Publicité en cours de chargement...
HDS V2, y aller ou pas ?
Depuis, quelques investigations plus tard (et pas mal de coups de fil), j’ai un peu affiné les estimations en question, et le résultat est sans appel : pour une entreprise (publique ou privée) qui dispose déjà de l’agrément HDS V1, l’obtention de l’HDS V2 (qui est une certification) va nécessiter un investissement immédiat d’environ 300 jours-hommes (répartis entre des journées internes et du recours à de la prestation) et entre 20 et 30 k€ de certification. Si l’on ajoute les coûts récurrents, sur une durée de cinq ans, la douloureuse se chiffre à environ 600 jours de travail et 200 k€.
Je précise tout de suite à ceux qui tordraient du nez devant de tels chiffres que l’estimation en question provient d’un travail réalisé par des professionnels du domaine, qu’elle a été validée par au moins trois personnes (dont votre serviteur) et que je l’ai confrontée aux chiffres issus de la conférence d’Orange lors dudit congrès de l’Apssis ainsi qu’à l’avis d’un confrère qui est en train d’y aller. On peut donc raisonnablement estimer que ces données sont justes à 15 % près (à la hausse comme à la baisse).
Pourquoi une telle note ? Il faut savoir que la certification se base sur pas moins de quatre normes ISO : 27001, 27002 (qui va toujours avec la première), 20000 (la norme Itil), 27017 et 27018 (les trois dernières étant impliquées pour partie). Tous ceux qui ont vécu de près ou de loin une certification d’un laboratoire (ISO 15189) savent que la marche à franchir, en termes de maturité pour les équipes, est très importante : l’HDS ne déroge pas à la règle, et ce n’est pas le fait de détenir l’agrément V1 qui garantit un quelconque niveau de maturité du même genre : cet agrément est purement déclaratif.
Alors qu’en penser ? Étant donné que moins de dix établissements de santé publics détiennent l’agrément HDS V1 et que, sauf erreur, sur 135 GHT aucun ne détient la certification V2, étant donné que de tels coûts sont absolument rédhibitoires, même pour des grosses DSI, que la contrainte de détention de la certification pour un établissement support de GHT fait débat (aucune jurisprudence, textes flous et pas deux juristes d’accord) et enfin que des voix commencent à s’élever pour dénoncer la complexité de la certification, il y a de fortes chances que les textes soient assouplis. Sinon, soit 125 GHT seront hors la loi, soit les coûts d’externalisation de l’hébergement (entre 5 000 et 7 000 euros par serveur et par an en moyenne) siphonneront tous les moyens des DSI (et on n’a pas encore parlé de maintenance logicielle, de projets, d’Amoa, etc.). Autant dire que l’externalisation qui viserait à être conforme n’est pas non plus envisageable.
Alors que faire ? Se lancer dans un chantier d’un tel coût au moment même où les finances des DSI sont resserrées semble impossible, ne rien faire et rester attentiste semble la pire des solutions : l’avenir n’a jamais appartenu à ceux qui restent assis sur le bord de la route. Y aller oui, mais par étapes : en commençant par la certification l’ISO 27001, les DSI et leurs équipes de production aborderaient le problème de façon pragmatique et raisonnée. Une fois cette étape passée, les trois autres normes seraient plus faciles à aborder. Et l’extension du périmètre de certification aux équipes infra et Amoa serait dans le domaine du possible. Tous les secteurs critiques d’un hôpital commencent à devoir justifier de leurs processus au regard d’une norme ISO, les DSI n’échapperont pas longtemps à cette lame de fond.
(1) /article/2435/en-direct-de-l-apssis-l-agrement-hds-nouvelle-mouture-y-aura-des-frais.html
Avez-vous apprécié ce contenu ?
A lire également.

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.