Publicité en cours de chargement...

Publicité en cours de chargement...

5ème Congrès APSSIS : retour sur 3 journées d’exception (Partie 2)

18 avril 2017 - 11:24,
Tribune - Charles Blanc-Rolin
Comme évoqué la semaine dernière dans la première partie de ce retour sur le #CNSSIS(1), l’hébergement de données de santé et la certification ISO27001 ont fait partie des grands sujets de ce congrès.

Sébastien Herniote (Orange Cyberdéfense) a présenté lors d’une brillante conférence, les exigences de la certification hébergeur de données de santé qui viendra remplacer l’actuel agrément (voir ordonnance du 12 janvier 2017) d’ici 2018 ou 2019 au plus tard. Nous attendons le décret qui indiquera la date d’entrée en vigueur, d’ici à la fin de l’année a-t-il souligné.
La certification reprend le socle du référentiel ISO 27001 auquel vient s’ajouter des critères piochés dans les normes ISO 27002, 20000, 27018, ainsi que des exigences spécifiques au secteur de la santé.
Sur le plan économique, cet « ancien de l’ANSSI » a présenté une comparaison entre le coût de l’agrément et celui de la certification sur un cycle de trois ans :

Pour l’agrément : 80 jours / homme – 20 000€
Pour la certification : 250 jours / homme – 100 000€

Il a également rappelé que la certification n’attestait en aucun cas d’un niveau de sécurité mais bien de la mise en place d’un système de management de la sécurité et de bonnes pratiques. « Ce n’est pas de la sécurité opérationnelle ».
Les applications hébergées en mode SAAS ne pourront être certifiées HDS car l’hébergeur ne doit pas accéder aux données. Jean-François Parguet (ASIP Santé) a rajouté : « Vérifier le périmètre en cas d’infogérance est primordiale ».

Philippe Tourron, RSSI de l’AP-HM, seul établissement de santé public à disposer de la certification ISO 27001 à l’heure actuelle, a exposé son travail et nous a fait part de son excellent retour d’expérience. Selon lui, le risque numérique doit être géré au même niveau que le risque sanitaire.
Il a insisté sur l’importance de commencer avec un petit périmètre.
À l’AP-HM, le processus de certification s’est fait par étape, DPI en 2012, imagerie en 2014 pour atteindre l’ensemble de l’hébergement en 2017.
C’est avant tout un travail sur les hommes et l’organisation :
« Il a fallu passer de la paillote sur la plage à l’étoilé au Michelin avec les mêmes cuisiniers et les mêmes serveurs ». « Il faut avoir des relais, « référents sécurité » dans chaque service ».
La construction de l’ISO 27001 : après détermination du périmètre repose sur trois forces, les hommes, les processus et les techniques pour atteindre la cible.
La gestion des risques a été séparée en deux grandes parties :

  •  l’amélioration suite à incidents à l’aide d’une fiche d’incident majeur
  • l’analyse de risques en amont de chaque projet. Pour cela, des créneaux de « consultation » de 30 minutes avec le RSSI ont été mis en place. Les chefs de projets doivent remplir au préalable une fiche d’analyse de la sécurité du SI, qui permettra d’avancer rapidement sur l’analyse de risque avec le RSSI

On retiendra l’attaque par déni de service (DDOS) pendant cinq minutes sur les accès Internet des établissements de tous les participants du congrès, mise en place pendant cette conférence dans le but de faire travailler la salle à une analyse de risque EBIOS.

Toujours sur le plan technique, les très pertinentes démonstrations du Commandant Michel Dubois (Service de santé des Armées) resteront sûrement dans les mémoires, notamment l’infection par un cryptovirus sur une machine Windows ou encore la possibilité de géo-localiser un bus américain en temps réel, grâce aux faiblesses de l’informatique embarquée et connectée dont il est équipé.
On se souviendra également des élèves du master Cryptis de l’Université de Limoges, vainqueurs du récent Hackathon organisé par 3il et le SILPC, qui ont présenté leur projet d’authentification forte « sans fil » sur smartphone et tablette avec une carte CPx (CPS / CPE / CPA), qu’ils ont réussi à développer avec l’aide de l’ASIP Santé en seulement 48 heures ! Belle prouesse technique !

Et pour finir, la vision du corps médical, avec le Docteur Jacques Lucas (Vice-Président du CNOM) et le Docteur Valérie Serra-Maudet (Chef de Service en Chirurgie - Chef de projet numérique au CH du Mans) qui ont « remis les pendules à l’heure » !

Quelques citations « chocs » à méditer :

Docteur Valérie Serra-Maudet :

« Le RSSI doit être plus présent sur le terrain »
« Il faut plus de sensibilisation »
« Je suis d’accord sur le fait qu’il vaut mieux faire de la sécurité plutôt que d’avoir un RSSI, pour dire j’ai un RSSI »
« Les jeunes médecins veulent trop d’outils numériques pour lesquels ils n’ont pas conscience des dangers »
« La sécurité se joue sur le terrain »
« La sécurité doit rimer avec exhaustivité »
« Certains médecins oublient que leur jugement est plus utile que ce qui est écrit sur un écran »

Docteur Jacques Lucas :

 « Des machines dotées d’une intelligence algorithmique pourraient-elles se substituer au médecin ? »
« Quels sont les bénéfices des objets connectés ? Sur le plan médical, le CNOM ne constate pas d’amélioration »
« Comment se protéger des menaces ? Comment préserver le secret médical ? »
« Le termes médical porte à confusion car le secret n’est pas porté que par le médecin. C’est d’ailleurs le secret du patient et non celui du médecin »
« Quand on télécharge une appli, personne ne lit les conditions d’usage avant de cliquer sur j’accepte »
« Contrairement au médicament, il n’y a pas de demande d’autorisation de mise sur le marché pour les applis »
« Le numérique doit être intégré très vite dans le cursus d’apprentissage des médecins »
« Il faut mettre de l’humanité dans le traitements des données »
« Il faut établir des règles de bonne pratiques au lieu d’attendre les contentieux pour faire avancer le numérique »
« La question se posera sur le plan politique d’adapter les primes d’assurance par rapports aux données personnelles »

Pour conclure sur ce superbe congrès. Tous ces partages et retours d’expériences m’ont conforté dans ma vision de ce que devrait être le RSSI santé parfait : un hybride entre qualiticien et informaticien, avec un peu d’appétence pour le droit, ouvert aux métiers, faisant preuve d’un bon relationnel, allant vers les autres tout en sachant être ferme quand il y a besoin.

Je n’ai plus qu’une chose à ajouter : vivement l’année prochaine !

(1) /article/2439/5eme-congres-national-de-la-securite-des-systemes-d-informations-de-sante-retour-sur-3-journees-d-exception-partie-1.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Appel à projet cybersécurité : l’ARS Auvergne-Rhône-Alpes soutient l’innovation en établissements de santé

Appel à projet cybersécurité : l’ARS Auvergne-Rhône-Alpes soutient l’innovation en établissements de santé

06 juin 2025 - 18:52,

Actualité

- DSIH

L’Agence régionale de santé Auvergne-Rhône-Alpes lance un appel à projet pour expérimenter des solutions innovantes en cybersécurité dans les établissements sanitaires et médico-sociaux. Les candidatures sont ouvertes jusqu’au 30 juin 2025. L’initiative s’inscrit dans le cadre du programme CaRE, pou...

Illustration Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap

Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap

06 juin 2025 - 18:32,

Actualité

- DSIH

Face aux tensions sur les organisations hospitalières, l’Agence nationale de la performance sanitaire et médico-sociale (Anap) renforce son engagement aux côtés des établissements avec deux outils complémentaires :

Illustration Le Health Data Hub sélectionne huit nouveaux projets pour enrichir sa bibliothèque open source d’algorithmes en santé

Le Health Data Hub sélectionne huit nouveaux projets pour enrichir sa bibliothèque open source d’algorithmes en santé

04 juin 2025 - 13:10,

Communiqué

- Le Health Data Hub

À l’occasion de la Journée de l’open science en santé, organisée ce 4 juin 2025 à PariSanté Campus, le Health Data Hub (HDH) annonce les huit lauréats de la 8e vague de son appel à manifestation d’intérêt (AMI) dédié à la Bibliothèque Ouverte d’Algorithmes en Santé (BOAS). Cet appel à projets, lancé...

Illustration MentalTech, vers un Observatoire français de la e-santé mentale

MentalTech, vers un Observatoire français de la e-santé mentale

02 juin 2025 - 22:20,

Actualité

- Damien Dubois, DSIH

Le 21 mai, le collectif MentalTech a annoncé l’arrivée de dix nouveaux membres et dévoilé sa feuille de route 2025 avec pour ambition de s’affirmer comme l’Observatoire de la e-santé mentale.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.