Publicité en cours de chargement...
HDS V2, y aller ou pas ?
Depuis, quelques investigations plus tard (et pas mal de coups de fil), j’ai un peu affiné les estimations en question, et le résultat est sans appel : pour une entreprise (publique ou privée) qui dispose déjà de l’agrément HDS V1, l’obtention de l’HDS V2 (qui est une certification) va nécessiter un investissement immédiat d’environ 300 jours-hommes (répartis entre des journées internes et du recours à de la prestation) et entre 20 et 30 k€ de certification. Si l’on ajoute les coûts récurrents, sur une durée de cinq ans, la douloureuse se chiffre à environ 600 jours de travail et 200 k€.
Je précise tout de suite à ceux qui tordraient du nez devant de tels chiffres que l’estimation en question provient d’un travail réalisé par des professionnels du domaine, qu’elle a été validée par au moins trois personnes (dont votre serviteur) et que je l’ai confrontée aux chiffres issus de la conférence d’Orange lors dudit congrès de l’Apssis ainsi qu’à l’avis d’un confrère qui est en train d’y aller. On peut donc raisonnablement estimer que ces données sont justes à 15 % près (à la hausse comme à la baisse).
Pourquoi une telle note ? Il faut savoir que la certification se base sur pas moins de quatre normes ISO : 27001, 27002 (qui va toujours avec la première), 20000 (la norme Itil), 27017 et 27018 (les trois dernières étant impliquées pour partie). Tous ceux qui ont vécu de près ou de loin une certification d’un laboratoire (ISO 15189) savent que la marche à franchir, en termes de maturité pour les équipes, est très importante : l’HDS ne déroge pas à la règle, et ce n’est pas le fait de détenir l’agrément V1 qui garantit un quelconque niveau de maturité du même genre : cet agrément est purement déclaratif.
Alors qu’en penser ? Étant donné que moins de dix établissements de santé publics détiennent l’agrément HDS V1 et que, sauf erreur, sur 135 GHT aucun ne détient la certification V2, étant donné que de tels coûts sont absolument rédhibitoires, même pour des grosses DSI, que la contrainte de détention de la certification pour un établissement support de GHT fait débat (aucune jurisprudence, textes flous et pas deux juristes d’accord) et enfin que des voix commencent à s’élever pour dénoncer la complexité de la certification, il y a de fortes chances que les textes soient assouplis. Sinon, soit 125 GHT seront hors la loi, soit les coûts d’externalisation de l’hébergement (entre 5 000 et 7 000 euros par serveur et par an en moyenne) siphonneront tous les moyens des DSI (et on n’a pas encore parlé de maintenance logicielle, de projets, d’Amoa, etc.). Autant dire que l’externalisation qui viserait à être conforme n’est pas non plus envisageable.
Alors que faire ? Se lancer dans un chantier d’un tel coût au moment même où les finances des DSI sont resserrées semble impossible, ne rien faire et rester attentiste semble la pire des solutions : l’avenir n’a jamais appartenu à ceux qui restent assis sur le bord de la route. Y aller oui, mais par étapes : en commençant par la certification l’ISO 27001, les DSI et leurs équipes de production aborderaient le problème de façon pragmatique et raisonnée. Une fois cette étape passée, les trois autres normes seraient plus faciles à aborder. Et l’extension du périmètre de certification aux équipes infra et Amoa serait dans le domaine du possible. Tous les secteurs critiques d’un hôpital commencent à devoir justifier de leurs processus au regard d’une norme ISO, les DSI n’échapperont pas longtemps à cette lame de fond.
(1) /article/2435/en-direct-de-l-apssis-l-agrement-hds-nouvelle-mouture-y-aura-des-frais.html
Avez-vous apprécié ce contenu ?
A lire également.

Le Data Act : une nouvelle ère pour la gouvernance des données de santé
30 sept. 2025 - 07:15,
Tribune
-Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

« Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?
29 sept. 2025 - 20:33,
Tribune
-Partant du constat que l’IA est un « levier de transformation majeur » pour le système de santé français et qu’il est nécessaire d’organiser son développement en tenant compte de paramètres clés tels que la confiance et la clarté du paysage règlementaire et éthique, une stratégie interministérielle ...

Domaine 2 du programme CaRE : une matinée pour se faire accompagner
29 sept. 2025 - 11:30,
Actualité
- Valentine Bellanger, DSIHDans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...
On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM
29 sept. 2025 - 10:43,
Tribune
-Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !