Vous êtes dans : Accueil > Tribunes libres >

Les GHT, et après ?

Cédric Cartau, MARDI 28 MARS 2017

La sécurité des SI est-elle soluble dans la loi de santé 2016 ou va-t-elle demeurer un corps étranger à la gouvernance SI des hôpitaux, comme c’est le cas depuis lurette ?

La question est tout sauf binaire, car les GHT recouvrent des réalités très diverses. Il y a environ 135 GHT sur le territoire – donc en gros 135 méga-hôpitaux, dont certains dépassent le milliard de budget de fonctionnement annuel –, alors que l’on compte peu ou prou entre 60 et 80 RSSI, et encore en étant très très très gentil. Certains CHU n’ont pas de RSSI (ils disent que si, mais ils disposent en fait d’un référent sécurité informatique, la nuance est de taille…), ce qui fait que l’on peut raisonnablement affirmer que pas loin de la moitié des GHT ne disposent pas de RSSI.

Le problème n’est pas, dans la plupart des cas, la maturité des dirigeants : ceux avec qui j’ai pu échanger sur le sujet et qui ne disposent pas de RSSI en interne ne nient nullement leur utilité et leur efficacité : c’est juste qu’ils n’ont pas les budgets en conséquence. Ou plutôt, la précision est utile, ils n’ont pas décidé d’affecter des budgets à cette fonction, comptant sur l’effet de regroupement des établissements au sein de leur GHT pour atteindre une taille critique leur permettant de dégager les ressources, à iso-moyens.

Il y a plusieurs écueils à cette stratégie. Le premier, c’est la force d’inertie du système : les établissements qui doivent désormais allégeance à l’établissement support – traduction en bon français de l’EPRD validé par le directeur de ce dernier – ne sont pas, dans certains cas, d’accord pour se faire dévorer tout cru les – faibles – moyens dont ils disposent sans droit de regard sur leur futur usage. C’est le syndrome CRIH : la mutualisation c’est bien, quand on est du bon côté du carnet de chèques (celui qui les reçoit) ou du marteau, c’est selon.

Le second, c’est la temporalité. À supposer que les établissements périphériques soient tous d’accord, il y a un fossé entre la volonté de mutualiser et l’acte de mise en œuvre. Convergence des domaines métiers, convergence des MOA des établissements, la qualité (la SSI) ne vient qu’après.

À partir de quelle taille (nombre d’agents, budget d’exploitation) un GHT peut-il disposer d’un RSSI à plein temps ? Quel est le rôle des GCS régionaux dans cette réflexion (s’il y a un sujet qui semble être passé à la trappe depuis quelque temps, c’est bien celui-là) ? Quelle priorité accorder à la SSI au regard des autres sujets dont la convergence des domaines fonctionnels ? Les dirigeants que j’ai rencontrés ces derniers mois sont véritablement en plein questionnement ; il y a longtemps que le déni est passé de mode.

Le prochain congrès de l’APSSIS[1] a pour thème la SSI et les GHT. J’espère vivement que la confrontation des points de vue permettra de dégager quelques grands axes de travail et des réponses. Sur la seule question du reclassement des personnels par exemple, on n’en est qu’au début du début, comme le montre l’excellent article de Me Omar Yahia[2].

 

[1]   https://www.apssis.com 

[2]   http://www.dsih.fr/article/2411/ght-et-contractuels-de-droit-public-on-ne-fait-pas-d-omelette-sans-casser-des-oeufs.html 

#sécurité#rssi#ssi#apssis