Sécurité des SI : penser GHT, partie II

    16 mai 2017 - 02:01,
    Tribune - Cédric Cartau
    SécuritéE-santé
    Dans un précédent article, nous avons évoqué le fait que la SSI n’était pas forcément le sujet le plus complexe à mutualiser dans un GHT, et que certains éléments tels que le prochain RGPD ou la complexité technique inaccessible aux établissements périphériques devaient servir de catalyseurs.

    Mais par quoi commencer ? Quelle approche adopter ? Tout RSSI d’établissement support doit se poser ce genre de questions, car la tâche est longue. Selon nous, il y a deux axes à privilégier : l’axe normatif, et l’axe technique. 

    Côté normatif (ou conformité), trois sujets : la certification des comptes (dans son volet SSI), la réglementation Cnil (et prochainement le RGPD) ainsi que la certification HAS (également dans son volet SSI). Ces trois sujets ont en commun d’être transversaux, et donc de transcender tout découpage en pôles, services, établissements, etc. Le RSSI de l’établissement support a déjà la légitimité d’intervenir sur la partie Cnil/RGPD (puisque le décret prévoit que la conformité à cette réglementation relève de l’établissement support) ; il n’y a pas grand-chose à faire pour lui donner la légitimité sur les axes HAS et certification des comptes. 

    Côté technique, là c’est plus compliqué. Il existe en effet trois stades de convergence, à grosse maille : le stade 1, dans lequel un établissement périphérique reste complètement autonome sur le plan SI (pas d’interconnexion des SI, pas d’accès croisés aux SI de chaque établissement par les utilisateurs, etc.) ; le stade 2, dans lequel des interconnexions partielles ont été mises en place, avec des accès croisés au SI, voire le rapatriement de certaines briques logicielles au sein de l’établissement support ; et enfin le stade 3, dans lequel les LAN sont physiquement interconnectés (avec éventuellement des découpages en VLAN), des briques logicielles communes, etc.

    Le RSSI devra aborder cet axe technique à la lumière des 12 projets identifiés dans le domaine de la SSI : le PCA-PRA, l’IAM, le bloc d’accès, les sauvegardes, la gestion des traces, la protection du parc, l’agrément HDS, l’archivage numérique, la protection antivirale, la protection réseau, le chiffrement et, enfin, le SMSI. La question est simple : à chaque stade, quel est le niveau que doit atteindre un établissement périphérique sur chacun des 12 projets susnommés. Par exemple, hors de question d’interconnecter un LAN externe sans avoir la certitude que ce même LAN en question est sain en termes de protection antivirale : le passage au stade 3 impose donc un niveau sur chacun des 12 projets.

    Ce changement d’échelle est tout simplement sans précédent dans le monde de la santé, en France tout du moins. Les échéances imposées par le décret sont clairement intenables, ne serait-ce que pour des questions d’argent. Ce n’est tout de même pas une raison pour rester les bras ballants sur le bord de la route à regarder passer le train.

    # Rgpd# Certification hds# Lan# Technique# Interconnexion# Sécurité des si# Rssi# Conformité

    Avez-vous apprécié ce contenu ?

    A lire également.

    Illustration Le CHRU de Nancy lance DataStan, son Entrepôt de Données de Santé, pour une recherche responsable, sécurisée et transparente

    Le CHRU de Nancy lance DataStan, son Entrepôt de Données de Santé, pour une recherche responsable, sécurisée et transparente

    14 jan. 2026 - 14:37,

    Actualité

    - Rédaction, DSIH

    Le CHRU de Nancy mettra en service, au cours du premier trimestre 2026, DataSTAN, son Entrepôt de Données de Santé (EDS). Ce projet, initié il y a plus de cinq ans, a pour objectif de faciliter les projets de recherche sur données de santé dans un cadre réglementaire et sécurisé, au bénéfice des pat...

    Illustration TEHDAS2 : chantiers décisifs pour l’Espace européen des données de santé en 2026-2027

    TEHDAS2 : chantiers décisifs pour l’Espace européen des données de santé en 2026-2027

    12 jan. 2026 - 22:25,

    Actualité

    - Rédaction, DSIH

    La deuxième consultation publique du projet TEHDAS2 s’est clôturée le 30 novembre 2025, après avoir recueilli les contributions sur onze lignes directrices techniques clés. Portés par un consortium de 29 pays européens sous coordination finlandaise (Sitra), ces travaux visent à accompagner la mise e...

    Ouverture de l’appel à projets de la deuxième phase du programme Hop’en 2

    12 jan. 2026 - 22:00,

    Actualité

    - Damien Dubois

    Le 7 janvier 2026, le ministère chargé de la Santé a annoncé le lancement de la deuxième phase du programme Hop’en. Les candidatures sont ouvertes jusqu’au 13 février prochain.

    Illustration D4Evolution 2026 : Innover pour une efficience hospitalière durable - 22 janvier, Pullman Paris Montparnasse

    D4Evolution 2026 : Innover pour une efficience hospitalière durable - 22 janvier, Pullman Paris Montparnasse

    12 jan. 2026 - 08:47,

    Communiqué

    - Dedalus

    Comment concilier efficience opérationnelle, innovation, qualité des soins et bien-être des équipes ? C’est tout l’enjeu du D4Evolution 2026, placé sous le thème « L’hôpital augmenté à la recherche de l’efficience opérationnelle ». Le 22 janvier 2026, Dedalus vous donne rendez-vous pour une journée ...

    Lettre d'information.

    Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

    Inscrivez-vous à notre lettre d’information hebdomadaire.

    A propos

    Nous suivre

    Contact

    Abonnement

    DSIH Magazine

    Nos marques

    Logo DSIHLogo Thema Radiologie