Publicité en cours de chargement...
La santé prend cher en ce moment
Jusqu’en 2015, le boulot d’un RSSI s’articulait autour des trois sempiternels mantras : la SSI n’est pas prise en compte par la DG/je n’ai pas de moyens/un jour on aura un gros pépin/jevouslavaisbienditfallaitmécouterhein. Et en janvier 2015, changement radical d’ambiance : Je suis Charlie et les premiers cryptolockers nous ont propulsés dans la 69e dimension, à tel point que l’on ne sait plus où donner de la tête. Que l’on en juge.
Certification des comptes : la première année, c’était assez drôle (pour le RSSI s’entend, pour la DSI et les MOA un peu moins), et personnellement j’avais beaucoup aimé. Le commissaire aux comptes (CAC) était devenu un vrai pote ; avec ses revues de comptes admin (oh oui !) obligatoires, sa politique de mots de passe (oh ouiiii !) imposée, c’était Noël tous les jours.
Puis on a vu arriver la modification de l’agrément Hébergeur de données de santé (HDS). Après moult avatars, ce sera une accréditation à la sauce ISO. J’ai commencé les travaux la semaine dernière, la note (jour-homme et pépettes) va être salée.
Ensuite, le ministère nous a pondu des instructions – au demeurant tout à fait logiques – sur la protection des SI de santé : décret du 12 septembre 2016 sur le signalement des incidents SI, instruction du 4 novembre 2016 (les mesures à 6, 12 et 18 mois), plan de sécurité d’établissement (SSI impactée à la marge, mais impactée quand même). Je passe sur les PSSI sectorielles : celle de l’État, celle du ministère, celle dédiée à la santé, etc.
Pour ne pas nous ennuyer, nous (CIL/RSSI/futurs DPO) sommes en train de marner pour la prise en compte du RGPD en mai 2018, qui justement introduit un changement de paradigme majeur dans la prise en compte des traitements nominatifs. Suite aux premières réunions, on n’aura pas trop d’une année pour s’y préparer. Dans le même registre, la Cnamts et la Cnil viennent d’éditer un guide de contraintes SSI à respecter pour que les établissements éligibles accèdent au SNDS. En première lecture, le processus ressemble trait pour trait au nouveau règlement RGPD, mais tout de même.
Ah oui ! j’allais oublier : les CAC semblent avoir allongé la liste des points de contrôle pour fin 2017. Il va falloir analyser les logs des applications métiers, pour bien vérifier que si l’on a paramétré que M. Bidule n’avait pas accès à la modification des RIB des agents, il n’y avait vraiment pas accès (du fait d’un bug dans le progiciel, par exemple).
On a pris cher, je vous l’avais bien dit.
Avez-vous apprécié ce contenu ?
A lire également.

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !
23 juin 2025 - 18:14,
Tribune
-Ça fait deux fois.

Marc Bertrand-Mapataud nommé directeur des ressources humaines de l’AP-HP
17 juin 2025 - 11:59,
Communiqué
- l’AP-HPNicolas Revel, directeur général de l’AP-HP, a nommé Marc Bertrand-Mapataud, directeur des ressources humaines de l’AP-HP, à compter du 16 juin 2025. Il succède ainsi à Vannessa Fage-Moreel, actuellement adjointe au directeur du groupe hospitalo-universitaire (GHU) AP-HP. Nord - Université Paris Cit...

Changer de solution SIH : méthode, engagement et vision d’usage pour réussir le déploiement
16 juin 2025 - 22:32,
Tribune
-Changer de DPI, de SIRH ou d’outil logistique n’est plus un simple projet technique. Dans un contexte hospitalier sous tension, réussir le changement et le déploiement d’une solution SIH impose une approche rigoureuse, coconstruite et profondément orientée utilisateurs. Objectiver les choix, sécuris...