COOPÉRATION ET MUTUALISATION EN SÉCURITÉ

Dominique Desmay, Directeur GCS Esanté Poitou-Charentes

Cosialis Consulting

Contexte en Poitou-Charentes

Volonté de coopérer

ARH puis ARS Poitou-Charentes

Collège DSIO

GCS Esanté Poitou-Charentes

Un apprentissage de démarches communes dans le domaine de la sécurité des SIS

Mise en place du Décret Confidentialité pour 11 Centres Hospitaliers

Travaux conduits par le Collège des DSIO

Un dispositif et une gouvernance

GOUVERNANCE

STRATEGIQUE

Comité Régional Stratégique des

SIS(ARS)

DGOS, DSSIS, ASIP, ANAP, …

MISE EN OEUVRE

OPERATIONNELLE

RSSI référents sécurité

établissement

Référent Régional SIS

Comité Sécurité SIS

EtablissementAutres

instances

Démarche régionale PHN (2012-2015)

Démarche initiée par le GCS Esanté et le Collège des DSIO (fin 2012)

Proposition d’une stratégie globale d’accompagnement / plusieurs axes et chantiers

Une gouvernance opérationnelle de PHN

Un suivi d’avancement

Une communication PHN dédiée

Une formation…

Démarche régionale PHN

Premiers travaux (2013)

Constitution d’un groupe de travail régional dédié PHN

Mise en lien de ce travail initial avec l’ARS

Démarche régionale ARS-GCS-Collège DSIO structurée (juin 2013)

Demande à l’ensemble des établissements concernés de réaliser un autodiagnostic de leurs SIH

Périmètre : les prérequis

GCS Esanté mandaté pour réaliser la maîtrise d’ouvrage déléguée de l’état des lieux (publication, support, suivi, analyse et restitution des résultats)

Échéance : état des lieux du 14 juin au 4 octobre 2013

Démarche régionale PHN

Résultats synthétiques

« Si la région était un seul établissement »

PRE-REQUISMOYENNE

REGIONALE

P1 / Identités, mouvements

73 %

P2 / Fiabilité, disponibilité 50 %

P3 / Confidentialité 59 %

Démarche régionale PHN

Résultats synthétiques

Nombre d’établissements ayant atteint les seuils d’éligibilité sur les prérequis

Démarche régionale PHN

Résultats synthétiques

Comparaison national / régional

Démarche régionale PHN

Engagement d’une seconde étape (2014)

Ressources renforcées au niveau ARS / aide au dépôt des dossiers et instruction

Lettre de mission de l’ARS au GCS Esanté(juillet 2014)

« …Dans le but de soutenir les établissements de la

région sur l’atteinte des prérequis du programme,

l’ARS mandate le GCS Esanté afin qu’il

Lance et coordonne un marché régional qui

permettra de sélectionner un prestataire capable

de répondre aux divers besoins de la région Poitou-

Charentes… »

Démarche régionale PHN

Suites données par le GCS Esanté(fin 2014)

Création d’un groupement régional de

commandes

GCS Esanté coordonnateur

19 membres

Appel d’offres

Travail du Groupe de travail PHN

CCTP (besoins en UO, jours et estimation

financière)

Analyse offres

Choix : COSIALIS

Présentation de Cosialis Consulting

Une offre de conseil outillé Nous réalisons pour nos clients des missions de conseil outillé pour la

gouvernance, l’organisation et le pilotage de l’Entreprise (collectivités,industrie, santé, services, etc.) :

Nos interventions se caractérisent par une approche simple, progressive,réaliste et centrée sur l’efficacité, pour votre bénéfice :

la combinaison d’une véritable expérience terrain, d’une approche méthodologiqueéprouvée, et d’un outillage performant

Cette démarche garantit la mise en œuvre opérationnelle etla pérennité de vos modes de fonctionnement.

Notre cabinet est fortement investi sur Hôpital Numérique depuis 2012 :

Dans la logique de 15 ans d’expérience en conseil IT et Sécurité SI ;

Grâce aux prestations régulières auprès de 70 clients établissements de santé ;

En capitalisant des livrables éprouvés (cartographies, PSSI, PRA,..) et des références probantes : accompagnement du Collège DSIO Rhône-Alpes où 13 clients ont obtenu une validation de leur prérequis HN par la DGOS

Quelques dossiers HN validés par la DGOS :

Retours d’expérience sur les démarches mutualisées d’atteinte des prérequis HN

ENJEUXCONSTATS

BENEFICES RESULTATS

METHODOLOGIE

• Un catalogue de services pour répondre à

chaque pré requis Hôpital numérique

• Des livrables types éprouvés et déjà

opérationnels dans des établissements de

santé

• Outil commun pour le suivi du projet et le

pilotage des activités

• Les groupements ont pris l’initiative de se

coordonner pour lancer un appel à

concurrence portant sur un programme

d’atteinte et de maintien en conditions

opérationnelles des pré requis Hôpital

numérique..

• L’objectif est d’opérationnaliser

l’atteinte des prérequis pour pérenniser

les acquis dans le temps.

• Rapprocher les experts Métiers et Sécurité

SI

• Fort taux de mutualisation des prestations

• Regroupement des prestations en parcours

thématiques

• Démarche outillée pour opérationnaliser

les résultats

• Un planning respecté pour les premiers

dépôts de dossiers DIPISI

• 15 dossiers validés en 6 mois (Rhône-

Alpes)

• Alignement des établissements sur des

niveaux de maturité similaires

• Partage des retours d’expérience

• Gains de maturité en matière de

Gouvernance et Sécurité du SI

• Faciliter une atteinte rapide et maîtrisée

des prérequis Hôpital Numérique pour une

vingtaine d’établissements

• Concevoir des prestations mutualisées

privilégiant les gains économiques, le

travail collaboratif, le partage et

capitalisation d’expériences

• Rendre les établissements

progressivement autonomes dans les

domaines traités

Rappel sur le rôle des prérequis HN

Articulation avec les autres domaines

Fiabilisation du SI au quotidien

Certification HAS + Compte Qualité

Financements Dossiers

Fonctionnels

+ Dynamique collective + Rapprochement géographique des ES + Contenus mutualisés + Gains financiers

Parcours mutualisé d’atteinte des prérequis HN :

+ Méthodes, outils, livrables mis en commun+ Ateliers thématiques et retours d’expérience

Gouvernance par un comité de pilotage régional

Référents Consultants

Livrables

Outillage

Certification des comptes

Coopération transverse Qualité/Risques et DSI

Parcours d’atteinte des prérequis HN

Pour favoriser les démarches collectives et favoriser l’atteinte des prérequis à un coût réduit, les établissements peuvent suivre plusieurs parcours en commun :

- Diagnostic Flash SSI: pour identifier rapidement les points de faiblesses à traiter au sein de chaque établissement ;

- Parcours Prérequis HN « clés » pour répondre aux besoins communs en matière d’analyse de risques, PSSI, PRA, fichier unique de structures ;

- Parcours à thèmes (PRA, charte, PSSI,…) pour une progression maîtrisée dans la durée.

Application de la mutualisation aux livrables HN

P2: Etude stratégique de continuité d'activité

P2: Questionnaire d'analyse d'impacts et d'architecture

P2: Plan de Reprise d'Activité (HN)

P2: PRA / Liste des macro-processus

P2: PCA document de référence

P3: PGSSI (HN)

P3: Directives PGSSI (48)

P3: Politique Technique de Sécurité Pare-feu

P3: Charte (HN)

P3: CNIL gestion de l'information

Audit: Rapport d'audit général de sécurité

Salle informatique: cahier des charges

Migration Data Center & PRA:

Cartographie du SI – exemple_livrable

Diagnostic capacité DSI

Pilotage d’activité

Gestion de risques (HN) : outil Excel

Partager pour donner du sens au travail collégial Partager l’information est bien entendu nécessaire pour la bonne marche du

projet et dans le cadre de l’animation du groupement d’établissements.

Au-delà, le suivi centralisé des plans d’action, le partage des contenus et les

ateliers de retour d’expérience apporteront les vertus et gains suivants :

Développement des coopérations entre établissements ;

Homogénéisation des niveaux d’atteintes des prérequis et de la maturité

collective du groupement d’établissements en matière de Sécurité des

Systèmes d’Information ;

Pérennisation des résultats au-delà de l’atteinte des prérequis;

Optimisation de la gestion des demandes spécifiques et du maintien des

résultats obtenus dans le temps

Mise en place des plans de progrès pour faire vivre intelligemment les

plans d’actions sécurité, et l’optimisation des démarches de

mutualisation,

Approche méthodologique

Animation du programme: ateliers pratiques et retours d’expérience

Approche méthodologique

Objectifs Modalités

Des ateliers sont proposées pour lesprincipaux thèmes de la sécurité dessystèmes d’information : gestion desrisques, PSSI, PRA, audit vulnérabilité,pilotage des projets et activités.

Exemples d’objectifs pour un atelierGestion des Risques MCO (post-dépôtHN) : Fédérer l’ensemble des ES autour

d’une base commune de gestion desrisques à enrichir en fonction descas avérés et des cas intéressants àtraiter pour l’avenir

Renforcer la dynamique de groupeet maintenir la motivation des RSSI

En mode mutualisé : Retour d’expérience sur la gestion des

risques Etude de cas réels rencontrés au sein

des établissements Résolution de difficultés opérationnelles Apport méthodologique de gestion de

risques et outils novateurs

Maximum 5 établissements par session avec2 personnes par établissement.

Utilité de travailler à deux par établissementpour construire les mesures de sécuritéconcernées par le domaine traité par l’analysede risques et renforcer la polyvalenceattendue au sein de chaque établissement

Livrables des

ateliers :

Compte-rendu de séance Contenus partagés

Animation du groupe d’établissements

Objectifs Modalités

Garantir la cohésion du Groupe d’établissement dans le cadre du programme ;

Animer la gouvernance du programme ;

Soutenir le partage des pratiques et des retours d’expérience tout au long du programme.

En mode mutualisé : Par des réunions périodiques au sein du Groupe ou via un espace de

partage Pour des points de restitution et de communication sur le

déroulement du programme Sur l’avancée du programme au niveau de chaque établissement

et consolidé au niveau du Groupe

Par de l’évènementiel pour renforcer la cohésion du Groupe (exempleaujourd’hui)

groupe solidaire équipe performantecollection d’individus

Les 3 stades de développement des équipes (selon V. Lenhardt)

Approche méthodologique

Gouvernance : Instances, Qualité, Risques, Suivi

Organisation du programme

GOUVERNANCE - QUALITE

Directeur(s) Mission

COPIL

COOP

Référents HN

Equipe consultants

Consultants référents

Intranet – Extranet Projet Tableaux de bord - Base de contenus mutualisés – Documents Projet -

Gouvernance• Planification des actions• Pilotage et suivi des

avancements• Tableaux de bord

Qualité - Livrables• Méthodologie

d’intervention• Livrables types par thèmes• Relecture des livrables• Partage et retour

d’expérience• Evolution méthodes et

contenus des livrables

Animation interne

Gouvernance• Instances de décisions• Ordre du jour• Avancement et budgets• Planning• Maîtrise des risques projets• Liste des actions• Comptes rendus

Qualité - Livrables• Format type• Délais de fourniture• Fiches de lecture /

validation• Délais de validation• Enregistrement

Animation groupement