Cybersécurité Santé : trois jours d’échanges et de conférences au #CNSSIS2019 !
16 oct. 2018 - 09:08,
Actualité
- DSIH, M.BQuelles sont, selon vous, les raisons du succès du Congrès national de la sécurité des SI de santé, qui réunit chaque année 160 professionnels pendant trois jours au Mans ?
Vincent Trély : C’est avant tout le sujet qui fait le succès de l’événement ! La sécurité des données de santé est un dossier important qui constitue l’un des éléments de notre démocratie. Et l’ensemble des lois, méthodes, outils et solutions qui contribuent à cette sécurité est le sujet. Le Congrès est apprécié pour son contenu, une vingtaine de conférences en plénière, préparées spécialement pour l’occasion, et proposant des analyses prospectives, des retours d’expérience, des technologies innovantes, avec parfois des visions décalées et des propos sans concessions ! Enfin, le nombre restreint de participants et l’organisation déployée favorisent les échanges et la convivialité. C’est la raison pour laquelle nous n’avons jamais fait évoluer les principes de base et que nous restons sur un événement limité en termes de participants.
Le 7e congrès se tiendra à l’espace culturel des Quinconces du Mans. Quelles raisons ont motivé ce changement ? D’autres modifications sont-elles prévues ?
VT : Le musée Plantagenêt est un lieu magnifique, mais il présentait des limites que nous avions identifiées depuis au moins deux ans. L’auditorium manquait d’espace pour la captation vidéo, et la couverture réseau du musée est mauvaise. L’espace culturel des Quinconces, situé juste en face, dispose d’une salle de cinéma très confortable, climatisée, avec un grand espace scénique. Nous projetterons sur un écran géant ! L’espace Stands sera plus étendu, et nous disposerons d’un jardin privatisé.
Les dîners auront lieu à l’Auberge des Matfeux et au Circuit des 24 heures du Mans, deux endroits plébiscités par nos congressistes.
En ce qui concerne le contenu, nous allons proposer plus de retours d’expérience tout en ouvrant le champ de l’intelligence artificielle et des applications big data. Le Pr Pierre-Antoine Gourraud, PhD-MPH au CHU de Nantes, interviendra sur ce sujet. Nos partenaires 2019 sont également challengés pour apporter des éléments concrets issus de leurs expériences ou de leurs recherches scientifiques.
La voix des institutionnels est essentielle et sera portée, comme chaque année, par le ministère, la DGOS et l’Asip Santé, entre autres.
Le RGPD fêtera sa première année d’existence et sera sans doute au cœur des débats. Quels seront les autres grands thèmes de l’édition 2019 ?
VT : Effectivement, le RGPD occupe le terrain depuis près d’un an ! Il reste beaucoup à faire, tant sur le volet de la compréhension des obligations que sur celui de la mise en œuvre opérationnelle des processus permettant d’assurer la conformité à ses exigences sur le long terme. Nous attendons un référentiel des traitements de données de santé, applicable à tous les établissements de santé, expliquant comment se classent les logiciels métiers pour former des traitements homogènes. C’est exactement la même chose pour tout un chacun, et nous relevons dès à présent des interprétations qui différent… Cédric Cartau, RSSI et DPO du GHT 44, prépare une intervention sur le sujet, un an après la présentation de la démarche du CHU de Nantes.
Nous serons amenés à parler de la certification HDS et des stratégies des établissements, des modèles de gouvernance de la SSI qui se mettent en place, dans l’environnement GHT ou au sein des grands groupes privés, des nouvelles technologies de sécurité et, comme évoqué précédemment, des IA.
Structuration des GHT, calendrier institutionnel chargé, manque de moyens humains et financiers, cumul des fonctions de RSSI et de DPO : les remontées de terrain semblent montrer que les RSSI se sentent parfois un peu seuls et débordés. Qu’en est-il ?
VT : Il est certain que la fonction de RSSI et désormais celle de DPO, cumulées ou non, ne sont pas encore considérées partout comme elles le devraient par le top management. De nombreux RSSI exercent à temps partiel tout en conservant un rôle dans les processus d’exploitation. Pas toujours suffisamment formés, ils se trouvent forcément débordés par le volume de travail que représentent l’initialisation et la mise en œuvre d’une politique de sécurité exigeante. Rares sont ceux qui sont rattachés aux directions générales, avec un vrai pouvoir d’action sur les fonctionnements de la DSI et sur les projets. Et comme vous le mentionniez, le calendrier institutionnel, extrêmement chargé, s’accélère depuis deux ans : LPM, Plan de sécurisation des établissements de santé, instruction n° 309, PSSI-MCAS, PGSSI-S, conséquences techniques et organisationnelles du RGPD, enjeux des PRA et de la continuité d’activité, sans compter bientôt, pour certains, certification HDS, avec la construction et le management d’un SMSI structuré selon la norme ISO 27001.
Comme j’ai déjà eu l’occasion de l’exprimer, il ne faut pas espérer que le déploiement de l’ensemble des exigences techniques, organisationnelles et humaines de la cybersécurité se fera « entre la poire et le fromage », même avec la meilleure volonté du monde ! Il faut des moyens, comme pour tout projet important.
Le RGPD a fait plus de bruit en un an que la SSI en cinq ! Il a permis de remettre sur le devant de la scène la gestion des données de santé à caractère personnel, et donc leur sécurité. Espérons que cette large promotion aura aidé à faire passer les messages et à faire progresser le sujet dans l’ordre des priorités !
Le Congrès national de la sécurité des SI de santé offre également trois jours de rencontres et d’échanges entre les RSSI, aidant ainsi à consolider l’écosystème. C’est la mission « socle » de l’Apssis : être la « maison des RSSI de santé », comme les compagnons bâtisseurs ont la leur dans presque toutes les villes de France !
Les inscriptions sont ouvertes. Le Congrès national étant strictement limité à 100 places hors conférenciers, institutionnels et partenaires, nous invitons celles et ceux qui le souhaitent à s’inscrire. Bulletin d’inscription disponible à l’adresse suivante : https://www.apssis.com/le-congres-2019/inscriptions.html
À propos de l’Apssis
Organisme unique dédié à la sécurité des systèmes d’information de santé, l’Apssis, association Loi 1901 fondée en 2010, a pour objet de constituer et d’animer l’écosystème pluriprofessionnel dédié à la réflexion sur la sécurité numérique de santé. Ses finalités, détaillées dans ses statuts, reposent sur quatre axes : son Congrès national, les manifestations dédiées à ses adhérents, la formation ciblée des personnels de santé et la promotion de la sécurité des SI de santé par l’animation des acteurs. L’Apssis fédère déjà plus de 100 membres, avec la volonté de promouvoir et de dynamiser la sécurisation du système d’information global de santé. www.apssis.com