Logo ANAP
Ce site requiert l'activation de javascript pour être utilisé, merci de l'activer.
S'abonner

 1098 vues

Le projet d’obtention de l’agrément débute en 2015. La première action a été de définir le périmètre visé par l’agrément. Ensuite le prestataire sécurité retenu a été sollicité pour réaliser des audits préalables puis un accompagnement dans la réalisation du projet d’agrément.

Définition du périmètre HDS

Il a été décidé de procéder à l’agrément HDS en mode IaaS, car il s’agissait de la solution la moins complexe. En effet, cette solution permet d’abord de capitaliser sur les datacenters troyens, qui étaient déjà performants lors de l’initiation du projet. De plus, même si une grande majorité des établissements disposait pour la plupart de solutions DPI communes, le nombre d’applications présentes au sein du GHT (plus de 150 logiciels métiers) était peu susceptible d’apporter le bon niveau de service attendu pour un mode SaaS.

Le projet d’agrément a donc porté sur l’infrastructure (machines virtuelles, OS, routeurs, cœur de réseau, switchs, entrées VPN au data-center, firewalls…) et sa supervision.

Projet d’agrément HDS

Déroulement du projet

La première étape du projet a été de faire appel à des spécialistes du domaine pour réaliser un audit préalable sur l’infrastructure du SI (virtualisation des serveurs, stockage…).

Ensuite, un deuxième audit a été mené pour pouvoir évaluer la sécurité du système d’information au travers de tests d’intrusions à distance et sur site.

Ces deux audits ont permis de mettre en avant des points d’amélioration tant sur l’axe matériel que sur la sécurité périmétrique, la responsabilisation des acteurs et l’organisation de la gestion de la sécurité (SMSI). Suite à ces audits préliminaires, une analyse de risque (§. 5. de l’agrément HDS) sur la base de la méthodologie EBIOS a été menée. Cela a permis la création d’une feuille de route pour pouvoir prétendre à l’agrément HDS.

Cette première phase d’audit a duré entre 6 mois et 1 an, du fait des procédures de marché utilisées pour la sélection du prestataire et pour la réalisation elle-même de la mission.

Ce processus d’analyse sécurité est depuis constant, notamment du fait de nouveaux partenariats entre le GHT et des établissements médico-sociaux, mais aussi d’une réponse à toujours faire évoluer face à l’apparition de nouveaux risques. D’où le besoin d’avoir des audits ponctuels et un accompagnement sur le long terme. Pour cette raison, les contrats d’accompagnement avec les prestataires courent sur une période de 5 ans.

La première action qui a résulté de ces audits a été la mise en place d’un accès VPN et Internet au cœur de réseau par les divers établissements hébergés. Une amélioration de l’infrastructure et du matériel a ensuite été menée ainsi qu’un changement de culture tourné vers la sécurité du SI au sein de l’établissement pivot et chez tous les membres et partenaires du GHT.

Aujourd’hui l’ensemble du dossier d’agrément est prêt. Quelques chapitres n’ont pas été finalisés :

  • Médecin hébergeur en lien avec le DIM du Pôle Information Médicale et Performance ;

  • L’évaluation des moyens RH en lien avec la DRH du CHT ;

  • La Politique d’Assurance Qualité en lien avec le Pôle Qualité gestion des Risques du GHT ;

  • Les éléments dépendants de la Direction du Patrimoine du CHT (plan des installations techniques : alimentation, climatisation, etc.)

Rôle du RSSI

Aujourd’hui, un informaticien est formé pour assurer le rôle de RSSI, de CIL et de DPO. À ce titre, il a une forte implication dans le projet.

Rôle du DSI

Outre le management du projet, le rôle de M. De Block a porté sur la veille réglementaire et la sensibilisation de la direction aux moyens à mettre en œuvre.

Rôle juridique

L’établissement n’étant pas doté des compétences nécessaires a fait appel à un prestataire spécifique expert du domaine tout au long du projet.

Impacts de l’agrément

Le travail réalisé pour l’agrément a permis à l’établissement de considérablement améliorer la sécurité du système d’information ainsi que le comportement de ses utilisateurs.

Le projet d’agrément va bien au-delà de la DSI. Le rôle du médecin DIM, de la politique d’assurance qualité, des ressources humaines est aussi primordial.

Toutefois, si le projet d’agrément du GHT semble complet du point de vue du système d’information, d’autres départements n’ont pas pu y contribuer suffisamment, comme les départements Qualité, RH et DIM. En effet, de nombreux autres projets essentiels du GHT ont nécessité leurs ressources, ce qui a fait passer le projet d’agrément à un second plan.

Depuis le début du projet, l’évaluation des ressources mises à disposition est la suivante :

  • 10-20 % du temps du RSI ;

  • 10-20 % du temps des autres personnes de la DSI ;

  • 10-20 % du temps du DSI.

En prenant les valeurs hautes, 0,6 ETP aurait été dédié au projet d’agrément.

L’impact matériel a quant à lui porté sur :

  • L’infrastructure ;

  • Vplex ;

  • Les antispams ;

  • Les firewalls internes ;

  • Les reverse proxys ;

  • La centralisation des logs ;

  • La gestion des comptes à privilèges (bastion administrateur…) ;

  • Le contrôle des accès physiques.

En termes budgétaires, l’investissement global est de 350 k€ pour le matériel et de 150 k€ pour les prestations.

D’autres éléments expliquent le délai du projet, notamment les évolutions réglementaires avec, pour exemple le remplacement de l’agrément par une procédure de certification qui a pesé sur le projet.

Cette évolution réglementaire est apparue juste avant le dépôt du dossier d’agrément. Le GHT a dû donc mettre son projet d’agrément en attente afin d’évaluer le type de procédure vers laquelle s’orienter.

D’autres interrogations se posent, notamment le besoin d’avoir un hébergement HDS pour les applications, et notamment le portail ville/hôpital déjà existant. Une piste possible envisagée est d’externaliser cette brique chez un hébergeur certifié HDS. Le GHT n’aurait, en effet, pas les ressources nécessaires pour mener à bien un nouveau processus de certification sur ce périmètre.

Si l’ensemble des logiciels devait être hébergé de façon externalisée, il est convenu que cet hébergement se fasse avec un seul hébergeur afin d’optimiser les interfaces avec les éditeurs et s’assurer d’une communication optimale entre les applications.

Calendrier du projet

Étant à la croisée des chemins, le calendrier est encore flou au-delà du mois de décembre 2017.

Plusieurs éléments de réponse sont en attente, notamment celle de l’ASIP-Santé concernant la possibilité de faire porter la certification par des hébergeurs externes déjà HDS. Une barrière juridique fait l’objet de discussions entre l’ASIP-Santé et le législateur. Une fois ce point d’ombre éclairci, le GHT pourrait prendre une décision sur la façon de procéder concernant la certification et/ou l’hébergement externe avec un prestataire voire en partenariat avec un CHU.

Suite des travaux

Pour le moment, le projet d’agrément est en arrêt.

La réponse de l’ASIP est sans équivoque : soit le GHT externalise, soit il se lance dans la démarche de certification.

De profonds bouleversements en termes de partenaires du parcours de soins sont en cours (et doivent pour le moment rester confidentiels), mais pourraient encore accroître la taille du GHT (en nombre de lits) et la nécessité d’avoir des outils informatiques transversaux hébergés au CH de TROYES et donc motiver la piste de la démarche de la certification HDS. Parallèlement, le CH de TROYES a décidé de tenter d’externaliser l’hébergement de son portail sécurisé ville-hôpital MyGHT, afin de se rendre compte des impacts en termes de coût, de fonctionnement et de maintenance.

Cette réponse vous paraît-elle utile ?
Date de parution : 20/06/2019

Commentaires - Soyez le premier à déposer un commentaire

Pour ajouter un commentaire vous devez vous identifier

Vous êtes actuellement sur la page consacrée à Partager les expériences concernant l'hébergement du SI d'un GHT (Retour d'expérience, témoignage).

Vous êtes perdu ?

Haut de page

Vous êtes actuellement sur la page consacrée à Partager les expériences concernant l'hébergement du SI d'un GHT (Retour d'expérience, témoignage).

Vous êtes perdu ?