Publicité en cours de chargement...
Sécurité SI : les éditeurs devraient-ils dévoiler leurs faiblesses à leurs futurs clients ?
Cette présentation de la DNS à destination des DSI et RSSI a été pour Vincent Croisile, expert de l’Agence du numérique en santé, l’occasion de présenter les résultats du questionnaire « Maturité SSI » présent dans la vague 1 du Ségur, prérequis à la candidature au référencement pour tous les couloirs du programme. Ce découpage en deux vagues a été décidé car « nous avons préféré dans un premier temps élaborer un questionnaire pour savoir où en étaient les éditeurs et, sur la base de ce questionnaire, formuler des exigences en SSI à la fois fermes et atteignables », a-t-il noté.
Le questionnaire est structuré en 33 questions applicables à tous les produits et 26 questions additionnelles applicables dans certains cas de figure. Pour chaque question, la réponse doit être choisie parmi deux à quatre choix possibles correspondant à autant de niveaux de maturité SSI, avec un niveau de maturité cible fixé pour chaque question.
48 industriels ont renseigné le questionnaire pour 71 produits. Les résultats sont globalement mauvais : seulement 10 produits atteignent le niveau cible pour 80 % ou plus des critères ; 16 pour 60 à 80 % des critères. Les autres sont au-dessous, avec même 11 produits qui n’atteignent pas les 20 % de critères atteints. Le questionnaire montre de grandes variations selon les critères de sécurité considérés.
Les clients des solutions référencées peuvent exiger de leur éditeur un export de ce questionnaire pour connaître le niveau de maturité de leur solution, a précisé la DNS. Une remarque qui a créé le débat lors de la présentation. « Il est un peu dommage d’apprendre la présence de failles une fois que le contrat est signé », a réagi Philippe Tourron, RSSI à l’Assistance publique-Hôpitaux de Marseille. Pour lui, les éditeurs devraient « avoir une obligation d’alerter » leurs futurs clients. « Vendre un process qui a potentiellement des failles sans en informer le futur client est un défaut qui pourrait être attaqué », a-t-il insisté avant d’estimer que les juristes devraient se pencher sur le sujet.
Vincent Croisile a répondu que ce point avait été discuté, mais qu’une telle demande serait « compliquée juridiquement » à mettre en place « car il s’agit d’informations confidentielles ». Une précision qui n’a pas convaincu l’assistance, puisqu’il a été rappelé que les RSSI sont habilités à recevoir des informations de ce type. Pour Philippe Tourron, « si nous finançons les éditeurs dans le cadre du Ségur, la moindre des choses est la transparence ».
Mise à jour du 5 mai 2022 : Suite à notre l'article, l'Agence du numérique en santé (ANS) nous précise qu'à court terme, "les prospects des éditeurs peuvent requérir ces éléments". Elle ajoute qu'au second semestre 2022, "pour la vague 2 du Ségur numérique, ce questionnaire SSI intégrera de nouvelles exigences plus contraignantes. Celles-ci, les exigences SSI, permettront une amélioration progressive de l’écosystème avec notamment une démarche d’accompagnement."
Avez-vous apprécié ce contenu ?
A lire également.

PHAST pour la mise en œuvre des terminologies LOINC et SNOMED CT
26 août 2025 - 08:46,
Actualité
- DSIH, Damien DuboisFin juillet, l’opérateur d’interopérabilité sémantique PHAST a annoncé la sélection de son consortium par l’Agence du numérique en santé pour porter le marché de la mise en œuvre des terminologies LOINC et SNOMED CT.

Un starter kit enrichi pour faciliter les demandes d’autorisation à la Cnil
26 août 2025 - 08:44,
Actualité
- DSIH, Damien DuboisDepuis cet été, le starter kit d’accompagnement à la demande d’autorisation Cnil du Health Data Hub intègre de nouveaux outils pédagogiques. Ils aident les porteurs de projet à en évaluer l’éligibilité à une procédure simplifiée d’accès aux données de santé.

Trophées de la e-santé 2025 : cap sur les innovations qui transforment le soin
25 août 2025 - 14:46,
Brève
- DSIHLa 19ᵉ édition des Trophées de la e-santé est officiellement lancée. Véritable vitrine de l’innovation en santé numérique, cette compétition nationale – moment fort de l’Université de la e-santé – mettra en lumière, en novembre prochain, les solutions digitales les plus prometteuses pour améliorer l...

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance
08 juil. 2025 - 00:26,
Actualité
- DSIHL’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...