Publicité en cours de chargement...
Sécurité des SI : penser GHT, partie II
Mais par quoi commencer ? Quelle approche adopter ? Tout RSSI d’établissement support doit se poser ce genre de questions, car la tâche est longue. Selon nous, il y a deux axes à privilégier : l’axe normatif, et l’axe technique.
Côté normatif (ou conformité), trois sujets : la certification des comptes (dans son volet SSI), la réglementation Cnil (et prochainement le RGPD) ainsi que la certification HAS (également dans son volet SSI). Ces trois sujets ont en commun d’être transversaux, et donc de transcender tout découpage en pôles, services, établissements, etc. Le RSSI de l’établissement support a déjà la légitimité d’intervenir sur la partie Cnil/RGPD (puisque le décret prévoit que la conformité à cette réglementation relève de l’établissement support) ; il n’y a pas grand-chose à faire pour lui donner la légitimité sur les axes HAS et certification des comptes.
Côté technique, là c’est plus compliqué. Il existe en effet trois stades de convergence, à grosse maille : le stade 1, dans lequel un établissement périphérique reste complètement autonome sur le plan SI (pas d’interconnexion des SI, pas d’accès croisés aux SI de chaque établissement par les utilisateurs, etc.) ; le stade 2, dans lequel des interconnexions partielles ont été mises en place, avec des accès croisés au SI, voire le rapatriement de certaines briques logicielles au sein de l’établissement support ; et enfin le stade 3, dans lequel les LAN sont physiquement interconnectés (avec éventuellement des découpages en VLAN), des briques logicielles communes, etc.
Le RSSI devra aborder cet axe technique à la lumière des 12 projets identifiés dans le domaine de la SSI : le PCA-PRA, l’IAM, le bloc d’accès, les sauvegardes, la gestion des traces, la protection du parc, l’agrément HDS, l’archivage numérique, la protection antivirale, la protection réseau, le chiffrement et, enfin, le SMSI. La question est simple : à chaque stade, quel est le niveau que doit atteindre un établissement périphérique sur chacun des 12 projets susnommés. Par exemple, hors de question d’interconnecter un LAN externe sans avoir la certitude que ce même LAN en question est sain en termes de protection antivirale : le passage au stade 3 impose donc un niveau sur chacun des 12 projets.
Ce changement d’échelle est tout simplement sans précédent dans le monde de la santé, en France tout du moins. Les échéances imposées par le décret sont clairement intenables, ne serait-ce que pour des questions d’argent. Ce n’est tout de même pas une raison pour rester les bras ballants sur le bord de la route à regarder passer le train.
Avez-vous apprécié ce contenu ?
A lire également.

L’Institut Curie et le groupe hospitalier Diaconesses Croix Saint-Simon unissent leurs expertises pour un parcours de soins d’excellence en cancérologie
27 juin 2025 - 14:47,
Actualité
- DSIHL’Institut Curie, premier centre français de lutte contre le cancer, et le groupe hospitalier Diaconesses Croix Saint-Simon, créateur du Centre de Cancérologie de l’Est Parisien, annoncent un partenariat stratégique inédit. Ce partenariat, baptisé « Parcours Expert Institut Curie – Diaconesses Croix...

Dedalus France : une nouvelle étape dans la trajectoire de transformation
24 juin 2025 - 07:50,
Actualité
- DSIHDedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...