RSSI mutualisé : l’impulsion
RSSI mutualisé : l’impulsion
135 GHT… et bientôt autant de RSSI ? En cinq ans, quasi tous les établissements se sont dotés de référents sécurité des systèmes d’information. L’heure est maintenant au recrutement de responsables SSI à part entière qui sachent se partager entre les sites regroupés.
Métiers/Compétences
« La santé constitue le secteur ministériel le plus pauvre en matière de sécurité des systèmes d’information », a déploré Philippe Loudenot, FSSI[1] auprès des ministères sociaux, lors de la table ronde consacrée aux RSSI dans le cadre du 5e Congrès de l’Apssis[2]. Les responsables de la sécurité des systèmes d’information (RSSI donc) ne sont en effet pas plus de 60 à exercer, à part entière, en milieu hospitalier, dont une grosse trentaine en CHU. En revanche, plus d’un millier de référents SSI sont désormais à l’œuvre puisqu’il s’agissait d’un prérequis du programme Hôpital numérique (lire ci-dessous).
Le référent sécurité : missions
« À défaut de pouvoir disposer d’un RSSI au sein de sa structure, précisait (en 2012) la fiche pratique n° 6 de la boîte à outils proposée par la Direction générale de l’offre de soins, l’établissement de santé nommera un référent sécurité dans le cadre de l’atteinte du prérequis 3.1 du programme Hôpital numérique[5]. »
Ce référent sécurité aura notamment pour fonction de :
· S’assurer que la PSSI de l’établissement de santé est définie et validée par la direction générale, testée et mise à jour a minima tous les trois ans ;
· Veiller à ce qu’une analyse des risques de la sécurité des SI a été menée au sein de l’établissement ;
· Mettre en œuvre la PSSI définie au sein de l’établissement de santé ;
· Auditer et contrôler l’application des règles de la PSSI et, le cas échéant, alerter la direction générale en cas de défaut d’application.
Aujourd’hui, tous les acteurs s’accordent à voir dans la mise en place des groupements hospitaliers de territoire (GHT) une chance pour le développement de la fonction RSSI, qui pourra alors être mutualisée.
Philippe Loudenot avertit toutefois : « Un RSSI mutualisé, c’est excellent. Mais s’il est rattaché à la DSI, il ne faudra pas oublier que la PSSI[3] exige un point de situation au moins deux fois par mois du RSSI avec les directeurs centraux. »
Intégration à la qualité/gestion des risques
Yohann Fourchon est l’un des premiers RSSI à exercer au sein d’un groupement, le GHT d’Armor, soit cinq établissements qui regroupent 6 500 à 7 000 agents. Son rattachement hiérarchique – le DSI – s’est imposé d’emblée « puisqu’il porte la démarche SSI depuis le départ », explique-t-il. C’est-à-dire depuis les premiers efforts de rapprochement des établissements, il y a une dizaine d’années, en passant par une direction commune et une CHT[4].
Il note un avantage à être positionné au sein de la DSI : « On voit tout ce qui se passe. »
Ce qui ne l’empêche pas de développer une approche de la sécurité intégrée à la qualité/gestion des risques plutôt qu’une démarche technique. « Je ne suis pas informaticien ; j’ai un cursus qualité/gestion des risques complété par un master en SSI. J’interviens au comité qualité/gestion des risques de chaque établissement et, à ce titre, je présente et j’anime le volet SSI au même titre que les autres vigilances. »
S’il définit ses missions comme étant « classiques » au regard de la description du répertoire des métiers, il souligne qu’il est « très présent sur le terrain, pour faire de la pédagogie autour de la SSI » (sous-entendu auprès des métiers), mais aussi « auprès des tutelles, partenaires avec lesquels on travaille énormément, notamment l’Agence régionale de santé, dans le cadre du programme Hôpital numérique ». Il est en effet responsable de l’atteinte des prérequis et des cibles du programme pour tous les établissements du groupement.
Levier et prototype
Aujourd’hui, il peut se féliciter que la démarche de mutualisation du RSSI ait également eu des effets indirects, au-delà de la seule promotion de la sécurité. Elle constitue un levier pour mettre en œuvre la DSI commune au niveau du GHT et a servi, en quelque sorte de « prototype » pour développer d’autres mutualisations de fonctions supports.
DSIH Magazine N°21, mai 2017
Légende de la photo :
De gauche à droite : Franck Chamming’s (RSSI, GCS SESAN), Philippe Loudenot (FSSI auprès des ministères sociaux), Cédric Cartau (RSSI, CHU de Nantes), Charles Blanc-Rolin (RSSI, CH de Saint-Flour)
[1] Fonctionnaire de la sécurité des systèmes d’information.
[2] https://www.apssis.com/le-congres/2017/programme.html
[3] Politique de sécurité des systèmes d’information.
[4] Communauté hospitalière de territoire. Lire DSIH Magazine n° 19, pages 38-40.
[5] Le Guide des indicateurs des prérequis et des domaines prioritaires du socle commun de la DGOS est disponible à l’adresse suivante : http://social-sante.gouv.fr/IMG/pdf/DGOS_Guide_d_indicateurs_Programme_Hopital_Numerique_-_avril_2012.pdf