Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Sécurité SI dans les établissements de santé vu du CLUSIF

09 juil. 2018 - 13:33,
Tribune - Cédric Cartau
Faites le test suivant : si vous avez un ado à la maison, annoncez-lui pile au moment de se mettre à table le soir en famille que juste à la fin du repas vous allez inspecter sa chambre, et que si vous la trouvez un tantinet en désordre, il sera privé d’argent de poche et de smartphone pendant une semaine (ok le coup du smartphone c’est taquin, mais bon c’est juste un test, même si votre ado ne le sait pas). Et observez bien attentivement sa réaction : si les cheveux et les poils se dressent, si les yeux roulent alors il y a de fortes chances pour que sa chambre soit effectivement dans un grand état de foutoir.

Le clusif vient de publier un rapport sur l’état de la sécurité du SI dans les établissements de santé, et les résultats étonnent, pour le moins. Par exemple, le rapport annonce une croissance spectaculaire d’établissements ayant formalisé leur PSSI (de 50 % en 2014 à 92 % en 2018). On se demande bien le rapport entre un PSSI et le niveau de sécurité : rappelons en effet qu’une PSSI est à la SSI ce que la loi est au fonctionnement d’un pays, et ce n’est pas parce que les lois existent qu’elles sont respectées – un bon nombre d’Etats d’Amérique centrale, pourtant démocratiques, affichent des taux d’homicides record et pour autant disposent d’un Code Pénal au même titre que la France.

On apprend ensuite que la fonction de RSSI devient « un vrai métier » exercé à plein temps dans presque un établissement sur deux. On se demande d’où sortent ces chiffres, quand on sait que l’on compte moins de 100 RSSI en titre pour 1000 hôpitaux, que tous les gros hôpitaux n’en disposent pas et que dans pas mal de cas, ce sont des « paper-RSSI », à savoir des agents nommés en sus de la montagne de tâches qu’ils doivent déjà assumer chaque jour.

Toujours selon le Clusif, pour un tiers des établissements le budget SSI serait en augmentation. Là encore, je serais curieux de connaître la métrique car non seulement il est très difficile de dire ce qui est de la sécurité ou pas (la sauvegarde, c’est de la SSI ? Une ferme VWMARE, une prestation d’avocat, une baie d’archivage à valeur probante, c’est de la SSI?) Mais en plus le budget SSI étant par nature directement lié à celui de la DSI, la récente étude de l’Asipe Santé fait mention d’une augmentation de 1,7 % à 1,72 % du budget des DSI, pas de quoi à fouetter un consultant Lead Implementor SIO 27001. Bonne nouvelle, dans le même temps 81 % des établissements se disent incapable de chiffrer un budget SSI – mais non ce n’est pas contradictoire, pas du tout.

Plus intéressant, le Clusif note que 40 % des établissements ont été touchés par les deux principales sources de panne, à savoir les malwares et les pannes techniques internes. Sur cette dernière cause, une remarque intéressante du rapport est l’étonnement du fait de la fiabilité des infrastructures virtualisées, et le Clusif émet l’hypothèse d’un problème dans la gestion des changements, analyse que je partage.

Enfin le Clusif annonce un recul global de la sinistralité, et à mon avis cette analyse est non fondée du fait qu’avant le décret obligeant le signalement des incidents SSI, ces derniers ne faisaient l’objet d’aucun signalement officiel, cette analyse ne peut donc reposer que sur la technique du doigt mouillé.

Quel lien entre ce rapport et votre ado ci-dessus ? Très simple : il suffit de voir la tête des RSSI et des DSI à la lecture de la directive NIS(1) (obligation d’audit, de cartographie des SI, de gouvernance de la SSI, etc.) : les cheveux qui se dressent, le visage décomposé et un désordre gastrique généralisé. Bon après tout ce n’est peut-être rien, peut-être que la chambre de votre ado est rangée, hein ?


(1)   /article/3021/directive-nis-la-fin-de-l-innocence.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration MentalTech, vers un Observatoire français de la e-santé mentale

MentalTech, vers un Observatoire français de la e-santé mentale

02 juin 2025 - 22:20,

Actualité

- Damien Dubois, DSIH

Le 21 mai, le collectif MentalTech a annoncé l’arrivée de dix nouveaux membres et dévoilé sa feuille de route 2025 avec pour ambition de s’affirmer comme l’Observatoire de la e-santé mentale.

Illustration ViaTrajectoire : une plateforme socle modernisée au service des parcours médico-sociaux

ViaTrajectoire : une plateforme socle modernisée au service des parcours médico-sociaux

02 juin 2025 - 18:46,

Actualité

- DSIH

ViaTrajectoire poursuit en 2025 sa transformation numérique au service de l’autonomie, avec une série d’évolutions majeures visant à fluidifier les parcours des personnes âgées et en situation de handicap. Ce service national traite désormais plus de 110 000 orientations par mois, et s’impose comme ...

Illustration Connect Santé 2025 : relevez les défis de l’hôpital connecté

Connect Santé 2025 : relevez les défis de l’hôpital connecté

02 juin 2025 - 16:26,

Communiqué

- Philips

Dans un environnement hospitalier toujours plus digitalisé, la connectivité biomédicale s’impose comme un levier essentiel de performance, de sécurité et de valorisation des données cliniques.

Illustration Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

02 juin 2025 - 15:00,

Communiqué

- GPLExpert

GPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.