Publicité en cours de chargement...
Sécurité des SI : penser GHT, partie I
Curieusement, le domaine de la SSI est un peu à part, et ce pour plusieurs raisons. La première, c’est que la mise en ordre de marche des établissements périphériques (qui n’ont souvent pas de RSSI) relève de la prise de conscience des organisations : c’est donc un problème de maturité organisationnelle, et pas d’argent, au moins dans un premier temps. Bien entendu, viendra un moment où il faudra sortir le carnet de chèques, et chacun se demandera qui doit payer la facture. Mais tout le monde sait aussi qu’avant de dépenser le moindre euro en sécurité, beaucoup de choses peuvent être faites.
Ensuite, le décret prévoit que la mise en conformité avec la Cnil est assurée par l’établissement support. Traduction : si l’établissement support dispose déjà d’un CIL ou simplement d’une organisation structurée pour assurer la conformité Cnil, c’est naturellement ce dispositif qui va prendre la main sur le sujet Informatique et Libertés de tout le GHT. Il y a tout juste un an, je vous aurais dit : « OK, et alors ? ». Sauf que maintenant, nous avons tous en ligne de mire mai 2018 et le règlement général européen sur la protection des données personnelles, le fameux RGPD, qui impulse très clairement un changement de braquet sans précédent à ce niveau : appréciation des risques obligatoire avant toute mise en œuvre de traitement, privacy by design, etc. C’est, à mon avis, un boulevard énorme dans lequel les RSSI des établissements supports doivent s’engouffrer pour asseoir leur légitimité.
De façon plus prosaïque, les retours que j’ai pu avoir sur les schémas directeurs en cours (SDSI) dans les GHT font apparaître une chose curieuse, mais qui, en fait, ne l’est qu’en apparence : les Amoa retenues, dans certains groupes de travail, jouent plutôt le rôle de groupe de parole façon soutien psychologique : tout le monde sait où l’on va (une DSI unique coordonnée sur tout un territoire), le but des séances étant de faire admettre cette réalité par tous les participants en y mettant les formes. Mais, au sein de ces mêmes groupes de travail, le sujet SSI est rarement celui qui pose souci : les « petits » établissements sont souvent conscients d’être « aux pâquerettes » sur le sujet, et attendent impatiemment l’aide du RSSI support.
Le sujet SSI va donc vite devenir : « Par quoi on commence ? », compte tenu du fait qu’à peu près tout le monde est d’accord pour mutualiser ce machin compliqué.
À suivre…
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...