Publicité en cours de chargement...
Sécurité des SI : penser GHT, partie II
Mais par quoi commencer ? Quelle approche adopter ? Tout RSSI d’établissement support doit se poser ce genre de questions, car la tâche est longue. Selon nous, il y a deux axes à privilégier : l’axe normatif, et l’axe technique.
Côté normatif (ou conformité), trois sujets : la certification des comptes (dans son volet SSI), la réglementation Cnil (et prochainement le RGPD) ainsi que la certification HAS (également dans son volet SSI). Ces trois sujets ont en commun d’être transversaux, et donc de transcender tout découpage en pôles, services, établissements, etc. Le RSSI de l’établissement support a déjà la légitimité d’intervenir sur la partie Cnil/RGPD (puisque le décret prévoit que la conformité à cette réglementation relève de l’établissement support) ; il n’y a pas grand-chose à faire pour lui donner la légitimité sur les axes HAS et certification des comptes.
Côté technique, là c’est plus compliqué. Il existe en effet trois stades de convergence, à grosse maille : le stade 1, dans lequel un établissement périphérique reste complètement autonome sur le plan SI (pas d’interconnexion des SI, pas d’accès croisés aux SI de chaque établissement par les utilisateurs, etc.) ; le stade 2, dans lequel des interconnexions partielles ont été mises en place, avec des accès croisés au SI, voire le rapatriement de certaines briques logicielles au sein de l’établissement support ; et enfin le stade 3, dans lequel les LAN sont physiquement interconnectés (avec éventuellement des découpages en VLAN), des briques logicielles communes, etc.
Le RSSI devra aborder cet axe technique à la lumière des 12 projets identifiés dans le domaine de la SSI : le PCA-PRA, l’IAM, le bloc d’accès, les sauvegardes, la gestion des traces, la protection du parc, l’agrément HDS, l’archivage numérique, la protection antivirale, la protection réseau, le chiffrement et, enfin, le SMSI. La question est simple : à chaque stade, quel est le niveau que doit atteindre un établissement périphérique sur chacun des 12 projets susnommés. Par exemple, hors de question d’interconnecter un LAN externe sans avoir la certitude que ce même LAN en question est sain en termes de protection antivirale : le passage au stade 3 impose donc un niveau sur chacun des 12 projets.
Ce changement d’échelle est tout simplement sans précédent dans le monde de la santé, en France tout du moins. Les échéances imposées par le décret sont clairement intenables, ne serait-ce que pour des questions d’argent. Ce n’est tout de même pas une raison pour rester les bras ballants sur le bord de la route à regarder passer le train.
Avez-vous apprécié ce contenu ?
A lire également.

Lutte contre les fraudes : Asafo-Pharma dépasse les 15 000 signalements en un an
23 oct. 2025 - 18:15,
Brève
- Rédaction, DSIHUn an après son lancement à l’été 2024, Asafo-Pharma, l’outil de signalement des fausses ordonnances de l’Assurance Maladie, affiche des résultats significatifs : plus de 15 000 suspicions transmises par les pharmacies via Ameli-Pro, dont trois sur quatre confirmées comme frauduleuses. L’outil, qui ...

Comment le numérique peut-il faciliter les liens au sein et entre les territoires ?
20 oct. 2025 - 16:26,
Tribune
-Le numérique n’est pas seulement un instrument technique : c’est l’infrastructure invisible qui relie les acteurs, fait circuler la donnée et soutient les dynamiques de coopération à l’échelle d’une population.

« Restons maîtres de notre destin » - La souveraineté, l’innovation et la résilience du système de santé comme thématiques clés de la matinée Horizon Santé 360
20 oct. 2025 - 15:51,
Actualité
- Par Pauline Nicolas, DSIHLa 3ème édition d’Horizon Santé 360 s’est ouverte le jeudi 9 octobre 2025 et a réuni plus de 550 acteurs du secteur de la santé (établissements de santé, industrie pharmaceutique, institutionnels, consultants, industriels, start-up). Cette journée a débuté par une conférence introductive de Dominiqu...
Traçabilité des DMI : votre établissement de santé n’est pas encore en conformité ?
20 oct. 2025 - 14:04,
Communiqué
- Computer EngineeringPas de panique ! Vous êtes encore nombreux à chercher des solutions dématérialisées pour répondre à l’évolution de la réglementation européenne concernant le suivi renforcé des Dispositifs Médicaux Implantables (DMI).
