Comment rater son projet d’externalisation de données de santé en 6 étapes ? #3
Migrer son système d’information de santé à isopérimètre
« Le projet va aller vite ! C’est de toute façon pour hier … Je fais une copie de mes 20 VMs sur un NAS et l’hébergeur les intégrera dans son infrastructure. Ensuite, on passera en production. Encore un souci en moins à gérer de mon côté »
Le fait d’externaliser son SI chez un spécialiste ne dédouane pas de se poser LA question de la fiabilité de l’architecture technique et logicielle sous-jacente. Un SI, par définition vivant et vulnérable, est programmé dès le départ pour être obsolescent ! En partant des besoins et du triptyque « Infrastructure – Applications – Données », n’est-ce pourtant pas là le bon moment pour faire du « reverse engineering » ? Cette fameuse rétro-ingénierie qui analyse en profondeur le système existant, et qui avec une bonne dose de réingénierie permet de l’améliorer pour produire le système cible ? Ainsi, il peut exister plusieurs approches dans le projet d’externalisation, approches qui peuvent d’ailleurs coexister dans une roadmap cohérente et pilotée :
- La modernisation (première étape de la marche avec la prise en compte de diverses revues : revue d’infrastructure, revue d’architecture logicielle, revue de code, revue de sécurité, tests OWASP, …, et premières préconisations comme la mise à niveau des systèmes d’exploitation, du middleware (Java, PHP, Oracle, …), la mise en œuvre d’une infrastructure de firewalling à double niveau, …)
- Le cloud-native (la mécanique-même du SI est totalement recodée pour utiliser les meilleures caractéristiques du cloud comme la scalabilité, l’élasticité, les services « as a service » à valeur ajoutée, avec notamment le recours aux micro-services et aux désormais inévitables containers)
- Le Saas (les briques concernées du SI sont remplacées par des solutions sur étagère et full-managée par l’hébergeur et/ou l’éditeur)
Quelle que soit l’approche retenue et pour être une réussite pérenne, le projet d’externalisation des données de santé devra disposer d’une solide base de « cyber sécurité » dans chacune des hélices de son ADN, base permettant de mettre en œuvre le « Security by Design »; de nombreux guides et normes permettent d’ailleurs d’en faire l’implémentation (guides CNIL, ANSSI, ISO27k, SecNumCloud, …).
Cela paraît une évidence, l’externalisation d’un SI de santé est le moment ou jamais pour lui donner un coup de jeune et le préparer pour les trois prochaines années (au moins). La seule règle qui vaille vraiment est de ne pas toucher aux applications « legacy » ; une migration serait trop coûteuse à tout égard.
Conseil n°3 : Profiter de l’externalisation pour mettre à niveau tout ou partie des éléments du système d’information de santé