Publicité en cours de chargement...
Sécurité du SI : implication managériale, sensibilisation et enjeux de la mutualisation
Les efforts constants de sécurisation du système d’information ont permis une amélioration significative de la résilience des systèmes. Cependant, lorsqu’elles sont trop « technico-centrées », les pratiques mises en oeuvre ne permettent pas une robustesse optimale face à l’évolution des attaques. Les retours d’expérience des sinistres médiatisés - ou courageusement partagés - démontrent la limite de la fonction RSSI lorsqu’elle demeure pilotée par la technique, laissant les usagers et les professionnels de santé impuissants.
Sans l’implication des acteurs de santé, si les barrières techniques n’arrivent pas à contenir le risque, les établissements sont proches de la paralysie et le chemin d’une confiance revenue longue et fastidieuse.
La sensibilisation est un prérequis nécessaire pour arrêter les usages à risque. Elle est aussi indispensable pour faire comprendre aux décideurs et aux utilisateurs le rôle proactif qu’ils doivent endosser pour faire naître une démarche de pilotage métier des analyses de risque, d’une part dans la relation médico-soignant et d’autre part dans le parcours de soins au sens large.
Plusieurs fonctions nécessitant cette sensibilisation peuvent être identifiées. D’une part, la DRH/DAMU/DIRAM peut jouer son rôle dans la formation continue et la tenue des annuaires, sur la base desquels les droits d’accès définis par les métiers sont déclinés automatiquement grâce aux projets d’IAM portés par les DSI. D’autre part, l’implication du DPO et du RSSI dans les parcours de soins permet d’adresser les partenaires externes de l’hôpital avec lesquels l’échange et le partage d’information n’est pas encore structuré. Sécuriser une information qui circule en interne, si elle n’est pas protégée par nos partenaires extérieurs, c’est entretenir l’illusion vers nos patients.
Par ailleurs, au-delà du périmètre régalien des DSI, l’étroite collaboration entre le RSSI et la direction biomédicale permet d’étendre la maîtrise des risques IT sur le pan le plus sensible, pour la sécurité du patient, alors même que le plan de traitement des risques est le plus difficile. Les technologies embarquées sont encore des boîtes noires et l’autonomie d’action des établissements est particulièrement réduite en raison du marquage CE. Ce rapprochement permet de projeter le savoir-faire historique des DSI dans la mise en oeuvre de solutions optimales, selon un besoin et une implémentation partagés avec les regards croisés des ingénieurs biomédicaux et des experts informatiques.
Enfin la mise en place des procédures dégradées (les PCA maîtrisés par le métier) permet de se préparer au pire si le risque résiduel se transforme en sinistre.
Intégrer les achats et les partenariats pour éviter un risque systémique
Si le chemin de la maturité s’améliore, l’implication de la Direction des Achats et plus globalement des ARS est bénéfique à la maîtrise des risques liés à la sous-traitance, mais aussi à la mutualisation des offres au sein d’une région. Si la fragmentation des exploitations au sein des GHT peut paraître onéreuse, la mutualisation au niveau régional- voire national - de mêmes solutions font émerger des risques systémiques majeurs.
Les récents retours d’expériences l’ont démontré : la diversité des systèmes d’information et des mesures de sécurisation permettent aujourd’hui d’éviter le black-out généralisé. Pour preuve, en 2021, un seul incident de sécurité a provoqué pendant plus de 72 heures l’accès au DPI de plus de 150 établissements de santé à travers le pays. La raison : la sous-traitance du DPI en mode Software As a Service (abonnement logiciel en ligne) chez le même fournisseur.
Si la maturité de la gestion des risques SI au niveau des GHT émerge enfin, il est donc nécessaire, au niveau régional voire national de coordonner les choix et les partenaires technologiques.
Face au sempiternel débat autour du retour à l’équilibre, la granularité de la mutualisation deviendra peut-être la réflexion de demain, espérons-le avant un incident majeur et en évitant donc un blackout généralisé. C’est l’un des axes stratégiques choisi par les experts de la CAIH – Centrale d’Achat Informatique Hospitalière – afin de proposer à ses adhérents une offre SSI répondant à ces enjeux.■
L'auteur
Guillaume Deraedt, Directeur de la stratégie numérique de la CAIH (Lyon)
Avez-vous apprécié ce contenu ?
A lire également.
MedGPT : le premier assistant IA médical français, alternative à ChatGPT
17 sept. 2025 - 08:48,
Actualité
- DSIHLa startup bordelaise Synapse Medicine vient de franchir une étape majeure dans le domaine de la santé numérique avec le lancement de MedGPT, un assistant conversationnel basé sur l’intelligence artificielle et conçu exclusivement pour les professionnels de santé.
Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte
15 sept. 2025 - 22:20,
Tribune
-Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...
Tour de France CaRE Domaine 2
13 sept. 2025 - 16:20,
Communiqué
- Orange CyberdefenseLa cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.
CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...
