La sécurité des systèmes d'information est un enjeu majeur au sein des établissements de santé, où la protection des données sensibles des patients et la continuité des soins sont deux impératifs primordiaux. Intégrer les outils nécessaires au bon fonctionnement des hôpitaux et autres structures de soins représente dès lors un défi de taille, car il faut à la fois garantir la confidentialité et la sécurité des informations échangées, tout en assurant un accès fluide à ces données.
« Même pour des experts, l'amoncellement des exigences législatives, réglementaires et normatives en matière de cybersécurité, de protection des données à caractère personnel, et de santé est complexe », résumait, en décembre dernier, Jean-Sylvain Chavanne, responsable de la sécurité des systèmes d’information (RSSI) du CHU de Brest et du GHT de Bretagne Occidentale, lors de la European Cyber Week de Rennes. Né d’une collaboration entre le Club des RSSI Santé, l’AP-HM (Assistance Publique - Hôpitaux de Marseille), les centrales d’achat public UniHA et CAIH et, plus récemment, l’Association française des ingénieurs biomédicaux (AFIB) et le réseau des DPO (délégués à la protection de la donnée) hospitaliers, le Clausier de sécurité numérique tente justement de répondre à cette problématique.
« Même pour des experts, l'amoncellement des exigences législatives, réglementaires et normatives en matière de cybersécurité, de protection des données à caractère personnel, et de santé est complexe », résumait, en décembre dernier, Jean-Sylvain Chavanne, responsable de la sécurité des systèmes d’information (RSSI) du CHU de Brest et du GHT de Bretagne Occidentale, lors de la European Cyber Week de Rennes. Né d’une collaboration entre le Club des RSSI Santé, l’AP-HM (Assistance Publique - Hôpitaux de Marseille), les centrales d’achat public UniHA et CAIH et, plus récemment, l’Association française des ingénieurs biomédicaux (AFIB) et le réseau des DPO (délégués à la protection de la donnée) hospitaliers, le Clausier de sécurité numérique tente justement de répondre à cette problématique.
Quatre objectifs…
Parue en 2023 et révisée en 2024, pour intégrer notamment des précisions sur le volet RGPD et les dispositifs médicaux, cette publication « est une synthèse unifiée des exigences de conformité numérique en santé, portées par le RSSI, le DPO et les ingénieurs biomédicaux et qui s’imposent aux acteurs du numérique en santé », a complété le RSSI du CHRU de Brest. « Ce clausier vise à homogénéiser les exigences de sécurité dans les marchés publics et permet aux entreprises de se conformer plus facilement aux réglementations en vigueur ou aux exigences nécessaires pour la protection d’un hôpital en matière de cybersécurité », avait pour sa part précisé la CAIH lors de la publication de la nouvelle version du Clausier.
Basé sur les orientations définies par l’Agence du numérique en santé (ANS) et la Délégation au numérique en santé (DNS), ainsi que sur les observations et les attentes des organismes ayant participé à la rédaction du document, le Clausier de cybersécurité entend en effet sécuriser davantage les achats numériques et renforcer le respect des normes légales, et ce « dès la phase d’appel d’offres » en s’intégrant pleinement dans la procédure d’achat. Mais il a également d’autres objectifs, comme « réduire les risques légaux et optimiser les ressources » par la mutualisation de compétences expertes, et promouvoir « l'innovation et l'amélioration continue via l'intégration de solutions innovantes et conformes, et l'adaptation régulière aux nouvelles menaces » informatiques.
Basé sur les orientations définies par l’Agence du numérique en santé (ANS) et la Délégation au numérique en santé (DNS), ainsi que sur les observations et les attentes des organismes ayant participé à la rédaction du document, le Clausier de cybersécurité entend en effet sécuriser davantage les achats numériques et renforcer le respect des normes légales, et ce « dès la phase d’appel d’offres » en s’intégrant pleinement dans la procédure d’achat. Mais il a également d’autres objectifs, comme « réduire les risques légaux et optimiser les ressources » par la mutualisation de compétences expertes, et promouvoir « l'innovation et l'amélioration continue via l'intégration de solutions innovantes et conformes, et l'adaptation régulière aux nouvelles menaces » informatiques.
… et dix thématiques
Le Clausier de sécurité numérique liste ainsi les principales exigences identifiées par ses rédacteurs, classées en dix thématiques générales et cinq cas spécifiques (voir encadré). Au total, ce ne sont pas moins de 118 « points de contrôles »qui sont recensés, couvrant tout autant « les infrastructures logicielles, les terminaux mobiles et les équipements biomédicaux », a détaillé Jean-Sylvain Chavane à l’occasion de la European Cyber Week 2024. « Ce document est libre de droits d’usage ; sa réutilisation est encouragée », a souligné le RSSI, en indiquant par ailleurs que le Clausier a déjà été intégré à un logiciel open source pour la gestion d’un programme de cybersécurité.
Disponible sur le site du Club des RSSI Santé, un fichier Excel vient compléter le document texte, en permettant aux candidats de cocher directement les différents points identifiés dans le Clausier. Un premier onglet aux réponses fermées (oui, non, non concerné) offre ainsi la possibilité au prestataire et à l’établissement de se faire une idée rapide de la candidature, tandis qu’un second onglet permet au candidat de préciser sa réponse et de proposer, le cas échéant, une solution adaptée. « Ce fichier reprend les éléments du Clausier en les présentant sous un autre format, pour faciliter les échanges avec les candidats », a fait valoir Jean-Sylvain Chassagne.
Disponible sur le site du Club des RSSI Santé, un fichier Excel vient compléter le document texte, en permettant aux candidats de cocher directement les différents points identifiés dans le Clausier. Un premier onglet aux réponses fermées (oui, non, non concerné) offre ainsi la possibilité au prestataire et à l’établissement de se faire une idée rapide de la candidature, tandis qu’un second onglet permet au candidat de préciser sa réponse et de proposer, le cas échéant, une solution adaptée. « Ce fichier reprend les éléments du Clausier en les présentant sous un autre format, pour faciliter les échanges avec les candidats », a fait valoir Jean-Sylvain Chassagne.
Un document déjà intégré dans les marchés d’UniHA et de la CAIH
Issu d’une collaboration associant, entre autres, la Centrale d'achat de l'informatique hospitalière (CAIH) et l’Union des hôpitaux pour les achats (UniHA), le Clausier a tout naturellement trouvé une place de choix dans les marchés publics engagés par ces deux entités. La CAIH avait d’ailleurs intégré ses exigences dans ses marchés publics dès 2022, soit avant même la publication officielle du document. Quelques mois plus tard, le 25 mai 2023 à l’occasion de SantExpo, Nicolas Funel, président de la CAIH, Pierre Thépot, président d’UniHA, ainsi que Béatrice Bérard et Jean-Sylvain Chavanne, représentants du Club des RSSI Santé, signaient une convention de partenariat reposant sur deux axes majeurs, une clause de conformité ainsi que la co-construction de marchés en cybersécurité.
Un an après, le cercle des partenaires s’élargissait encore avec l’intégration de l’AFIB et du Club des DPO, permettant au Clausier de s’étoffer en précisant les exigences en matière de dispositifs médicaux et de mise en conformité avec le Règlement général de protection des données (RGPD). « L’intégration de l’AFIB et du réseau des DPO a pris tout son sens dans l’amélioration de ce Clausier car les dispositifs médicaux numériques et la protection des données sont des points centraux dans les enjeux de cybersécurité. […] Cela montre que nous sommes bien au-delà du secteur informatique ou de la Direction des systèmes numériques, avait alors noté Thomas Jan, le directeur général adjoint d’UniHA en charge de la stratégie numérique. La mise en œuvre de ce Clausier démontre que la sécurité numérique s’opère dès l’acte d’achat. L’acheteur public et son prescripteur (ingénieur biomédical, pharmacien…) ont donc la responsabilité de la sécurisation des données de leur établissement ».
> Article paru dans Hospitalia #68, édition de février 2025, à lire ici
Un an après, le cercle des partenaires s’élargissait encore avec l’intégration de l’AFIB et du Club des DPO, permettant au Clausier de s’étoffer en précisant les exigences en matière de dispositifs médicaux et de mise en conformité avec le Règlement général de protection des données (RGPD). « L’intégration de l’AFIB et du réseau des DPO a pris tout son sens dans l’amélioration de ce Clausier car les dispositifs médicaux numériques et la protection des données sont des points centraux dans les enjeux de cybersécurité. […] Cela montre que nous sommes bien au-delà du secteur informatique ou de la Direction des systèmes numériques, avait alors noté Thomas Jan, le directeur général adjoint d’UniHA en charge de la stratégie numérique. La mise en œuvre de ce Clausier démontre que la sécurité numérique s’opère dès l’acte d’achat. L’acheteur public et son prescripteur (ingénieur biomédical, pharmacien…) ont donc la responsabilité de la sécurisation des données de leur établissement ».
> Article paru dans Hospitalia #68, édition de février 2025, à lire ici
Le Club des RSSI Santé
Créé le 10 juillet 2023, le Club des RSSI Santé regroupe les Responsables de la sécurité des systèmes d’information des Groupements hospitaliers de territoire français. Il est constitué sous la forme d’une association à but non lucratif (loi 1901), avec pour objectif premier de « favoriser les échanges entre les établissements publics de santé afin d'homogénéiser les connaissances et les pratiques ».
L’association compte aujourd’hui 93 adhérents, représentant 76 GHT. Son bureau se compose de quatre membres : Béatrice Bérard, présidente de l’association et Officier de sécurité des systèmes d'information (OSSI) du GHT Val Rhône Centre ; Philippe Turron, vice-président et RSSI du GHT des Hôpitaux de Provence ; Adrien Bourdon, trésorier et RSSI du GHT 85 ; et Jean-Sylvain Chavanne, secrétaire général et RSSI du GHT de Bretagne Occidentale.
118 points réunis en 40 pages
Le Clausier de sécurité numérique liste, en 40 pages, 118 points de contrôles classés en 10 thématiques : la sous-traitance, les logiciels, les identités, l’authentification, la traçabilité, la protection des systèmes, la cryptographie, la maintenance et la télémaintenance, les spécifications Wi-Fi, et la protection des données médicales. Dans chaque thématique, une ou plusieurs exigences sont émises et référencées à l’aide d’un code unique. Ainsi, dans le chapitre « cryptographie », on retrouve par exemple l’exigence O-8.2 : « Les données utiles à l’authentification doivent être chiffrées lors de leur communication et de leur stockage ».
À ces dispositions générales s’ajoutent cinq cas particuliers : les moyens mobiles, les dispositifs médicaux connectés, les services hébergés en dehors du SI de l’établissement de santé, les services hébergés par l’établissement de santé et intégralement administrés par le titulaire, et enfin le fournisseur de service de développement. Chacun est à son tour détaillé et intègre des exigences de sécurité qui lui sont propres.
> Le Clausier Sécurité est téléchargeable gratuitement en format texte et Excel sur le site du Club des RSSI Santé ainsi que sur le site de l’Anap
Créé le 10 juillet 2023, le Club des RSSI Santé regroupe les Responsables de la sécurité des systèmes d’information des Groupements hospitaliers de territoire français. Il est constitué sous la forme d’une association à but non lucratif (loi 1901), avec pour objectif premier de « favoriser les échanges entre les établissements publics de santé afin d'homogénéiser les connaissances et les pratiques ».
L’association compte aujourd’hui 93 adhérents, représentant 76 GHT. Son bureau se compose de quatre membres : Béatrice Bérard, présidente de l’association et Officier de sécurité des systèmes d'information (OSSI) du GHT Val Rhône Centre ; Philippe Turron, vice-président et RSSI du GHT des Hôpitaux de Provence ; Adrien Bourdon, trésorier et RSSI du GHT 85 ; et Jean-Sylvain Chavanne, secrétaire général et RSSI du GHT de Bretagne Occidentale.
118 points réunis en 40 pages
Le Clausier de sécurité numérique liste, en 40 pages, 118 points de contrôles classés en 10 thématiques : la sous-traitance, les logiciels, les identités, l’authentification, la traçabilité, la protection des systèmes, la cryptographie, la maintenance et la télémaintenance, les spécifications Wi-Fi, et la protection des données médicales. Dans chaque thématique, une ou plusieurs exigences sont émises et référencées à l’aide d’un code unique. Ainsi, dans le chapitre « cryptographie », on retrouve par exemple l’exigence O-8.2 : « Les données utiles à l’authentification doivent être chiffrées lors de leur communication et de leur stockage ».
À ces dispositions générales s’ajoutent cinq cas particuliers : les moyens mobiles, les dispositifs médicaux connectés, les services hébergés en dehors du SI de l’établissement de santé, les services hébergés par l’établissement de santé et intégralement administrés par le titulaire, et enfin le fournisseur de service de développement. Chacun est à son tour détaillé et intègre des exigences de sécurité qui lui sont propres.
> Le Clausier Sécurité est téléchargeable gratuitement en format texte et Excel sur le site du Club des RSSI Santé ainsi que sur le site de l’Anap
Envoyer à un ami
Version imprimable
Partager