SI de santé, une vague d’annonces

La première annonce, et non la moindre, concerne la création d’un référentiel national des identités des acteurs de santé. On comprend qu’il s’agit de créer l’équivalent du RPPS (qui concerne les professions réglementées par un ordre) pour l’ensemble des personnels travaillant dans les structures de santé, y compris hors soins, au moyen de différentes briques tels des annuaires délégués aux ARS, aux structures de santé elles-mêmes, etc. En clair et pour le dire en termes plus techniques, il s’agit de la brique « Annuaire des identités » d’un projet d’IAM à l’échelle nationale. Le dossier de presse stipule par ailleurs la mise en place de couches d’habilitation, de contrôles d’accès, etc. Bref, là, on parle de tout l’IAM, pour l’ensemble des acteurs de la santé.

Deuxième annonce : la virtualisation de la carte CPS. L’idée est de permettre l’usage de briques telles que FranceConnect en autorisant la connexion depuis des équipements mobiles comme les smartphones et les tablettes. Pour ceux qui ne seraient pas au fait de l’histoire compliquée de la carte CPS, il faut savoir que la séparation entre le certificat et la carte physique est un sujet qui dure depuis au moins 1999, quand il est apparu qu’imposer une carte CPS à des médecins de ville fonctionnerait peut-être (et il aura fallu plus de dix ans), mais que dans les grosses structures c’était impensable – d’ailleurs peu d’entre elles l’utilisent.

Troisième annonce : pour le déploiement généralisé de l’INS prévu dans le décret n° 2017-412 du 27 mars 2017 avec une échéance au 1^er janvier 2020, les pouvoirs publics reconnaissent un certain retard et, comme on s’y attendait, annoncent un report à 2021. En fait, le retard est bien plus important, puisque la première phase annoncée par les pouvoirs publics aurait dû être mise en œuvre en 1978 : je plaide non coupable, à l’époque j’avais huit ans. Bref, on est sur un projet qui dure depuis au moins 41 ans. Dans la même veine, on annonce la carte e-Vitale. En soi, c’est une très bonne idée mais, comme il aura fallu 15 ans pour déployer la carte physique, l’annonce de sa généralisation en 2021 semble pour le moins un tantinet optimiste.

On trouve ensuite les classiques annonces sur la cybersécurité et l’interopérabilité : opposabilité des référentiels (c’est un sujet qui revient régulièrement) et extension du dispositif de déclaration des incidents (c’est une bonne chose, mais nous n’avons pas les détails de la mesure). Le point positif concernant l’opposabilité des référentiels, c’est que les pouvoirs publics semblent tendre vers un socle minimal pour commencer, approche qu’un certain nombre de DSI et de RSSI appellent de leurs vœux depuis des lustres. On espère que ce socle minimal sera élaboré en faisant appel à ceux qui ont la compétence et la connaissance du terrain. Le point négatif, c’est qu’il ne s’agit pas d’une première et que bon nombre d’acteurs ne respectent pas les référentiels opposables. La création de l’observatoire national de la cybersécurité, qui pourrait sembler être une bonne idée, nous laisse aussi un peu dubitatifs : s’il s’agit de créer une cellule de 50 personnes destinée à recueillir des déclarations de projet ou d’état des risques dont on sait pertinemment que, du fait de la dérive du mode déclaratif, on est souvent dans l’esbroufe, on craint que le dispositif ne se traduise en réalité que par la production de camemberts en couleurs optimistes jusqu’à l’indigestion et totalement déconnectés du réel. Mais on ne demande qu’à avoir tort, et c’est peut-être une première étape vers une approche plus coercitive (voir l’article[1] de votre serviteur dans ces mêmes colonnes).

Enfin on apprend que l’Asip sera remplacée par l’Agence du numérique en santé (ANS) : simple changement de nom, changement de personnes, changement de missions ? Aucun détail là encore dans le communiqué.

Pour ce qui concerne les échéances (jamais respectées), les moyens alloués (pas évoqués) et la faisabilité en temps maîtrisable de certains projets, on reste là encore un peu perplexe. Globalement, vu du terrain, ces annonces sont très positives. Il y a une vision, une direction claire. Que l’on soit d’accord ou non avec les thèmes évoqués et leur priorisation, au moins la démarche a du sens et constitue une vraie reconnaissance des spécificités des SI et de la cybersécurité en santé.

Les paris sont ouverts : est-ce que l’on aura terminé avant ou après la reconstruction de Notre-Dame ?

[1]