Publicité en cours de chargement...

Publicité en cours de chargement...

La santé prend cher en ce moment

20 juin 2017 - 11:03,
Tribune - Cédric Cartau
Dans le monde de la santé, en matière de sécurité des SI – au sens très large du terme –, il s’est passé plus de choses durant les deux dernières années que dans les 20 qui ont précédé.

Jusqu’en 2015, le boulot d’un RSSI s’articulait autour des trois sempiternels mantras : la SSI n’est pas prise en compte par la DG/je n’ai pas de moyens/un jour on aura un gros pépin/jevouslavaisbienditfallaitmécouterhein. Et en janvier 2015, changement radical d’ambiance : Je suis Charlie et les premiers cryptolockers nous ont propulsés dans la 69e dimension, à tel point que l’on ne sait plus où donner de la tête. Que l’on en juge. 

Certification des comptes : la première année, c’était assez drôle (pour le RSSI s’entend, pour la DSI et les MOA un peu moins), et personnellement j’avais beaucoup aimé. Le commissaire aux comptes (CAC) était devenu un vrai pote ; avec ses revues de comptes admin (oh oui !) obligatoires, sa politique de mots de passe (oh ouiiii !) imposée, c’était Noël tous les jours. 

Puis on a vu arriver la modification de l’agrément Hébergeur de données de santé (HDS). Après moult avatars, ce sera une accréditation à la sauce ISO. J’ai commencé les travaux la semaine dernière, la note (jour-homme et pépettes) va être salée.

Ensuite, le ministère nous a pondu des instructions – au demeurant tout à fait logiques – sur la protection des SI de santé : décret du 12 septembre 2016 sur le signalement des incidents SI, instruction du 4 novembre 2016 (les mesures à 6, 12 et 18 mois), plan de sécurité d’établissement (SSI impactée à la marge, mais impactée quand même). Je passe sur les PSSI sectorielles : celle de l’État, celle du ministère, celle dédiée à la santé, etc.

Pour ne pas nous ennuyer, nous (CIL/RSSI/futurs DPO) sommes en train de marner pour la prise en compte du RGPD en mai 2018, qui justement introduit un changement de paradigme majeur dans la prise en compte des traitements nominatifs. Suite aux premières réunions, on n’aura pas trop d’une année pour s’y préparer. Dans le même registre, la Cnamts et la Cnil viennent d’éditer un guide de contraintes SSI à respecter pour que les établissements éligibles accèdent au SNDS. En première lecture, le processus ressemble trait pour trait au nouveau règlement RGPD, mais tout de même.

Ah oui ! j’allais oublier : les CAC semblent avoir allongé la liste des points de contrôle pour fin 2017. Il va falloir analyser les logs des applications métiers, pour bien vérifier que si l’on a paramétré que M. Bidule n’avait pas accès à la modification des RIB des agents, il n’y avait vraiment pas accès (du fait d’un bug dans le progiciel, par exemple).

On a pris cher, je vous l’avais bien dit.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.