Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Depuis quelques années, la situation budgétaire des hôpitaux comme la fragilité de leurs systèmes d’information contre les cyberattaques défraient la chronique. La mutualisation des moyens, IT et humains, entre les établissements représente une partie de la réponse. Qui reste en souffrance…
Promulguée en 2016, la loi santé portée par Marisol Touraine avait instauré la création des groupements hospitaliers de territoire (GHT), qui avait entre autres pour objectif de mutualiser les ressources informatiques. A l’époque, les quelques 1400 hôpitaux publics, intégrés aujourd’hui au sein de 136 GHT, « avaient deux ou trois ans pour mettre en pratique cette rationalisation« , rappelle Vincent Trély, président de l’APSSIS (association des experts SSI de la santé). Neuf ans après, le constat s’impose. Cette mutualisation est loin d’être effective sur le terrain. Au sein d’un même GHT, certains petits hôpitaux se sont organisés pour travailler conjointement avec le CHU local, d’autres continuent à gérer leur SI de façon plus ou moins autonome. Les conséquences se déclinent bien sûr en termes budgétaires, en hétérogénéité des SI et limitent la capacité à renforcer la cybersécurité.
Panorama hétérogène de l’informatique hospitalière
Les raisons ? Comme les entreprises, l’informatisation des hôpitaux s’est faite au fil de l’eau avec parfois un empilement d’outils sans vision globale. Facteur aggravant, pour répondre à la diversité des activités les SI hospitaliers se composent d’un nombre impressionnant d’applications, « qui peut monter à 300 pour un établissement« , illustre Vincent Trély. La rationalisation des parcs logiciels représente à elle seule un chantier de taille… Qui reste souvent en attente. Et la situation n’a pas tendance à s’arranger pas au vu de la banalisation des IoT (seringues connectées…) dans la pratique médicale et dans les SI. « Les établissements ont quasiment tous mis en place le dossier médical partagé », pondère Vincent Trély. Dans un autre registre, des résistances perdurent. Des DSI locales n’ont pas forcément envie de passer sous la coupe de celles d’établissements plus importants. « Et, Les ARS ne mettent pas particulièrement la pression« , ajoute Vincent Trély. La faiblesse des ressources humaines et des moyens financiers sont également invoquées.
Reste, que ce panorama d’une informatique hospitalière hétérogène pour ne pas dire hétéroclite à l’échelle nationale pose question. Une constante émerge malgré tout à savoir le choix systématique de Microsoft pour la bureautique pour quasiment tous les établissements. Un choix qui ne fait qu’alourdir l’addition et, faute de compétences pointues sur l’active directory de Microsoft, ouvre une autre porte sur des SI déjà fragiles.
Un chantier qui reste entier… mais pour quelles raisons ?
Suite à la multiplication des cyberattaques sur le secteur, le ministère de la Santé a lancé en 2023 le plan Care (Cybersécurité Accélération et Résilience des Etablissements). Le rapport reconnaît que « ... les opportunités de mutualisation et de capitalisation des ressources et des moyens entre plusieurs établissements ne sont pas toujours mobilisées… » Parmi ses préconisations, nombre de mesures sont louables, comme la création d’un poste de RSSI par établissement par exemple. Mais il manque un maillon essentiel à savoir développer des briques technologiques souveraines et unifiées pour réduire la dépendance et maîtriser les coûts. Et les nouveaux budgets alloués prévus par ce plan vont plus servir à régler les notes des fournisseurs qu’à autre chose.
Alors pourquoi le ministère de la Santé et les ARS ne sont-ils pas arrivés quelques 8 à 9 années après la loi à homogénéiser et mieux protéger un tant soit peu ces SI ! Manque de volonté politique pour donner des lignes directrices dans les achats IT ? Pour développer un équivalent de l’Active Directory de Microsoft à partir de l’annuaire santé (RPPS) et déclinable dans tous les établissements ? Pour établir une liste de fournisseurs IT agréés réduite ? Pour imposer une mutualisation des moyens IT au niveau des GHT ? Seuls les intéressés peuvent répondre… Pour l’heure, ce chantier reste entier ou presque.
