Publicité en cours de chargement...

Publicité en cours de chargement...

Michel Gagneux : « Nous sommes maintenant très présents sur le front hospitalier. »

06 juin 2017 - 11:49,
Actualité - DSIH, @lehalle
L’Asip Santé a profité de sa participation à la Paris Healthcare Week (PHW) 2017 pour mettre en avant ses actions d’accompagnement à destination des établissements de santé. Son directeur, Michel Gagneux, a répondu à nos questions et précisé les orientations de l’agence en ce qui concerne la cybersécurité, les travaux portant sur l’authentification forte auprès des SI de santé et l’évolution des textes réglementaires liés à la PGSSI-S(1).  

L’Asip Santé s’est considérablement transformée ces derniers mois(2) et paraît beaucoup plus engagée auprès des hôpitaux que par le passé…

michel-gagneuxMichel Gagneux : Nous sommes en effet maintenant très présents sur le front hospitalier et nous contribuons à un grand nombre de chantiers très importants. On peut citer par exemple la refonte du système d’information des Samu, la participation au volet numérique des GHT, l’appui aux établissements qui adoptent les messageries sécurisées, les travaux concernant les moyens d’authentification forte auprès des SI dans les établissements et les GHT ou encore la sécurité informatique puisque nous allons être, à l’automne, la cheville ouvrière de tout le processus d’identification, de collecte, de qualification, puis de traitement des incidents de sécurité informatique.

Un travail opérationnel de qualification des incidents

Justement… la cybersécurité fait de plus en plus régulièrement l’actualité (comme on l’a encore vu avec l’attaque sur le NHS à la veille de l’ouverture de la PHW). Quel dispositif préparez-vous ?

Nous mettons en place les processus et les outils qui vont permettre de faire remonter les notifications d’incidents de sécurité informatique graves et significatifs des établissements vers les Agences régionales de santé et vers les pouvoirs publics. Les déclarations seront faites sur le portail de signalement des événements sanitaires indésirables, qui aura alors une composante « incidents informatiques ». La mission principale de l’Asip Santé consistera dans un travail opérationnel de qualification des incidents. Il s’agira en effet d’en apprécier la nature, la gravité et la portée, de manière à lancer les alertes, à établir les recommandations et à aider les établissements victimes à les traiter… L’Asip Santé partagera ses diagnostics et ses méthodes avec l’ensemble des instances concernées par la cybersécurité et rassemblées dans un comité de pilotage : l’Anssi(3), la Cnil(4) et bien sûr le maître d’ouvrage stratégique de l’ensemble, c’est-à-dire le haut fonctionnaire de défense et de sécurité du ministère de la Santé. À chacun de prendre ensuite sa part des actions à mener selon la nature des problèmes.

Quel est l’état des lieux du monde hospitalier en matière d’authentification forte des personnels auprès des systèmes d’information ? Et que prévoyez-vous ?

Le chantier s’annonce énorme car l’authentification forte devient nécessaire à l’heure des GHT et du développement de la communication ville-hôpital. Or la plupart des établissements n’en sont encore qu’à l’usage du login-mot de passe. Nous avons réalisé une étude que nous allons publier pour appel à commentaires et avis de manière à commencer à construire, d’ici à la fin de l’année et avec la DGOS, une politique d’appui aux établissements en la matière.

70 établissements ont généralisé la CPS

L’arsenal réglementaire sera-t-il revu… dix ans après le décret Confidentialité ?

Un projet de décret vient en effet d’être envoyé à la Cnil afin d’adapter les textes à l’époque actuelle et aux usages contemporains ! Il est vrai que la Carte de professionnel de santé (CPS), née du décret Confidentialité, était conçue pour la télétransmission de la feuille de soins électronique et pas du tout pensée pour l’hôpital. On compte aujourd’hui à peu près 70 établissements ayant généralisé la CPS, dont certains CHU. L’AP-HP a d’ailleurs basculé dans l’usage de la CPS en 2016, avec notre appui. Mais on est encore loin de la cible des 3 000 établissements… Nous devons maintenant trouver des modes d’application qui soient assez forts face aux enjeux de confidentialité et suffisamment souples en matière d’usage. Cela va se construire avec les établissements. Côté réglementaire, la première étape, au deuxième semestre, va commencer par l’inscription de la PGSSI-S dans les textes en rendant opposables toute une série de référentiels(5).

Quels sont les moyens de l’Asip Santé en ressources humaines et financières ? Quelle part de ces moyens concerne l’hôpital et la sécurité ?

Si je compte les postes qui restent à pourvoir, l’Asip Santé compte 136 personnes à temps plein. La moitié de l’agence travaille peu ou prou pour les établissements de santé. Tous les services sont mobilisés pour l’appui aux hôpitaux dans la mesure où ils réalisent des missions transversales, qu’il s’agisse de la dimension juridique, accompagnement, interopérabilité… Nous avons par exemple 12 personnes qui travaillent à temps plein actuellement auprès des hôpitaux pour les accompagner dans l’adoption des messageries sécurisées. L’Asip s’appuie sur 5 experts en sécurité, sans compter les ressources externes. Pour ce qui est du budget, il s’élève à 85 millions d’euros pour 2017. Un peu moins de la moitié est financé par des crédits Ondam, un peu plus du tiers par le Fonds de modernisation des établissements de santé publics et privés (FMESPP) et environ 15 % par l’État. La mise en place du dispositif de sécurité coûtera moins d’un million d’euros car le portail de signalement existe déjà(6).


[1] Politique générale de sécurité des systèmes d’information de santé.

[2] Lire aussi /article/2340/trois-missions-et-100-projets-pour-la-nouvelle-asip-sante.html 

[3] Agence nationale de la sécurité des systèmes d’information.

[4] Commission nationale de l’informatique et des libertés.

[5] Lire aussi DSIH Magazine, mai 2017, page 94.

[6] https://signalement.social-sante.gouv.fr   

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.