La nouvelle réglementation pose problème à l’association des structures informatiques hospitalières publiques autonomes
Récemment, l’association des structures d’informatique hospitalière publiques autonomes a émis son avis contre l’ensemble des réglementations portant sur les systèmes d’information hospitalier.
Dans une déclaration publique par la voix de son responsable en cybersécurité Monsieur Nicolas Jolivet ce 23 juin 2021 durant le congrès de l’Association pour la sécurité des systèmes d’information de santé, elle déplore ce qu’elle appelle : « le maquis des réglementations.
Cet article va aussi vous intéresser : Les hôpitaux manquent des ressources face à la cybercriminalité
À titre de rappel, il faut préciser que Monsieur Nicolas Jolivet est le responsable de sécurité de système d’information du groupement d’intérêt public de santé de Bretagne. Il a donné la position de l’association lors d’une table ronde qui a été organisé pour pension les enjeux des certifications des systèmes d’information hospitalier dans le référentiel future Maturin-H.
« Le contexte légal et réglementaire est de plus en plus riche et émane d’acteurs différents » constate de son côté Béatrice Berard, officier de sécurité pour les systèmes d’information aux Hospices civils de Lyon (HCL).
« On a [le plan d’action connu sous le nom de] l’instruction 309, qui dépend des agences régionales de santé [ARS]. On a eu un courrier de [la précédente ministre de la santé Agnès Buzyn] orienté vers un plan de renforcement cyber, suivi par le ministère. Et si on est établissement support d’un groupement hospitalier de territoire, on a l’OSE [opérateurs de services essentiels] avec des exigences régies par des arrêtés de 2018 et supervisé par l’Agence nationale de la sécurité des systèmes d’information, » énumère cette dernière
« Si on est bon élève, on n’a pas de retours, donc on n’est pas dans l’amélioration continue » a-t-elle ajouté en déplorant la situation.
De son côté Nicolas Jolivet ajoute que les règles applicables aux opérateurs de services essentiels « ne s’appliquent pas à tout le SIH, mais seulement au SI essentiel », a ajouté Nicolas Jolivet. Par ailleurs la certification destinée aux hébergeurs de données de santé.
La certification hébergeur de données de santé « ne s’applique plus complètement », car le groupement hospitalier territoriaux peuvent en être privés sous conditions et « il n’y a pas de référentiel de remplacement », note celui-ci.
« On a aussi le label cloud de confiance, qui devrait concerner les données critiques. Est-ce que les données de santé seront considérées comme des données critiques ? On ne sait pas », souligne enfin ce dernier.
Dans un autre sens les audits de sécurité proposés par le CERT santé et l’Agence nationale de sécurité de système d’information n’implique pas la sécurité interne du système informatique.
« On espère que Maturin s’appliquera à tout le SIH », souligne Nicolas Jolivet.
La certification HDS « n’est pas seulement un contrôle à un instant T, c’est la mise en place d’une démarche », a souligné Nicole Genotelle, membre de l’association et RSSI du GIP Mipih, « Elle comprend 300 points de contrôles à tous les niveaux du SIH. ».
« Il y a également un risque que chacun pense que c’est au voisin de gérer, ou que les établissements parties pensent que c’est à l’établissement support de s’en occuper et que des acteurs se désintéressent de la sécurité des système d’information », prévient-elle.
Accédez maintenant à un nombre illimité de mot de passe :