Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Sécurité des SI : penser GHT, partie II

16 mai 2017 - 02:01,
Tribune - Cédric Cartau
Dans un précédent article, nous avons évoqué le fait que la SSI n’était pas forcément le sujet le plus complexe à mutualiser dans un GHT, et que certains éléments tels que le prochain RGPD ou la complexité technique inaccessible aux établissements périphériques devaient servir de catalyseurs.

Mais par quoi commencer ? Quelle approche adopter ? Tout RSSI d’établissement support doit se poser ce genre de questions, car la tâche est longue. Selon nous, il y a deux axes à privilégier : l’axe normatif, et l’axe technique. 

Côté normatif (ou conformité), trois sujets : la certification des comptes (dans son volet SSI), la réglementation Cnil (et prochainement le RGPD) ainsi que la certification HAS (également dans son volet SSI). Ces trois sujets ont en commun d’être transversaux, et donc de transcender tout découpage en pôles, services, établissements, etc. Le RSSI de l’établissement support a déjà la légitimité d’intervenir sur la partie Cnil/RGPD (puisque le décret prévoit que la conformité à cette réglementation relève de l’établissement support) ; il n’y a pas grand-chose à faire pour lui donner la légitimité sur les axes HAS et certification des comptes. 

Côté technique, là c’est plus compliqué. Il existe en effet trois stades de convergence, à grosse maille : le stade 1, dans lequel un établissement périphérique reste complètement autonome sur le plan SI (pas d’interconnexion des SI, pas d’accès croisés aux SI de chaque établissement par les utilisateurs, etc.) ; le stade 2, dans lequel des interconnexions partielles ont été mises en place, avec des accès croisés au SI, voire le rapatriement de certaines briques logicielles au sein de l’établissement support ; et enfin le stade 3, dans lequel les LAN sont physiquement interconnectés (avec éventuellement des découpages en VLAN), des briques logicielles communes, etc.

Le RSSI devra aborder cet axe technique à la lumière des 12 projets identifiés dans le domaine de la SSI : le PCA-PRA, l’IAM, le bloc d’accès, les sauvegardes, la gestion des traces, la protection du parc, l’agrément HDS, l’archivage numérique, la protection antivirale, la protection réseau, le chiffrement et, enfin, le SMSI. La question est simple : à chaque stade, quel est le niveau que doit atteindre un établissement périphérique sur chacun des 12 projets susnommés. Par exemple, hors de question d’interconnecter un LAN externe sans avoir la certitude que ce même LAN en question est sain en termes de protection antivirale : le passage au stade 3 impose donc un niveau sur chacun des 12 projets.

Ce changement d’échelle est tout simplement sans précédent dans le monde de la santé, en France tout du moins. Les échéances imposées par le décret sont clairement intenables, ne serait-ce que pour des questions d’argent. Ce n’est tout de même pas une raison pour rester les bras ballants sur le bord de la route à regarder passer le train.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.