Michel Gagneux : « Nous sommes maintenant très présents sur le front hospitalier. »

L’Asip Santé s’est considérablement transformée ces derniers mois(2) et paraît beaucoup plus engagée auprès des hôpitaux que par le passé…

Michel Gagneux : Nous sommes en effet maintenant très présents sur le front hospitalier et nous contribuons à un grand nombre de chantiers très importants. On peut citer par exemple la refonte du système d’information des Samu, la participation au volet numérique des GHT, l’appui aux établissements qui adoptent les messageries sécurisées, les travaux concernant les moyens d’authentification forte auprès des SI dans les établissements et les GHT ou encore la sécurité informatique puisque nous allons être, à l’automne, la cheville ouvrière de tout le processus d’identification, de collecte, de qualification, puis de traitement des incidents de sécurité informatique.

Un travail opérationnel de qualification des incidents

Justement… la cybersécurité fait de plus en plus régulièrement l’actualité (comme on l’a encore vu avec l’attaque sur le NHS à la veille de l’ouverture de la PHW). Quel dispositif préparez-vous ?

Nous mettons en place les processus et les outils qui vont permettre de faire remonter les notifications d’incidents de sécurité informatique graves et significatifs des établissements vers les Agences régionales de santé et vers les pouvoirs publics. Les déclarations seront faites sur le portail de signalement des événements sanitaires indésirables, qui aura alors une composante « incidents informatiques ». La mission principale de l’Asip Santé consistera dans un travail opérationnel de qualification des incidents. Il s’agira en effet d’en apprécier la nature, la gravité et la portée, de manière à lancer les alertes, à établir les recommandations et à aider les établissements victimes à les traiter… L’Asip Santé partagera ses diagnostics et ses méthodes avec l’ensemble des instances concernées par la cybersécurité et rassemblées dans un comité de pilotage : l’Anssi(3), la Cnil(4) et bien sûr le maître d’ouvrage stratégique de l’ensemble, c’est-à-dire le haut fonctionnaire de défense et de sécurité du ministère de la Santé. À chacun de prendre ensuite sa part des actions à mener selon la nature des problèmes.

Quel est l’état des lieux du monde hospitalier en matière d’authentification forte des personnels auprès des systèmes d’information ? Et que prévoyez-vous ?

Le chantier s’annonce énorme car l’authentification forte devient nécessaire à l’heure des GHT et du développement de la communication ville-hôpital. Or la plupart des établissements n’en sont encore qu’à l’usage du login-mot de passe. Nous avons réalisé une étude que nous allons publier pour appel à commentaires et avis de manière à commencer à construire, d’ici à la fin de l’année et avec la DGOS, une politique d’appui aux établissements en la matière.

70 établissements ont généralisé la CPS

L’arsenal réglementaire sera-t-il revu… dix ans après le décret Confidentialité ?

Un projet de décret vient en effet d’être envoyé à la Cnil afin d’adapter les textes à l’époque actuelle et aux usages contemporains ! Il est vrai que la Carte de professionnel de santé (CPS), née du décret Confidentialité, était conçue pour la télétransmission de la feuille de soins électronique et pas du tout pensée pour l’hôpital. On compte aujourd’hui à peu près 70 établissements ayant généralisé la CPS, dont certains CHU. L’AP-HP a d’ailleurs basculé dans l’usage de la CPS en 2016, avec notre appui. Mais on est encore loin de la cible des 3 000 établissements… Nous devons maintenant trouver des modes d’application qui soient assez forts face aux enjeux de confidentialité et suffisamment souples en matière d’usage. Cela va se construire avec les établissements. Côté réglementaire, la première étape, au deuxième semestre, va commencer par l’inscription de la PGSSI-S dans les textes en rendant opposables toute une série de référentiels(5).

Quels sont les moyens de l’Asip Santé en ressources humaines et financières ? Quelle part de ces moyens concerne l’hôpital et la sécurité ?

Si je compte les postes qui restent à pourvoir, l’Asip Santé compte 136 personnes à temps plein. La moitié de l’agence travaille peu ou prou pour les établissements de santé. Tous les services sont mobilisés pour l’appui aux hôpitaux dans la mesure où ils réalisent des missions transversales, qu’il s’agisse de la dimension juridique, accompagnement, interopérabilité… Nous avons par exemple 12 personnes qui travaillent à temps plein actuellement auprès des hôpitaux pour les accompagner dans l’adoption des messageries sécurisées. L’Asip s’appuie sur 5 experts en sécurité, sans compter les ressources externes. Pour ce qui est du budget, il s’élève à 85 millions d’euros pour 2017. Un peu moins de la moitié est financé par des crédits Ondam, un peu plus du tiers par le Fonds de modernisation des établissements de santé publics et privés (FMESPP) et environ 15 % par l’État. La mise en place du dispositif de sécurité coûtera moins d’un million d’euros car le portail de signalement existe déjà(6).

[1] Politique générale de sécurité des systèmes d’information de santé.

[2] Lire aussi /article/2340/trois-missions-et-100-projets-pour-la-nouvelle-asip-sante.html 

[3] Agence nationale de la sécurité des systèmes d’information.

[4] Commission nationale de l’informatique et des libertés.

[5] Lire aussi DSIH Magazine, mai 2017, page 94.

[6] https://signalement.social-sante.gouv.fr