Editorial de rentrée
Lorsqu’en 2010, l’APSSIS était créée, on était au tout début. Le Programme Hôpital 2012 en cours finançait les blocs métiers (DPI et modules associés, PACS de territoires, pilotage médico économique, entre autres), et les prérequis sécurité Hôpital Numérique allaient poser les fondements de la démarche SSI. Le chemin parcouru par l’Association, mais surtout par les professionnels de santé de toutes obédiences (techniciens, ingénieurs, DSI, RSI, RSSI, Médecins, Directeurs, Institutionnels et Industriels…) est conséquent. 2017 est l’année de la maturité.
Le schéma de prise en compte de la sécurité des SI de Santé est clair : PSSI-MCAS du Ministère, PGSSI-S de l’ASIP Santé (avec opposabilité prévue des référentiels), PSSI de GHT et / ou d’établissement, plan d’action SSI, puis contrôles réguliers lors des certifications (HAS, Comptes, et à moyen terme, ISO27001) ou des audits diligentés par la DGOS ou les ARS.
Tout semble tracé, et de mieux en mieux compris et accepté. Il reste toutefois un élément majeur à corriger, ressenti par 100% des structures : l’absence de moyens. Dans un contexte budgétaire certes tendu, continuer de faire l’impasse sur les moyens humains absolument nécessaires à la mise en œuvre concrète de la cyber sécurité serait une erreur. Soyons simples : il y a 135 GHT, il faut 135 RSSI temps plein, et bientôt 135 DPO très probablement temps plein également, au regard des responsabilités réelles afférentes à la fiche de poste, dans un environnement GHT complexe supporté par un SI rempli de données à caractère personnel, de santé ou autres.
RSSI et DPO à la fois : pourquoi pas ? Il y a du pour et du contre, de l’intérêt et du conflit d’intérêt, et des métiers encore en construction. Alors toute expérience sera bienvenue…
La mise en œuvre d’une gouvernance adaptée de la SSI nécessite elle aussi quelques moyens : des profils adaptés, et donc formés, au sein des DSI (ou une sous-traitance maîtrisée), des maîtrises d’ouvrages structurées qui pensent sécurité, des responsables de traitements en phase avec leurs responsabilités et des professionnels de santé impliqués et sensibilisés.
Il semble irréaliste de penser que « ça va passer » en l’état des forces en présence. Et il est temps d’en prendre acte, avant le lancement des grands chantiers de construction des SI de Santé territoriaux, qui embarqueront dans leur structure des milliers d’utilisateurs à gérer, des centaines d’applications interconnectées traitant des données de santé et des architectures techniques lourdes.
Après la maturité et la compréhension des enjeux, il faut maintenant passer le cap du réalisme et concrétiser « en vrai » les règles, recommandations, bonnes pratiques et architectures de sécurité. Alors 2018, année du réalisme ?