le compte d’un tiers. Des propos soutenus par les trois avocats, Omar Yahia, Marguerite Brac De La Perrière et Pierre Desmarais lors de la table ronde juridique. Cela dépendra de qui sera le responsable du traitement. Une coresponsabilité du traitement serait une solution envisageable. L’hypothèse selon laquelle le GHT ne serait qu’en fait un « méli-mélo juridique » incitant les établissements à fusionner est comme l’an passé, rapidement revenu sur le tapis… Selon Me Omar Yahia, les esprits sont assez mûrs pour que les GHT deviennent une personne morale. Le maître de cérémonie, Vincent Trély a d’ailleurs indiqué que les gros établissements qui se sont essayés à la mutualisation, ont rapidement fusionnés.

Me Omar Yahia a d’ailleurs rajouté qu’en cas de fusion, il n’y aurait plus qu’un seul FINESS juridique et qu’en termes de facturation, il y aurait forcément des diminutions côté établissements. Par conséquent, selon lui, ce serait donc l’assurance maladie la grande gagnante de ces fusions. Ce qui a laissé un grand sourire sur le visage de Lazaro Pejsachowicz, ancien président du CLUSIF et surtout ancien RSSI de la CNAMTS.

Toujours sur le sujet de l’hébergement, j’ai noté deux remarques pertinentes qui « convergent » et me confortent dans mon idée.
Cédric CARTAU : « Aujourd’hui, aucun agrément n’est demandé à un établissement pour héberger ses propres données ».
Commandant Michel Dubois : « Ce n’est pas parce que l’agrément n’est pas obligatoire pour héberger les données du GHT qu’il ne faut pas se mettre au niveau ».
Tout le monde s’accorde à dire qu’à termes, la certification ISO 27001 qui fait déjà partie des exigences requises pour la certification HDS, sera une exigence pour héberger des données de santé, que ce soit pour son propre compte ou pour le compte d’un tiers.

Je vous donne rendez-vous dans un prochain billet pour la suite du résumé de ces 3 jours intensifs de réflexion autour de la sécurité des SI de santé.

Petite anecdote rigolote, le hasard (ou pas, laissons un peu planer le doute) faisant souvent bien les choses, le site Internet lemans.org permettant d’acquérir en ligne des billets pour les manifestations sportives se déroulant sur le légendaire circuit du Mans, corrige quelques heures après le passage du congrès dans son enceinte, une énorme fuite de données [1]….

 [1] http://www.zataz.com/fuite-de-donnees-consultation-des-factures-clients/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Illustration En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

24 juin 2025 - 18:00,

Tribune

-
Cédric Cartau

Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.