Comment rater son projet d’externalisation de données de santé en 6 étapes ? #1
L’hébergement de données de santé à caractère personnel nécessite une maturité de la part des équipes de la DSI. C’est un projet à part entière qui nécessite de tenir compte de composantes techniques, organisationnelles et humaines. Comme tout projet de transformation digitale, il convient d’adopter les bons réflexes afin d’éviter d’éventuels dysfonctionnements futurs.
1) Faire l’impasse sur une vraie analyse de risques
« L’analyse de risques ? Pas vraiment le temps, je veux que tout soit disponible tout le temps. Et puis, chez un hébergeur HDS, c’est lui qui porte l’entière responsabilité du bon fonctionnement de mon SI, il y a même des pénalités pour cela ! »
C'est tentant de vouloir externaliser son DPI (Dossier Patient Informatisé) pour des raisons réglementaires par exemple et de vouloir aller vite. Mais quels sont réellement les risques si je le fais ? Indisponibilité du système, altération des données, divulgation des données, ... Seule l’analyse de risques (et son résultat) permet d'être en capacité d'appréhender sereinement la cible à atteindre. Mieux, elle est indispensable avant de lancer son projet d’externalisation. Quel est le périmètre exact que je souhaite externaliser ? Suis-je menacé, par quoi, par qui et comment ? Quels sont mes vulnérabilités ? Un travail préparatoire méticuleux est indispensable : identification des biens essentiels, des biens supports et de leurs relations - étude des événements redoutés et des scénarios de menaces - appréciation et évaluation des risques - mesures de sécurité et plan d’actions. En fonction de l’évaluation des risques et de la classification de ceux-ci en prenant en compte différents facteurs comme la probabilité d’occurrence et les impacts, un ensemble de mesures de sécurité doit être mis en place afin de réduire les risques.
Cela dit, deux exemples à presque 20 ans d’intervalles permettent d’illustrer que le risque Zéro n’existe pas :
- 11/09/2001 – New York : certaines entreprises avaient leurs salles informatiques dans les deux tours jumelles (la production dans la tour n°1 et le secours dans la tour n°2). Evénement à faible probabilité (effondrement des 2 tours en même temps) pour un impact très fort (disparition complète du SI et faillite des entreprises concernées). Un site de secours installé sur un site géographique suffisamment éloigné du site de production aurait permis la reprise d’activité
- 17/03/2020 – France : la crise du Covid-19 entraîne un confinement national général et la mise en place du télétravail pour 8 millions de personnes en l’espace de quelques heures. Evénement à faible probabilité (mise en place du télétravail pour tous les collaborateurs d’une même société en même temps) pour un impact très fort (perturbation de service et ouverture de brèches de sécurité). Un PRA testé régulièrement permet d’aborder ce type de scénario de façon sereine tout en étant sécurisé
Conseil n°1 : Définir le périmètre de l’externalisation, mener une analyse de risques avec une méthodologie éprouvée comme EBIOS et penser à … l'impensable