Ségur : un webinaire de l’ANS sur la sécurité des systèmes d’information

La semaine dernière, l’Agence du numérique en santé a diffusé un nouveau webinaire, pour une meilleure prise en compte des éléments de sécurité des systèmes d’information dans le volet numérique du Ségur de la santé, présenté par Vincent Croisile et Emmanuel Clout, respectivement expert Sécurité et directeur de programme à l’ANS. En voici quelques éléments.

Le volet numérique du Ségur : une opportunité unique

Pour l’ANS, le volet numérique du Ségur de la santé constitue une opportunité unique pour permettre aux citoyens d’être acteurs de leur santé et aux professionnels de santé d’améliorer leur cadre de travail, par la généralisation du partage fluide et sécurisé des données de santé entre professionnels de santé et avec l’usager pour mieux prévenir et mieux soigner.
Grâce au financement du Ségur, l’objectif est de passer en deux ans de 10 millions à 500 millions de documents échangés par an via le DMP et la messagerie sécurisée de santé.

L’actualité fait de plus en plus souvent état de cyberattaques touchant des structures de soins, dont le fonctionnement peut être impacté de façon grave, voire même irréversible dans certains cas. Et les établissements de santé manipulent au sein de leurs systèmes d’information des données de santé à caractère personnel qui figurent parmi les plus sensibles et doivent à ce titre disposer de mesures de protection adaptées.

De plus, l’application des bonnes pratiques de sécurité est plus que jamais indispensable sur les SI de ces structures et doit être prise en compte dans les solutions numériques qu’elles utilisent au quotidien. Il est donc essentiel que cette dimension soit abordée dans le cadre du Ségur du numérique en santé.

Vague 1 : Prévention et sensibilisation aux sujets SSI

Deux étapes sont ainsi prévues pour améliorer la sécurité des solutions. La première est destinée à mieux agir avec :

• Une évaluation du niveau de maturité actuel des solutions sur les problématiques de sécurité des SI en répondant au questionnaire dédié dans le cadre du référencement Ségur ;
• Un positionnement des solutions par rapport à une cible affichée ;
• Une mise en œuvre par les industriels, si nécessaire, d’un plan d’actions permettant d’atteindre rapidement la cible fixée.

Elle se concrétisera par la diffusion d’un questionnaire « Maturité SSI », prérequis pour toutes les solutions candidates au référencement. Il s’agit de réponses déclaratives, dont le contenu ne pourra pas être un obstacle à la labellisation. Par ailleurs, les données renseignées ne seront pas rendues publiques. Un export du questionnaire depuis Convergence pourra néanmoins être demandé aux industriels par les établissements clients de la solution concernée.

Vague 2 : Exigences SSI transverses

La seconde étape sera la réponse à des exigences de sécurité des SI ajoutées aux dossiers de spécifications de référencement et une vérification de la conformité aux exigences dans le cadre du référencement Ségur.
Les résultats du questionnaire de la vague 1 seront exploités pour adapter le niveau des exigences et les objectifs en examinant les points d’attention (points forts/points faibles). Des exigences transverses SSI seront intégrées aux DSR avec un processus de vérification de conformité.

Le questionnaire

Le questionnaire comporte des questions portant principalement sur des aspects fonctionnels ou techniques précis, mais aussi sur le niveau de prise en compte, voire de conformité, à des référentiels ou guides existants. Chaque réponse doit être choisie parmi deux à quatre choix possibles selon les questions, correspondant à autant de niveaux de maturité SSI.

Le questionnaire, à remplir par l’éditeur dans l’outil Convergence, donne pour chaque question un niveau cible qui permet de se positionner par rapport à l’attendu et d’en déduire si besoin un plan d’actions pour atteindre l’objectif. Le questionnaire est structuré en 32 questions applicables à tous les produits, avec 26 questions additionnelles applicables uniquement dans certains cas de figure. Les différents volets additionnels sont sélectionnés via une question préliminaire de sélection du produit.

Accès au webinaire sur le site de l’ANS