Sécurité numérique : un partenariat entre UniHA, la C.A.I.H et le Club des RSSI pour une prise en compte des bonnes pratiques dès les phases d’achats

Signé à l’occasion de Santexpo 2023, ce partenariat a fait l’objet d’une table-ronde organisée lors du 11^e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS.

Le Club des RSSI compte 76 RSSI représentant 65 GHT/GHU. Il vise à homogénéiser les connaissances par le biais d’échanges sur les normes, le marché, les éditeurs, etc. « La collaboration entre le club et la C.A.I.H. remonte à plusieurs années, à l’initiative de certains RSSI du club », a déclaré Béatrice Bérard, RSSI du GHT Rhône Centre Hospices Civils de Lyon (HCL). Ces échanges ont permis « une remontée des besoins réels de la communauté des RSSI » et une « collaboration sur les opérations de sourcing, l’élaboration des cahiers des charges, etc. ». Avec, en conséquence, une optimisation des charges, une partage des connaissances et des gains économiques. « Nous pesions davantage sur les différents marchés », a témoigné Béatrice Bérard, avant de détailler de « belles réalisations ».

Un accord-cadre, mis à disposition par la C.A.I.H pour l’ensemble de ses adhérents, a par exemple porté récemment sur un bouquet de service opérés destiné à répondre aux besoins de sécurité opérationnelle et de protection des données à caractère personnel. Plus de 300 établissements en ont profité, pour une couverture de 200.000 postes de travail.

Ce partenariat entre les deux centrales et le club des RSSI va consister en l’intégration d’un clausier de conformité dans les appels d’offre de la C.A.I.H et d’UniHA, afin de prendre en compte les risques numériques et les réglementations afférentes dès les achats de solutions, logiciels services ou matériels en santé. Et ainsi faciliter le travail des RSSI. « Le faire tout seul, c’est mission impossible car certains fournisseurs travaillent encore comme il y a 30 ans », a réagi Jacques Labidurie, RSSI du CHU de Limoges. Pour lui, l’intégration de ce clausier a deux intérêts majeurs : le respect de la règle ISO 27001 pour la gestion des fournisseurs ; et la facilitation de l’évaluation du degré de maturité des fournisseurs dans une analyse EBIOS RM. 

Concrètement, des mesures de sécurité comme le RGPD, les directives de l’ANSSI ou les règles de la DNS seront « opposables aux candidats qui soumettront leurs offres auprès de la C.A.I.H ou d’UniHA », a résumé Guillaume Deraedt, RSSI du GHT Côte d’Opale et responsable de la stratégie numérique à la C.A.I.H. « UniHA est le leader de l’approvisionnement des hôpitaux en France et la C.A.I.H est l’un des plus gros fournisseurs en nouvelles technologies de l'information pour les DSI : que la voix des RSSI soit portée de façon univoque par des centrales d’achat d’envergure nationale ou européenne va faire que ces prérequis deviendront, de fait, des standards », a-t-il poursuivi.

Le clausier de conformité numérique est d’ores et déjà soumis aux candidats de l'appel d'offres « Consentement médical, recherche et RGPD : système intégré et interopérable de recueil du consentement des patients », publié le 24 mai, et à l’appel d’offre « Conseil, accompagnement et infrastructures hébergées pour les données de santé », publié le 9 juin par la C.A.I.H.