Logo ANAP
Ce site requiert l'activation de javascript pour être utilisé, merci de l'activer.
S'abonner

 1067 vues

Bénéfices

Changement culturel

Grâce à la procédure d’agrément, un changement culturel au sein du GHT s’est opéré. Tout d’abord, les équipes infrastructures se sont renforcées et la formation est devenue un point essentiel pour passer dans un réel mode « services ».

De plus, cet agrément ayant impacté l’ensemble des ressources de l’hôpital et non seulement la DSI, cette dernière a eu une légitimité accrue pour la diffusion de messages en interne. La sollicitation de financements auprès de la direction et les demandes auprès des autres établissements afin qu’ils améliorent leur niveau de sécurité n’en ont été que plus facilitées.

La culture, devenue pro-informatique et plus facilement sensible à la sécurité a permis l’acceptation de procédures qui, pouvaient parfois être perçues comme lourdes, a permis d’atteindre un renforcement considérable du niveau de sécurité.

Aujourd’hui, les projets d’infrastructures égalent en financement ceux dédiés aux logiciels.

D’un point de vue du personnel informatique, le recentrage du métier d’une partie des informaticiens vers la technique est grandement apprécié.

De meilleures performances et une plus grande sécurité informatique

L’amélioration des outils de sécurité SI, ainsi que l’instauration de procédures d’utilisation du SI, visant à plus de sécurité et de traçabilité, ont été apportées par la procédure d’agrément HDS.

Loin d’avoir été vues comme des contraintes majeures par les utilisateurs, elles ont été acceptées non seulement au CH de Troyes, mais par l’ensemble des utilisateurs du GHT.

De plus, l’acquisition d’outils SI plus récents a apporté à la fois une meilleure sécurité et une meilleure performance accordant ainsi au CH les moyens de renforcer son rôle de site pivot du GHT.

Si le CH de Troyes a été la cible de plusieurs attaques par le passé, aujourd’hui, l’établissement bloque chaque jour plus d’une centaine d’attaques et n’a pas été impacté par celles largement médiatisées au cours des derniers mois. Pour autant fin décembre, une attaque de type « crypto monnaie » visant à utiliser la puissance machine des datacenters du CH de TROYES a quelque peu embolisé le système et impacté la continuité des soins pendant quelques heures. Ceci a induit des actions correctives en lien avec le partenaire sécurité du GHT, la société Orange Cyberdéfense, détentrice du marché public ad hoc.

Une légitimité pour les autres projets de certification SI.

Le projet d’agrément HDS a permis au CH de Troyes de mettre en place des actions et des méthodes de travail garantissant l’atteinte du niveau d’exigence fixé dans le cadre d’autres projets de certification. Cela a notamment été le cas avec le projet Hôpital Numérique qui a valu des félicitations des auditeurs.

Les autres départements y ont vu tout l’avantage apporté pour les projets de certification HAS, du laboratoire, de la certification des comptes….

Le projet d’agrément a donc été une démarche très structurante pour l’établissement.

Points de vigilance

L’expertise juridique

Il manque au sein du GHT l’expertise juridique adéquate au projet d’agrément HDS. Il s’agit là d’un point véritablement sensible étant donné la responsabilité qui incombe à l’hébergeur. Pour cette raison, l’appel à un prestataire extérieur a été indispensable et le restera.

Lourdeur du projet

Le projet d’agrément est un projet nécessitant de nombreuses ressources et une implication sur le long terme. Étant donné que les établissements du GHT acquièrent de nouveaux matériels informatiques et biomédicaux qui viennent s’interfacer avec le SI, le processus de réflexion sur l’hébergement et la gestion de ces matériels est sans fin, et cela impose de remettre en question en permanence les aspects de sécurité.

Faire preuve d’humilité suite aux audits

Les audits externes sur la gestion des risques mettent en lumière des points difficiles à accepter. Ils sont souvent éprouvants, en ce sens qu’ils mettent en évidence des failles pouvant se révéler désastreuses en termes de protection des données et d’image pour l’établissement (c’était l’objet visé notamment par les tests d’intrusion réalisés en phase préliminaire). Il faut cependant entendre les observations des auditeurs, les accepter, car ils restent indispensables pour se comparer aux bonnes pratiques.

Penser à l’après-agrément/certification

Il est nécessaire de penser très tôt à l’après-agrément/certification avant d’initier le projet.

En effet, une fois l’agrément obtenu, l’établissement devra être en mesure de tenir ses engagements.

Or, face à la complexité croissante des évolutions technologiques, les établissements sont-ils en capacité d’assurer le niveau de formation nécessaire au personnel, de réaliser une veille indispensable pour se préparer à cette complexité, tout en maintenant les équilibres budgétaires ?

Pour répondre à cette question, il faut avoir à l’esprit que faire vivre l’agrément nécessite des équipes pointues d’informaticiens, d’ingénieurs, mais aussi de juristes (pour le respect des contrats de service avec les établissements du GHT, les obligations de l’agrément, etc.) impliqués en permanence.

Facteurs de résistance

Un changement des métiers de la DSI

Avec l’hébergement des données du GHT, la crainte du personnel aurait pu être une évolution de leur métier pour moins de technique et plus vers une relation commerciale de type client/fournisseur avec les autres établissements membres et partenaires du GHT. Ce point n’a pas été problématique dans le cadre du projet.

Des moyens économiques importants

Il a d’abord été difficile d’expliquer à la DAF pourquoi l’accent avait été mis sur l’infrastructure au point que le budget dédié surpasse celui des logiciels métiers. D’autant plus que le Comité de Pilotage de la Transition numérique avait une vision déjà bien construite du futur SI du GHT. La sensibilisation à l’importance de la sécurité du SI et l’actualité a joué un rôle important pour lever cette difficulté.

Un besoin élevé en personnes-ressources

La question du manque de ressources dédiées au projet freine considérablement le projet. En effet, avec moins d’un ETP impliqué, la demande d’agrément a été considérablement allongée au point de ne pouvoir être déposée avant l’évolution de la loi concernant le besoin d’être non plus agréé, mais certifié.

La multiplicité des projets d’ensemble du GHT

À cela s’ajoute le fait que de nombreux autres projets clés du GHT sont menés simultanément et nécessitent des ressources essentielles à la demande d’agrément HDS (DIM, RH, Qualité, etc.), imposant de faire un choix dans la priorisation et donc de ralentir certains projets.

Alourdissement des tâches pour les utilisateurs

Certaines décisions visant à l’amélioration du SI et de sa sécurité ont pu se révéler lourdes pour les utilisateurs. C’est notamment le cas de la suppression des comptes génériques indispensables à la traçabilité, mais moins facilitants pour les utilisateurs (nécessité de s’enregistrer nominativement, de se déconnecter/reconnecter…).

Facteurs clés de succès

Mise en évidence des usages

La mise en évidence d’usages pertinents dans le cadre de la collaboration au sein du GHT, avec d’autres établissements et avec la médecine de ville, au travers notamment du portail MyGHT, a permis de légitimer la démarche d’agrément visée par le CH de Troyes et l’autorisation temporaire d’hébergement de la part de l’ARS.

Les usages motivent légitimement la démarche.

Une implication de l’ensemble du CH

Le fait que le projet d’agrément ne concerne pas uniquement la DSI et impacte l’ensemble des services des établissements du GHT (RH, DAF, DIM, Qualité…) a permis de s’assurer du soutien de l’ensemble du personnel, notamment dans le cadre de la mise en place de nouvelles organisations et procédures.

Surmédiatisation des dangers SI.

Afin de s’assurer du soutien de l’ensemble des établissements du GHT et de leur personnel, la DSI a mis en place un programme de communication sur les dangers liés aux attaques informatiques et aux mauvaises utilisations du SI. Cette communication mettait notamment en évidence les situations difficiles dans lesquelles se sont retrouvés plusieurs établissements de santé français, ainsi que de nombreuses entreprises. Une sensibilisation a été menée concernant la gestion des mails, des clés USB… et les règles de sécurité à respecter en cas de présence d’éléments suspects.

Cette surmédiatisation, ajoutée à un contexte d’attaques sécurité a permis de changer considérablement les pratiques et la vigilance au sein de l’établissement.

Synthèse

Le projet de dépôt d’un agrément HDS a permis d’obtenir une véritable maturité à la fois de l’infrastructure, mais surtout du personnel de l’établissement face aux risques de sécurité.

À ceci s’ajoute la réelle prise de conscience, à tous les niveaux, des risques et des moyens nécessaires à mettre en œuvre pour disposer d’un SI fiable et sécurisé, éléments indispensables pour tout partage de données sensibles que sont les données de santé.

L’interrogation sur la capacité du CH de Troyes à maintenir dans la durée un niveau approprié de services et de sécurité pour les membres du GHT et l’attente d’éclaircissements juridiques sur certaines possibilités moins contraignantes amène cependant l’établissement à retarder son choix final quant à l’externalisation ou l’internalisation du SI.

Cette réponse vous paraît-elle utile ?
Date de parution : 20/06/2019

Commentaires - Soyez le premier à déposer un commentaire

Pour ajouter un commentaire vous devez vous identifier

Vous êtes actuellement sur la page consacrée à Partager les expériences concernant l'hébergement du SI d'un GHT (Retour d'expérience, témoignage).

Vous êtes perdu ?

Haut de page

Vous êtes actuellement sur la page consacrée à Partager les expériences concernant l'hébergement du SI d'un GHT (Retour d'expérience, témoignage).

Vous êtes perdu ?