Publicité en cours de chargement...
SSI de santé : une idée pour sortir de l’âge de l’esbroufe
Ce dernier est le prolongement du programme Hôpital numérique 2012-2017, dont il reprend d’ailleurs les grands principes, à savoir l’articulation entre les prérequis et les domaines fonctionnels, avec des évolutions notables depuis la précédente mouture comme le rattachement du RSSI à la DG (merci !), les rencontres annuelles entre le RSSI et la DG (re-merci !) et j’en passe. On pourra certes lui trouver tous les défauts de la Terre, mais il a le mérite d’exister et d’évoluer dans le bon sens, qu’on se le dise.
Si l’on devait n’en retenir qu’un défaut, mais de taille, c’est son caractère purement déclaratif. Certes, des contrôles peuvent être réalisés dans le cadre de la certification HAS, mais ils restent l’exception qui confirme la règle, et c’est bien dommage. Un seul chiffre pour prendre conscience de l’ampleur du problème : tous les établissements qui ont émargé au plan précédent ont déclaré disposer d’un RSSI, alors que l’on sait que sur 1 000 hôpitaux il y a au plus 60 RSSI. Dans une de mes précédentes fonctions, j’ai vu un établissement de moins de 100 lits remplir le dossier – et obtenir le macaron – en ayant prétendu disposer d’un RSSI. Hum !
L’équation à laquelle sont soumis les pouvoirs publics n’est cependant pas simple : comment contrôler 1 000 établissements publics, sans parler du médico-social – ce qui porte le nombre à plus de 20 000 structures ? Même avec des moyens colossaux, cela relève de la gageure. Il y a pourtant au moins quatre solutions, toutes basées sur le déport de la fonction de contrôle.
Solution 1 : les commissaires aux comptes
Les établissements au-delà d’une certaine taille voient déjà les CAC effectuer tous les ans un certain nombre de vérifications ; ajouter le contrôle des éléments SSI semble naturel. Il est certain qu’une bonne partie des établissements vont y échapper du fait de leur taille, mais avec les GHT il est possible de balayer large. Cela ramène le problème du contrôle de 1 000 hôpitaux à celui du contrôle de 135 GHT.
Solution 2 : les chambres régionales des comptes
Il y a quelques années, la CRC de Bretagne a formé certains agents aux SI de santé, à la suite de quoi quelques contrôles ayant donné lieu à des rapports extrêmement détaillés ont été réalisés en Bretagne. Certes, les CRC ne pourront pas auditer les 20 000 établissements sur le volet SSI – d’autant qu’ils ont déjà d’autres missions –, mais c’est un vecteur de plus.
Solution 3 : les assureurs
L’idée peut paraître étrange – elle n’est pas de moi –, mais si la sécurité incendie n’est pas traitée par-dessus la jambe, c’est en partie parce que les assurances incendie sont obligatoires et que les assureurs vont matraquer la prime de celui qui laissera traîner de manière ostensible des matières hautement inflammables. C’est une façon de monter la maturité en tapant au porte-monnaie, mais personnellement je n’ai aucun état d’âme sur le moyen.
Solution 4 : les RSSI existants
Il n’est jamais venu à l’idée de personne que les RSSI en poste pouvaient auditer le SI de leur établissement selon un canevas produit par le ministère ? Ah oui pardon, j’allais oublier, c’est un peu ce qu’on lit en filigrane de la directive NIS. Et il n’est jamais venu à l’idée de personne que le RSSI d’un GHT pouvait être diligenté pour auditer le SI du GHT voisin ?
Quelle que soit la solution retenue – ou la combinaison des solutions ci-dessus –, j’ai tout de même un parti pris totalement assumé : il faut faire petit et simple au début, mais monter le niveau d’exigence chaque année. J’ai adoré les CAC (si, si !), avec leur sourire et leur petit air qui vous dit : « Mais voyons, pas d’inquiétude, ce que l’on va vous demander cette année, c’est simple comme la crème anglaise Alsa. » On a vu, on n’y a pas cru, et pourtant on a vaincu… la première année. La deuxième année, ils ont donné un quart de tour de tournevis, la troisième année, un quart de plus, etc. (le plus drôle, c’était les DSI qui pensaient après la première année « ça-y-est-on-a-fait-le-travail » et qui n’ont pas vu venir l’année d’après). Bref pour les audits SSI, il faut faire pareil.
Si l’on retient l’idée que les quatre domaines critiques pour un établissement MCO sont la téléphonie, la biologie, l’imagerie et la prescription, ces domaines fonctionnels et les systèmes techniques qui les supportent vont devenir des sanctuaires maîtrisés pour lesquels il ne sera plus possible de connecter un automate biélorusse sous Windows 3.1 sans patch ni antivirus (celui qui rigole, je lui propose d’aller l’auditer moi-même), pour lesquels la cartographie sera connue et maîtrisée, tous les mots de passe par défaut modifiés (là, en principe, plus personne ne rigole) et l’ensemble des processus de changement formalisés avec des check-lists régulièrement remises à jour (là, en principe, tout le monde pleure). Bref, je me sentirais mieux le jour où je deviendrais patient.
Avez-vous apprécié ce contenu ?
A lire également.

En direct de SantExpo. De l’international à la France : comment la donnée peut réinventer les systèmes d’information de santé – la vision de La Poste Santé & Autonomie et de ses partenaires
21 mai 2025 - 22:50,
Actualité
- Pauline Nicolas, DSIHDédiée à la transformation du système de santé à travers la data et comment la data peut réinventer le système d’information hospitalier, cette nouvelle agora se présente sous la forme d’un panorama en deux langues car tournée vers l’international. Entre exemple catalan et vision française d’un écos...

SantExpo 2025 | En avant-première : la nouvelle solution de transcription de consultation par l'IA souveraine et éthique signée La Poste Santé & Autonomie
20 mai 2025 - 16:30,
Actualité
- Par Pauline Nicolas, DSIHRemettre l’échange entre le patient et le médecin au centre de la prise en charge. Telle est l’ambition de DALVIA Vox, la nouvelle solution souveraine de reconnaissance vocale et de retranscription basée sur l’IA signée La Poste Santé & Autonomie. Présentation, en direct de cette 59ème édition de Sa...

En direct de Santexpo - Numih France, une nouvelle identité pour MipihSIB et une ouverture à l’international
20 mai 2025 - 16:15,
Actualité
- Damien Dubois, DSIHÀ l’occasion du premier jour de Santexpo 2025, le tout nouveau groupement Numih France a présenté ses nouvelles ambitions, en France, avec le plan Métamorph’OSE, et à l’international, avec un partenariat au Maroc.

En direct de SantExpo | Dossier Patient Informatisé : l’AP-HP réaffirme son engagement de transformation à 3 ans, grâce à Care4U, en partenariat avec Dedalus
20 mai 2025 - 15:32,
Communiqué
- DedalusC’est une étape majeure dans l'évolution du dossier patient informatisé (DPI) de l’AP-HP, construit autour de la solution Orbis®, éditée par Dedalus, avec la transition vers la nouvelle génération de DPI : Care4U. Quinze ans après sa première installation, le DPI Dedalus est utilisé par près de 70 0...