Publicité en cours de chargement...

Publicité en cours de chargement...

Sécurité des SI : penser GHT, partie II

16 mai 2017 - 02:01,
Tribune - Cédric Cartau
Dans un précédent article, nous avons évoqué le fait que la SSI n’était pas forcément le sujet le plus complexe à mutualiser dans un GHT, et que certains éléments tels que le prochain RGPD ou la complexité technique inaccessible aux établissements périphériques devaient servir de catalyseurs.

Mais par quoi commencer ? Quelle approche adopter ? Tout RSSI d’établissement support doit se poser ce genre de questions, car la tâche est longue. Selon nous, il y a deux axes à privilégier : l’axe normatif, et l’axe technique. 

Côté normatif (ou conformité), trois sujets : la certification des comptes (dans son volet SSI), la réglementation Cnil (et prochainement le RGPD) ainsi que la certification HAS (également dans son volet SSI). Ces trois sujets ont en commun d’être transversaux, et donc de transcender tout découpage en pôles, services, établissements, etc. Le RSSI de l’établissement support a déjà la légitimité d’intervenir sur la partie Cnil/RGPD (puisque le décret prévoit que la conformité à cette réglementation relève de l’établissement support) ; il n’y a pas grand-chose à faire pour lui donner la légitimité sur les axes HAS et certification des comptes. 

Côté technique, là c’est plus compliqué. Il existe en effet trois stades de convergence, à grosse maille : le stade 1, dans lequel un établissement périphérique reste complètement autonome sur le plan SI (pas d’interconnexion des SI, pas d’accès croisés aux SI de chaque établissement par les utilisateurs, etc.) ; le stade 2, dans lequel des interconnexions partielles ont été mises en place, avec des accès croisés au SI, voire le rapatriement de certaines briques logicielles au sein de l’établissement support ; et enfin le stade 3, dans lequel les LAN sont physiquement interconnectés (avec éventuellement des découpages en VLAN), des briques logicielles communes, etc.

Le RSSI devra aborder cet axe technique à la lumière des 12 projets identifiés dans le domaine de la SSI : le PCA-PRA, l’IAM, le bloc d’accès, les sauvegardes, la gestion des traces, la protection du parc, l’agrément HDS, l’archivage numérique, la protection antivirale, la protection réseau, le chiffrement et, enfin, le SMSI. La question est simple : à chaque stade, quel est le niveau que doit atteindre un établissement périphérique sur chacun des 12 projets susnommés. Par exemple, hors de question d’interconnecter un LAN externe sans avoir la certitude que ce même LAN en question est sain en termes de protection antivirale : le passage au stade 3 impose donc un niveau sur chacun des 12 projets.

Ce changement d’échelle est tout simplement sans précédent dans le monde de la santé, en France tout du moins. Les échéances imposées par le décret sont clairement intenables, ne serait-ce que pour des questions d’argent. Ce n’est tout de même pas une raison pour rester les bras ballants sur le bord de la route à regarder passer le train.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Appel à projet cybersécurité : l’ARS Auvergne-Rhône-Alpes soutient l’innovation en établissements de santé

Appel à projet cybersécurité : l’ARS Auvergne-Rhône-Alpes soutient l’innovation en établissements de santé

06 juin 2025 - 18:52,

Actualité

- DSIH

L’Agence régionale de santé Auvergne-Rhône-Alpes lance un appel à projet pour expérimenter des solutions innovantes en cybersécurité dans les établissements sanitaires et médico-sociaux. Les candidatures sont ouvertes jusqu’au 30 juin 2025. L’initiative s’inscrit dans le cadre du programme CaRE, pou...

Illustration Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap

Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap

06 juin 2025 - 18:32,

Actualité

- DSIH

Face aux tensions sur les organisations hospitalières, l’Agence nationale de la performance sanitaire et médico-sociale (Anap) renforce son engagement aux côtés des établissements avec deux outils complémentaires :

Illustration Le Health Data Hub sélectionne huit nouveaux projets pour enrichir sa bibliothèque open source d’algorithmes en santé

Le Health Data Hub sélectionne huit nouveaux projets pour enrichir sa bibliothèque open source d’algorithmes en santé

04 juin 2025 - 13:10,

Communiqué

- Le Health Data Hub

À l’occasion de la Journée de l’open science en santé, organisée ce 4 juin 2025 à PariSanté Campus, le Health Data Hub (HDH) annonce les huit lauréats de la 8e vague de son appel à manifestation d’intérêt (AMI) dédié à la Bibliothèque Ouverte d’Algorithmes en Santé (BOAS). Cet appel à projets, lancé...

Illustration MentalTech, vers un Observatoire français de la e-santé mentale

MentalTech, vers un Observatoire français de la e-santé mentale

02 juin 2025 - 22:20,

Actualité

- Damien Dubois, DSIH

Le 21 mai, le collectif MentalTech a annoncé l’arrivée de dix nouveaux membres et dévoilé sa feuille de route 2025 avec pour ambition de s’affirmer comme l’Observatoire de la e-santé mentale.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.