HOP’EN : l’opportunité d’une vraie gouvernance des SI et de la SSI
Vincent TRELY
Président et Fondateur de l'APSSIS - Cybersécurité & Santé - IA & Santé - Conférencier - Chroniqueur - Animateur - Enseignant
Rédigé pour DSIH Magazine n°27 - Mai 2019 - www.dsih.fr
HOP’EN (1), le nouveau programme de financement opérationnel de la stratégie numérique de santé porté par la DGOS est doté de 420 millions d’euros et se décline sur 4 ans, autour de 7 domaines fonctionnels. Il s’inscrit plus globalement au sein du projet Ma santé 2022 (2) porté par le Ministère de la Santé et des Solidarités, et du rapport Pon – Coury : « Accélérer le virage numérique » (3). L’ensemble constitue une feuille de route ambitieuse, pragmatique et teintée d’une vraie vision à moyen et long termes. Il est essentiel que le top management hospitalier prenne connaissance des volets stratégique, tactique et financier de cette transformation digitale annoncée. Il est tout aussi essentiel de positionner la gouvernance et le pilotage de cette révolution numérique au plus haut niveau, Comités stratégiques et Commissions médicales de GHT ne pouvant plus faire abstraction de leur rôle de maîtrise d’ouvrage éclairée et cohérente.
La Commission Stratégique du Système d’Information (CSSI) : c’est maintenant !
En 2012, lorsque le programme Hôpital numérique voit le jour, son pilotage est quasi automatiquement confié à la DSI, souvent porté par un « informaticien », auquel on demandera du jour au lendemain de se positionner en chef de projet transversal, en juriste, en négociateur, en maîtrise d’ouvrage et en maîtrise d’œuvre, lui demandant par ailleurs de penser et de rédiger de nombreuses politiques et procédures. C’est une erreur, excusable il y a 7 ans, qu’il serait dramatique de reproduire, dans le contexte encore plus stratégique de la composition des GHT, et de la convergence et de l’ouverture des SI.
La DGOS a pensé le modèle de gouvernance de la stratégie numérique des GHT. Elle précise dans le guide méthodologique « Stratégie, optimisation et gestion commune d’un système d’information convergent de GHT » (4) que ce vaste projet nécessite la mise en place de structures de pilotage dédiées pour garantir un pilotage efficient de la stratégie de convergence. En l’occurrence, « la commission stratégique du système d’information (CSSI) du GHT a pour attribution les arbitrages stratégiques liés au système d’information du GHT, dont notamment l’organisation de la DSI, la stratégie de convergence SI, le partage de l’état des lieux de l’existant et la validation du schéma directeur du système d’information. La composition de la CSSI est fixée par le comité stratégique parmi des représentants de la DG des établissements parties, des CME, du DIM de territoire et de la DSI. La CSSI assure (…) l’adéquation du projet de convergence avec les orientations stratégiques de l’établissement. » Ajoutons-y le DPO et le RSSI, bien entendu… C’est donc à ce niveau que se pilote le programme HOP’EN et pas ailleurs !
La CSSI délègue la mise en œuvre du schéma directeur à un Comité de pilotage du SDSI, chargé de le définir, de le piloter et d’évaluer son efficience à l’aide d’indicateurs techniques, fonctionnels et stratégiques. Ce COPIL a également un rôle d’expertise, de coordination et d’animation. En ce sens, il conseille la CSSI, seul ou accompagné d’experts, afin de lui apporter tous les éléments nécessaires à ses prises de décisions et arbitrages. C’est le COPIL SDSI qui intègre à ses projets l’atteinte des prérequis HOP’EN, puis le suivi précis des indicateurs fonctionnels.
A toutes fins utiles, il est rappelé que les projets de candidatures structurés des GHT doivent être transmis pour étude aux ARS avant le 30 juin 2019 et que celles-ci donneront leurs arbitrages au 30 septembre 2019. Il y a donc urgence à ce que les 2 instances, la CSSI et le COPIL SDSI, soient structurées et opérationnelles afin d’engager le GHT et ses établissements de façon parfaitement claire, avec des directions fonctionnelles, des pôles médicaux et des partenaires alignés. Ajoutons que ce modèle, dans sa globalité, est reproductible en structures privées.
La CSSI en maîtrise d’ouvrage du programme de sécurité : logique et facilitant !
Tout GHT dispose donc d’un Comité stratégique, qui délègue la stratégie numérique à la CSSI, celle-ci assurant la maîtrise d’ouvrage de sa déclinaison opérationnelle et multisectorielle. Il est difficile et parfois peu pertinent de multiplier les instances, c’est pourquoi la CSSI pourrait également constituer la MOA de la politique de sécurité, et se transformer de façon régulière en Comité de sécurité, afin d’accompagner et de supporter le RSSI sur l’ensemble de ses tâches. La Commission l’entendra régulièrement sur le plan de réduction des risques, sur l’état d’avancement de ses projets, de ses actions de mise en conformité et de sensibilisation, et prendra les arbitrages nécessaires, qu’ils soient d’ordre techniques, financiers ou organisationnels. La CSSI doit devenir « le firewall du RSSI », protégé par sa collégialité et l’effet de ses décisions, soutenu, ou pas, sur les points durs nécessairement associés à son action.
Tout comme la Commission confie la maîtrise d’œuvre de la stratégie numérique à un COPIL SDSI, elle pourra inviter le RSSI à constituer un COPIL SSI, composé d’acteurs opérationnels, issus de la DSI, du DIM, de la DRH, de la DT par exemple, sans oublier le DPO. Les missions de ce Comité seraient les suivante : valider et contrôler la mise en œuvre de la politique de sécurité des SI, en intégrant les priorités ou réserves émises par la CSSI, piloter le plan continu de traitement des risques, en lien avec la Qualité, suivre les actions de sensibilisation des personnels à la sécurité des SI ainsi que le respect de l’application des procédures. Enfin, il préparerait la revue semestrielle de direction du système de management de la sécurité des SI, comme l’exige maintenant le prérequis P2.4 du programme HOP’EN, dont voici rappelés les attendus : « (…) Positionnement du RSSI en dehors de la DSI, par exemple rattaché à la cellule qualité et existence d’au moins 2 rendez-vous annuels RSSI / Direction de l’établissement pour point de situation. (…) ».
Enfin, et pour aller au bout de la démarche, la CSSI pourrait aussi, occasionnellement, prendre la casquette de Commission d’homologation, puisque ce principe, et le processus associé, sont requis dans le cas de déploiement de téléservices (portails patients, prise de rendez-vous en ligne, serveur de résultat de laboratoire par exemple) ou de solutions logicielles à fort impacts sécuritaires et juridiques (analyses des risques et pré- conformité au RGPD nécessaires).
Semer pour récolter, donc investir pour obtenir !
La CSSI doit disposer d’un levier financier, direct ou indirect, validé par le Comité stratégique. Un GHT, ou une structure de santé privée, qui peuvent prétendre à 1 M€ de subventions dans le cadre du programme HOP’EN, doivent savoir investir 20 à 30% de ce montant en amont, dans le cadre de l’atteinte des prérequis et des cibles d’usages nécessaires. Le simple volet de mise en conformité avec le RGPD représente à lui seul un large budget, constitué de ressources internes, soutenues par des consultants et des juristes. Le magazine CHALLENGE estimait déjà, en avril 2018, le coût de la conformité à plus d’1 milliard d’euros pour l’ensemble des acteurs français concernés (5).
Théoriquement, une Direction générale à qui l’on explique qu’en mobilisant quelques ETP et en dépensant 200 K€, le programme HOP’EN lui rapportera près d’1 million d’euros, devrait voir les choses avec une certaine empathie. Ce sera sans nul doute le bon moment pour aborder le sujet de la transformation progressive des traditionnels investissements en charges, évolution encore mal perçue par les Directions financières, attachées à la baisse des charges plus qu’à la hauteur des investissements. Il faudra expliquer pourquoi ce changement, et donc le cloud computing, le SaaS, le PaaS, le big data, l’IoT et les IA, mais là, c’est une autre histoire !
(1) https://solidarites-sante.gouv.fr/systeme-de-sante-et-medico-social/e-sante/sih/hopen
(3) https://solidarites-sante.gouv.fr/IMG/pdf/masante2022_rapport_virage_numerique.pdf
(4) https://solidarites-sante.gouv.fr/IMG/pdf/dgos_guide_systeme_information_convergent.pdf
Quand je survole ce texte je ne vois aborder que les questions de stratégie. Que l'on ne confie pas aux informaticiens ce genre de responsabilité me semble être le minimum. Par contre je ne pense pas avoir vu comment les utilisateurs du SI (ceux qui vont s'en servir en permanence) vont être impliqués et participeront à la définition d'applications efficientes, réellement au service des gens de terrain. Quand j'entends des reportages sur l'application des méthodes "lean" dans certains hopitaux, j'ai les plus grandes craintes. Le fantôme du système Louvois plane encore, le dernier système d'attribution des cartes grises me laisse, avec mon expérience industrielle, imaginer le genre de catastrophe que, répété, il pourrait générer dans ce périmètre. Quant à l'épouvantail du RGPD j'ose espérer que l'approche sera fondamentalement plus simple que ce que les GAFA ont réussi à en faire pour, avec une complexité qui n'est pas à ce jour attaquée, réussir à en contourner l'esprit pour conserver leurs revenus astronomiques.
Directeur de projet - Responsable du Département Parcours et Outils Métier - GCS e-Santé Bretagne
5 ansJe soutiens à 300% les réflexions de Vincent sur l'alignement des SI au service des projets de groupements ou d'établissement. HOP'EN est une véritable opportunité, encore faut-il que le top management s'en saisisse par le bon bout. Je partage.
Directeur des Systèmes d'Information - Magellium Artal Group Chargé des Services Techniques
5 ansUn regret : la psy est quasi écartée du programme du fait des critères d applicabilité😡