SI de santé et cyber : et si en 2023 on arrêtait…

Et si en 2023 on arrêtait de recourir au Cloud ?
Il y a 10 ou 15 ans, d’aucuns prédisaient que 15 ans plus tard – donc aujourd’hui – toute l’informatique serait passée dans le Cloud. Ils se sont allègrement plantés, en tout cas pour les SI de santé, car si une petite fraction a effectivement recours à des services Cloud, l’essentiel des SI reste en mode On Premise (et que ceux qui me soutiennent mordicus qu’il faudrait tout basculer me montrent comment on met les systèmes Scada biomed dans le Cloud, les moniteurs de réa dans le Cloud – j’arrête là, sinon je vais devenir désagréable). Et si on rapatriait tout ? Si on remettait en mode On Premise tous les services que l’on a gentiment externalisés depuis 10 ans ? Oui, je sais, pour certains c’est difficile, mais quand on voit les difficultés d’intégration de composants métiers externes (au hasard la prise de rendez-vous en ligne) avec les annuaires patients, avec le reste des RDV qui n’est pas géré par la plateforme (imagerie, bloc, etc.), certains DSI devraient se demander s’il ne vaudrait pas mieux faire pression sur les éditeurs de DPI pour développer les briques de RDV à mettre en frontal avec un bon vieux reverse proxy. Au moins les interfaces seraient maîtrisées – et propres. Que l’on me montre comment on fait de l’identitovigilance avec une plateforme Cloud qui identifie les « clients » par leur numéro de GSM ! Bref, à un moment donné, il va falloir se poser la question de savoir jusqu’où ne pas aller trop loin.

Et si en 2023 on arrêtait les certifications ISO ?
La question est particulièrement glissante. Les lecteurs savent combien je suis un chaud partisan de la 27001 justement, et qu’en plus je reste persuadé qu’elle va dans le sens de l’Histoire. Mais toute certification commence déjà par définir le périmètre, et c’est là qu’est le débat : bon nombre d’hôpitaux n’ont certifié à la norme 27001 que leur périmètre HDS (on parle de la plupart des établissements supports), autant dire une petite fraction de la DSI et de l’infrastructure. Autant d’efforts pour quelques serveurs qui se battent en duel dans une baie qui clignote au fond de la salle blanche, quand on sait en plus que l’obligation des établissements supports de GHT de détenir la certification HDS évolue selon la fonction mathématique sin(x), ça pique un peu tout de même. Alors oui, on n’échappe pas à la lame de fond ISO, mais on n’échappera pas longtemps à la question du périmètre : rien de plus facile que de faire de l’esbroufe et de certifier les toilettes du troisième étage, c’est juste que cela ne sert à rien.

Et si en 2023 on arrêtait l’externalisation des personnels ?
Dans les DSI, ce sont la plupart du temps les équipes micro et hot line qui sont externalisées. Il y a une histoire à cela, notamment la difficulté de faire évoluer ces personnels dans un métier qui en plus est éprouvant. Mais à ne plus avoir que des personnels d’ESN externes avec un fort taux de rotation, combien coûte au final à l’organisation le fait de ne plus disposer que d’agents qui ne connaissent rien à la structure dans laquelle ils travaillent ? Soit on passe directement à la case « plateau hot line en Inde », soit on se pose quelques questions, et notamment celle de savoir s’il ne faudrait pas distinguer la prise d’appel pure avec la notion de TAM (Technical Account Manager) que les ESN les plus matures mettent en place, et renvoyer les informaticiens… sur le terrain, au plus près des services qu’ils gèrent dans leur portefeuille.

Et si en 2023 on supprimait des logiciels ?
Bon, cette question, j’hésite à la poser : en termes de subversion, on est à peu près entre la fraude fiscale massive et le cannibalisme. Évidemment, on ne va pas désinformatiser la paye, le DPI, la biologie, l’imagerie et j’en passe. Mais tout à fait entre nous, quand je vois l’énergie dépensée à déployer des logiciels (qui servent par essence même à partager de la donnée) pour des personnels qui ne veulent la partager avec personne (cette donnée), le bon vieux cahier Clairefontaine ferait tout aussi bien l’affaire, et pour moins cher.

Et si en 2023 on supprimait les équipes cyber ?
La bonne nouvelle, c’est que l’on y travaille : quand tout sera sécurisé, mes confrères et moi, on ne servira plus à rien.
La mauvaise nouvelle, c’est que cela va prendre autant de temps que de tuer un âne à coups de figues molles.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.