SSI de santé : une idée pour sortir de l’âge de l’esbroufe

Ce dernier est le prolongement du programme Hôpital numérique 2012-2017, dont il reprend d’ailleurs les grands principes, à savoir l’articulation entre les prérequis et les domaines fonctionnels, avec des évolutions notables depuis la précédente mouture comme le rattachement du RSSI à la DG (merci !), les rencontres annuelles entre le RSSI et la DG (re-merci !) et j’en passe. On pourra certes lui trouver tous les défauts de la Terre, mais il a le mérite d’exister et d’évoluer dans le bon sens, qu’on se le dise.

Si l’on devait n’en retenir qu’un défaut, mais de taille, c’est son caractère purement déclaratif. Certes, des contrôles peuvent être réalisés dans le cadre de la certification HAS, mais ils restent l’exception qui confirme la règle, et c’est bien dommage. Un seul chiffre pour prendre conscience de l’ampleur du problème : tous les établissements qui ont émargé au plan précédent ont déclaré disposer d’un RSSI, alors que l’on sait que sur 1 000 hôpitaux il y a au plus 60 RSSI. Dans une de mes précédentes fonctions, j’ai vu un établissement de moins de 100 lits remplir le dossier – et obtenir le macaron – en ayant prétendu disposer d’un RSSI. Hum !

L’équation à laquelle sont soumis les pouvoirs publics n’est cependant pas simple : comment contrôler 1 000 établissements publics, sans parler du médico-social – ce qui porte le nombre à plus de 20 000 structures ? Même avec des moyens colossaux, cela relève de la gageure. Il y a pourtant au moins quatre solutions, toutes basées sur le déport de la fonction de contrôle.

Solution 1 : les commissaires aux comptes
Les établissements au-delà d’une certaine taille voient déjà les CAC effectuer tous les ans un certain nombre de vérifications ; ajouter le contrôle des éléments SSI semble naturel. Il est certain qu’une bonne partie des établissements vont y échapper du fait de leur taille, mais avec les GHT il est possible de balayer large. Cela ramène le problème du contrôle de 1 000 hôpitaux à celui du contrôle de 135 GHT. 

Solution 2 : les chambres régionales des comptes
Il y a quelques années, la CRC de Bretagne a formé certains agents aux SI de santé, à la suite de quoi quelques contrôles ayant donné lieu à des rapports extrêmement détaillés ont été réalisés en Bretagne. Certes, les CRC ne pourront pas auditer les 20 000 établissements sur le volet SSI – d’autant qu’ils ont déjà d’autres missions –, mais c’est un vecteur de plus.

Solution 3 : les assureurs
L’idée peut paraître étrange – elle n’est pas de moi –, mais si la sécurité incendie n’est pas traitée par-dessus la jambe, c’est en partie parce que les assurances incendie sont obligatoires et que les assureurs vont matraquer la prime de celui qui laissera traîner de manière ostensible des matières hautement inflammables. C’est une façon de monter la maturité en tapant au porte-monnaie, mais personnellement je n’ai aucun état d’âme sur le moyen. 

Solution 4 : les RSSI existants
Il n’est jamais venu à l’idée de personne que les RSSI en poste pouvaient auditer le SI de leur établissement selon un canevas produit par le ministère ? Ah oui pardon, j’allais oublier, c’est un peu ce qu’on lit en filigrane de la directive NIS. Et il n’est jamais venu à l’idée de personne que le RSSI d’un GHT pouvait être diligenté pour auditer le SI du GHT voisin ?

Quelle que soit la solution retenue – ou la combinaison des solutions ci-dessus –, j’ai tout de même un parti pris totalement assumé : il faut faire petit et simple au début, mais monter le niveau d’exigence chaque année. J’ai adoré les CAC (si, si !), avec leur sourire et leur petit air qui vous dit : « Mais voyons, pas d’inquiétude, ce que l’on va vous demander cette année, c’est simple comme la crème anglaise Alsa. » On a vu, on n’y a pas cru, et pourtant on a vaincu… la première année. La deuxième année, ils ont donné un quart de tour de tournevis, la troisième année, un quart de plus, etc. (le plus drôle, c’était les DSI qui pensaient après la première année « ça-y-est-on-a-fait-le-travail » et qui n’ont pas vu venir l’année d’après). Bref pour les audits SSI, il faut faire pareil.

Si l’on retient l’idée que les quatre domaines critiques pour un établissement MCO sont la téléphonie, la biologie, l’imagerie et la prescription, ces domaines fonctionnels et les systèmes techniques qui les supportent vont devenir des sanctuaires maîtrisés pour lesquels il ne sera plus possible de connecter un automate biélorusse sous Windows 3.1 sans patch ni antivirus (celui qui rigole, je lui propose d’aller l’auditer moi-même), pour lesquels la cartographie sera connue et maîtrisée, tous les mots de passe par défaut modifiés (là, en principe, plus personne ne rigole) et l’ensemble des processus de changement formalisés avec des check-lists régulièrement remises à jour (là, en principe, tout le monde pleure). Bref, je me sentirais mieux le jour où je deviendrais patient.