Editorial de septembre
Réglementations, normes, guides, audits : entrée, plat, fromage et dessert !
PSSI-MCAS, PGSSI-S, opposabilité programmée des référentiels d’identification et d’authentification des acteurs de Santé, maintien des indicateurs Hôpital Numérique, Plan de Sécurisation des Etablissements (PSE), certification HAS, certification des comptes, Instruction 309, protocole de convergence vers une PSSI de GHT, certification Hébergeur de Données de Santé, Règlement Général sur la Protection des Données (RGPD), Guide d’hygiène de l’ANSSI… et je m’arrête là, à 12, parce que les 12 travaux d’Hercule, c’est déjà pas mal comme ambition collective !
Même si l’écosystème en rêve, rappelons que le RSSI expert en « toutes technologies confondues », chef de projets « tous types de projets », professionnel du stand-up tout public sachant sensibiliser, convaincre, voire amuser avec la cybersécurité, hypnotiseur de talent réussissant à mobiliser les Directions fonctionnelles et les Professionnels de Santé autour des projets SSI, brillant pédagogue et roi du reporting, sachant rassurer et mobiliser les Directions générales, sans oublier ses qualités rédactionnelles, son diplôme d’avocat spécialisé en droit numérique et en droit de la santé, ses appétences à la configuration des firewalls, aux analyses forensiques et à la contre-attaque cyber… n’existe pas, même dans les productions américaines spécialisées.
Et pourtant, les RSSI de GHT et de structures privées sont de plus en plus nombreux, manches retroussées. Ils cumulent régulièrement les fonctions RSSI et DPO. Ils ont des difficultés à créer un réseau de « référents ». Ils ne sont pas encore bien entendus par les Directions et les grandes fonctions médicales ou administratives. Ils ont besoin de soutien, de support, d’écoute, de partage, de représentants et de réseaux ; l’APSSIS a pour objet d’apporter ce soutien, cette représentation et de fédérer le réseau.
Cette « nouvelle saison » pourrait s’ouvrir sur 2 réflexions et envisager 2 objectifs :
- En partant du principe que la quasi-totalité des obligations précitées sont basées sur la norme ISO 27001 et ses petites sœurs (ISO 27000, ISO 27002, ISO 27005, ISO 27018 en particulier), admettons une fois pour toute que la feuille de route de tout RSSI Santé est la mise en œuvre opérationnelle de ladite norme. Que cela soit fait dans une dynamique de certification ou non, cette méthode de management de la cybersécurité permettra de répondre à 100% des exigences, d’où qu’elles soient issues. L’objectif numéro 1 serait donc : « tous sur l’ISO 27001 ». Outre son efficacité, il aurait aussi l’avantage de fédérer 100% des RSSI autour d’une méthode et d’objectifs communs, partagés et mutualisables. La déclinaison complète du référentiel de certification élaboré par l’ASIP Santé, ajoutant une série de mesures dédiées au traitement des données de santé, constituerait un bon complément.
- La seconde réflexion porterait sur la reconnaissance des fonctions RSSI et DPO, qui seront, par la force des choses, souvent cumulées. Quelle est la fiche de poste de ce travail ? Comment est positionné le RSSI ou le RSSI – DPO dans l’organisation, de façon a être à la fois « entouré, protégé » et dans le même temps, doté d’une indépendance nécessaire à l’exercice de son rôle de contrôle et d’audit ? Direction Générale, Direction de la Qualité, Direction Juridique, Secrétariat Général ? Ou DSI, ce qui n’est pas l’idéal, mais peut s’envisager dans une phase de préfiguration. Enfin, de quels moyens dispose-t-il, en ressources humaines et en budget, pour mener à bien ce vaste ensemble de tâches ? L’objectif numéro 2 serait donc : « mettre le RSSI ou le RSSI – DPO en situation d’exercer ses missions ».
L’APSSIS s’associera à ces réflexions, lors de son Congrès National 2019 en particulier, mais aussi par les publications et les retours d’expériences de ses membres.
L’APSSIS vous souhaite à toutes et à tous une bonne rentrée, et une excellente saison 2018 – 2019 !