HDS V2, y aller ou pas ?

Depuis, quelques investigations plus tard (et pas mal de coups de fil), j’ai un peu affiné les estimations en question, et le résultat est sans appel : pour une entreprise (publique ou privée) qui dispose déjà de l’agrément HDS V1, l’obtention de l’HDS V2 (qui est une certification) va nécessiter un investissement immédiat d’environ 300 jours-hommes (répartis entre des journées internes et du recours à de la prestation) et entre 20 et 30 k€ de certification. Si l’on ajoute les coûts récurrents, sur une durée de cinq ans, la douloureuse se chiffre à environ 600 jours de travail et 200 k€.

Je précise tout de suite à ceux qui tordraient du nez devant de tels chiffres que l’estimation en question provient d’un travail réalisé par des professionnels du domaine, qu’elle a été validée par au moins trois personnes (dont votre serviteur) et que je l’ai confrontée aux chiffres issus de la conférence d’Orange lors dudit congrès de l’Apssis ainsi qu’à l’avis d’un confrère qui est en train d’y aller. On peut donc raisonnablement estimer que ces données sont justes à 15 % près (à la hausse comme à la baisse).

Pourquoi une telle note ? Il faut savoir que la certification se base sur pas moins de quatre normes ISO : 27001, 27002 (qui va toujours avec la première), 20000 (la norme Itil), 27017 et 27018 (les trois dernières étant impliquées pour partie). Tous ceux qui ont vécu de près ou de loin une certification d’un laboratoire (ISO 15189) savent que la marche à franchir, en termes de maturité pour les équipes, est très importante : l’HDS ne déroge pas à la règle, et ce n’est pas le fait de détenir l’agrément V1 qui garantit un quelconque niveau de maturité du même genre : cet agrément est purement déclaratif. 

Alors qu’en penser ? Étant donné que moins de dix établissements de santé publics détiennent l’agrément HDS V1 et que, sauf erreur, sur 135 GHT aucun ne détient la certification V2, étant donné que de tels coûts sont absolument rédhibitoires, même pour des grosses DSI, que la contrainte de détention de la certification pour un établissement support de GHT fait débat (aucune jurisprudence, textes flous et pas deux juristes d’accord) et enfin que des voix commencent à s’élever pour dénoncer la complexité de la certification, il y a de fortes chances que les textes soient assouplis. Sinon, soit 125 GHT seront hors la loi, soit les coûts d’externalisation de l’hébergement (entre 5 000 et 7 000 euros par serveur et par an en moyenne) siphonneront tous les moyens des DSI (et on n’a pas encore parlé de maintenance logicielle, de projets, d’Amoa, etc.). Autant dire que l’externalisation qui viserait à être conforme n’est pas non plus envisageable.

Alors que faire ? Se lancer dans un chantier d’un tel coût au moment même où les finances des DSI sont resserrées semble impossible, ne rien faire et rester attentiste semble la pire des solutions : l’avenir n’a jamais appartenu à ceux qui restent assis sur le bord de la route. Y aller oui, mais par étapes : en commençant par la certification l’ISO 27001, les DSI et leurs équipes de production aborderaient le problème de façon pragmatique et raisonnée. Une fois cette étape passée, les trois autres normes seraient plus faciles à aborder. Et l’extension du périmètre de certification aux équipes infra et Amoa serait dans le domaine du possible. Tous les secteurs critiques d’un hôpital commencent à devoir justifier de leurs processus au regard d’une norme ISO, les DSI n’échapperont pas longtemps à cette lame de fond.

(1)   /article/2435/en-direct-de-l-apssis-l-agrement-hds-nouvelle-mouture-y-aura-des-frais.html