Publié le 27 mai 2015
Responsable Qualité et Gestion des risques - Groupe Saint Sauveur

La direction du Groupe Saint Sauveur a fait appel à Alsace e-santé pour mieux maîtriser les risques de ses systèmes d’information. Plus concrètement, le groupement de coopération sanitaire l’a aidé à préparer l’axe Sécurité des SI de la certification V2010 délivrée par la Haute Autorité de Santé (HAS). Camille Colnat, responsable Qualité et Gestion des risques - Groupe Saint Sauveur - témoigne.

Quels enjeux les SI représentent-ils pour le Groupe Saint Sauveur ?

« Le Groupe Saint Sauveur compte plusieurs établissements qui recouvrent à la fois les champs médico-social et sanitaire. Nous nous sommes rendus compte que les besoins en systèmes d’information (SI) sont très proches d’un établissement à l’autre qu’il soit sanitaire ou médico-social alors que les moyens mis à disposition varient d’une structure à l’autre. C’est pourquoi nous avions la volonté de mutualiser un maximum nos SI. D Ces derniers se sont considérablement accrus dans nos établissements avec l’arrivée des outils de dernière génération  –  les tablettes et smartphones – multipliant de fait les risques. De plus, ils vont au delà de leurs simples fonctions, puisqu'ils mettent en évidence des dysfonctionnements au sein de notre organisation. Enfin, nos professionnels méconnaissent les règles de sécurité en SI et par conséquent les perçoivent comme une contrainte. 

 

Qu’a mis en évidence votre rencontre avec Alsace e-santé ?

Nous avons fait appel à Alsace e-santé pour nous aider à préparer notre certification V2010.  Avant de rencontrer le GCS e-santé avec le RSI , on croyait que notre politique SI se portait bien… on s’est vite rendu compte qu’on avait beaucoup de choses à améliorer. Alsace e-santé a réalisé un premier diagnostic qui a souligné la nécessité de confier la responsabilité de la sécurité des systèmes d’information non pas au service informatique, mais au service qualité. Pourquoi ? Parce que les incidents sont souvent liés à des dysfonctionnements d’organisation et non à de problèmes informatiques. Confier cette mission au service qualité a apporté une vision différente des risques SI, mais a également libéré la direction informatique d’un poids, tout en préservant le SI d’une mission où il était juge et partie. Ensuite, le GCS e-santé a établi un diagnostic basé sur la norme ISO 27001 qui a fait état de l’existant et des pistes d’amélioration de nos systèmes d’information. Il fallait alors qu’on accepte de perdre un peu de temps pour faire beaucoup mieux ! Alsace e-santé nous a également proposé un kit d’outillage. Ce corpus documentaire fait état des bonnes pratiques en matière de sécurité SI. On y a retrouvé l’ensemble des items de la sécurisation des SI, ce qui nous a permis de nous positionner par rapport à une norme. On était parfois légèrement en dessous de celle-ci et on s’est rendu compte qu’il y avait finalement peu de choses à mettre en place pour être conforme à la moyenne !

 

Quelles ont été les actions menées sur le terrain ?

Une fois l’appropriation des documents, se présente la réalité du terrain ! Les SI sont partout : dans les logiciels métiers, les GED, les e-mails, les sites internet…, multipliant de ce fait les risques. Nous avons donc décidé de revoir le processus Ressources Humaines lors de l’arrivée d’un nouveau salarié ou encore d’un tiers à travers le prisme de la sécurité des systèmes d’information. Nous devions clarifier les questions suivantes : Qui accède à quoi ? A-t-il accès à ce dont il a besoin ou à ce qu’il ne devrait pas voir ? Avec quel mot de passe ? Où ? Au travail ? Chez lui ? A son cabinet ? Chez son employeur principal ? A quel moment s’ouvre la connexion ? Pour faire quoi ? A noter que la jurisprudence est riche dans le domaine !

La sécurité des SI ne représente-t-elle pas une contrainte supplémentaire pour les équipes ? 

Au contraire. Dans un contexte de recherche d’efficience et de performance, nous avons vu la nécessité de multiplier les outils d’administration et d’automatiser certaines tâches informatiques. Pourquoi ?
Pour simplifier et traiter équitablement les accès, pour structurer les organisations mais aussi pour faire gagner du temps aux managers de terrain qui deviennent de fait des alliés pour le déploiement de la sécurité SI. Voilà comment d’une contrainte, la sécurité des systèmes d’information devient un véritable atout ! De ces questions, a découlé un plan d’actions en 17 points, inscrit dans notre SDSI , et représentant quarante jours de travail pour les services qualité et informatique. Le risque SI coûte de plus en plus cher. Si on ne s’en occupe pas correctement maintenant, on devra payer plus au moment de l’incident ! 

 

En quoi l’accompagnement d’Alsace e-santé a-t-il été un plus ?

Sans Alsace e-santé, on n’aurait jamais pu mettre cela en place. Au début, on avait l’impression de faire bien notre travail, mais nous n’avions pas le recul nécessaire. Les professionnels d’Alsace e-santé sont des experts aguerris et ouverts d’esprit qui nous ont apporté une démarche vraiment structurante, que nous avons dupliquée à 80% et adaptée à 20% dans nos autres structures. »

En savoir plus sur l'accompagnement Sécurité proposé par Alsace e-santé