Publicité en cours de chargement...
HDS V2, y aller ou pas ?
Depuis, quelques investigations plus tard (et pas mal de coups de fil), j’ai un peu affiné les estimations en question, et le résultat est sans appel : pour une entreprise (publique ou privée) qui dispose déjà de l’agrément HDS V1, l’obtention de l’HDS V2 (qui est une certification) va nécessiter un investissement immédiat d’environ 300 jours-hommes (répartis entre des journées internes et du recours à de la prestation) et entre 20 et 30 k€ de certification. Si l’on ajoute les coûts récurrents, sur une durée de cinq ans, la douloureuse se chiffre à environ 600 jours de travail et 200 k€.
Je précise tout de suite à ceux qui tordraient du nez devant de tels chiffres que l’estimation en question provient d’un travail réalisé par des professionnels du domaine, qu’elle a été validée par au moins trois personnes (dont votre serviteur) et que je l’ai confrontée aux chiffres issus de la conférence d’Orange lors dudit congrès de l’Apssis ainsi qu’à l’avis d’un confrère qui est en train d’y aller. On peut donc raisonnablement estimer que ces données sont justes à 15 % près (à la hausse comme à la baisse).
Pourquoi une telle note ? Il faut savoir que la certification se base sur pas moins de quatre normes ISO : 27001, 27002 (qui va toujours avec la première), 20000 (la norme Itil), 27017 et 27018 (les trois dernières étant impliquées pour partie). Tous ceux qui ont vécu de près ou de loin une certification d’un laboratoire (ISO 15189) savent que la marche à franchir, en termes de maturité pour les équipes, est très importante : l’HDS ne déroge pas à la règle, et ce n’est pas le fait de détenir l’agrément V1 qui garantit un quelconque niveau de maturité du même genre : cet agrément est purement déclaratif.
Alors qu’en penser ? Étant donné que moins de dix établissements de santé publics détiennent l’agrément HDS V1 et que, sauf erreur, sur 135 GHT aucun ne détient la certification V2, étant donné que de tels coûts sont absolument rédhibitoires, même pour des grosses DSI, que la contrainte de détention de la certification pour un établissement support de GHT fait débat (aucune jurisprudence, textes flous et pas deux juristes d’accord) et enfin que des voix commencent à s’élever pour dénoncer la complexité de la certification, il y a de fortes chances que les textes soient assouplis. Sinon, soit 125 GHT seront hors la loi, soit les coûts d’externalisation de l’hébergement (entre 5 000 et 7 000 euros par serveur et par an en moyenne) siphonneront tous les moyens des DSI (et on n’a pas encore parlé de maintenance logicielle, de projets, d’Amoa, etc.). Autant dire que l’externalisation qui viserait à être conforme n’est pas non plus envisageable.
Alors que faire ? Se lancer dans un chantier d’un tel coût au moment même où les finances des DSI sont resserrées semble impossible, ne rien faire et rester attentiste semble la pire des solutions : l’avenir n’a jamais appartenu à ceux qui restent assis sur le bord de la route. Y aller oui, mais par étapes : en commençant par la certification l’ISO 27001, les DSI et leurs équipes de production aborderaient le problème de façon pragmatique et raisonnée. Une fois cette étape passée, les trois autres normes seraient plus faciles à aborder. Et l’extension du périmètre de certification aux équipes infra et Amoa serait dans le domaine du possible. Tous les secteurs critiques d’un hôpital commencent à devoir justifier de leurs processus au regard d’une norme ISO, les DSI n’échapperont pas longtemps à cette lame de fond.
(1) /article/2435/en-direct-de-l-apssis-l-agrement-hds-nouvelle-mouture-y-aura-des-frais.html
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...