Expert opérationnel en systèmes d’information pour les structures de santé en Île-de-France, le Groupement de Coopération Sanitaire ( GCS ) SESAN propose des services d’infogérance à ses adhérents grâce à un accord-cadre conclu avec Claranet, Managed Service Provider spécialisé en infogérance d’applications critiques. Ce partenariat offre à chaque adhérent un accès au catalogue de services d’hébergement externalisé et certifié Hébergeur Données de Santé.
Au-delà l’hébergement et l’infogérance, cette offre permet également aux adhérents du GCS SESAN de répondre à leurs enjeux majeurs tels que les maintiens en condition opérationnelle, conformité et sécurité.
Tout a commencé en 2017, avec l’appel d’offres lancé par le GCS SESAN pour un marché « afin d’héberger et d’infogérer les Systèmes d’Information (SI) du GCS mais aussi de nos adhérents susceptibles d’être intéressés par l’externalisation de tout ou partie de leurs SI », explique Olivier Astier – chef de projet Infogérance au GCS SESAN -, « L’appel d’offres a été remporté par Claranet et nous avons commencé à travailler ensemble, pour organiser et mettre en œuvre la migration de notre SI. Nous travaillons en parallèle avec certains de nos adhérents qui peuvent être intéressés, soit pour l’externalisation du SI d’un Centre Hospitalier, soit dans le cadre d’un GHT, pour l’externalisation d’applications qui sont mutualisées ».
« La totalité de nos 200 adhérents, qu’ils soient des établissements publics ou privés, peuvent bénéficier de ce marché», poursuit Rémi Tilly – Directeur du Département Sécurité au GCS SESAN -, « S’agissant de l’hébergement des données de santé, cette offre est garante d’une conformité vis-à-vis de la nouvelle certification HDS conçue par le ministère de la santé en 2018. »
Dans ce marché, le catalogue de services est conçu de manière modulaire et adaptative afin de répondre au mieux aux besoins des adhérents. « Différents modèles d’infogérance sont proposés, de la gestion du système d’exploitation à la base de données, en passant par les middlewares », détaille Christophe Jodry – Directeur de l’offre Santé chez Claranet -. Ce dernier précise également un point important : les DSI des adhérents peuvent co-infogérer les plates-formes ainsi externalisées avec les équipes Claranet selon leurs volontés et leurs besoins.
Des projets d’externalisation pas à pas
Grâce à une méthodologie éprouvée, Claranet propose d’accompagner les adhérents dans leurs projets d’externalisation. « La première étape consiste à établir l’état des lieux du patrimoine IT de l’adhérent. Cette étape fondamentale permet de cibler les premières briques à migrer. », explique Christophe Jodry. « Nous construisons ainsi ensemble la stratégie d’externalisation en anticipant les architectures futures et en sélectionnant les niveaux de services les plus adaptés ».
Claranet a d’ailleurs co-construit avec le GCS SESAN, premier consommateur de son marché, une stratégie de migration qui devait conjuguer des objectifs de minimisation des risques, de performance et de cadence de déploiement. Ici, le besoin était de reprendre l’existant, comme le déménagement de serveurs physiques et la migration de machines virtuelles.
« Dans la majorité des cas, nous ne migrons pas en big bang. Un établissement ou un GHT doit d’abord découper son système d’information, lot par lot, car le patrimoine logiciel impose une bascule par étape dans le respect des contraintes fonctionnelles et techniques. Nous nous accaparons ainsi de chaque pièce du puzzle, brique fonctionnelle par brique fonctionnelle», précise Christophe Jodry.
Quelle que soit la méthode de migration choisie, les adhérents du GCS SESAN bénéficient naturellement des dispositions obligatoires en termes de sécurité et de conformité du référentiel HDS.
Sécurité et responsabilité
Au niveau de la protection informatique, Rémi Tilly constate une volonté des établissements d’augmenter leur niveau d’expertise. Dans ce cadre, le GCS SESAN propose un accompagnement à ses adhérents. Les prestations prévues à l’accord-cadre permettent aussi de franchir les différents paliers d’exigences en matière de sécurité.» Dans le cadre de son accompagnement via la mission SSI, le GCS SESAN se charge, en lien avec l’adhérent d’effectuer un état des lieux sécurité du parc visé. Cet état des lieux est communiqué à l’adhérent qui reste maître de son parc et du plan d’action qu’il aura décidé de mettre en oeuvre .
« Le programme Hôpital Numérique avait astreint les établissements à se mettre en conformité sur le chapitre de la sécurité. Cependant, les niveaux d’exigence continuent à augmenter, induisant ainsi une nécessité de poursuite voire d’accentuation des efforts de la part des établissements dans ce domaine.
« La prise de conscience de ces problèmes de sécurité a eu lieu à partir de la certification des comptes au niveau des établissements publics. », ajoute Rémi Tilly, « Le guide d’auditabilité des SI de la DGOS donnait déjà les bases de conformité, par exemple pour la gestion des sauvegardes et des habilitations. Si les programmes Hôpital Numérique et HOP’EN ont ajouté des points d’importance, il faut reconnaître l’apport du RGPD qui a mis l’accent sur la responsabilité des directions, au-delà des DSI. »
Le GCS SESAN accompagne d’ailleurs ses adhérents sur la sécurité des SI mais ne se substitue pas à leurs RSSI. Il en est de même pour le volet de conformité RGPD : « Nous avons des groupes de DPO/RSSI constitués de nos adhérents, avec lesquels nous travaillons sur ces questions. Chaque site a sensiblement les mêmes traitements de données. En conséquence, nous pouvons capitaliser sur des travaux qui peuvent concerner une majorité de nos adhérents. »
En matière d’action, la sensibilisation des acteurs reste un axe important : « Nous avons de bons retours sur nos tests de phishing, dont les taux de clics se réduisent au fur et à mesure des campagnes. », constate Rémi Tilly, « Même si les utilisateurs ont globalement conscience des risques, la répétition fixe la notion. La mise en place de couches de sécurité sur les messageries professionnelles par les établissements n’empêche pas l’utilisation de boite mails personnelles, qui peuvent être sources de propagation de virus en cas d’ouverture d’un mail infecté. »
Le marché d’infogérance HDS embarque naturellement plusieurs services de sécurité afin de permettre aux adhérents d’y recourir dans le cadre de leurs stratégies en matière de sécurité. Ainsi, « Le maintien en conditions opérationnelles et en conditions de sécurité, et ce en 24/7 font partis de l’offre Claranet », complète Christophe Jodry, « Nous déroulons un ensemble de processus et de services sécurité. A titre d’exemples, nous pouvons citer des scans réguliers pour chaque plate-forme, l’automatisation des patchs, des processus de sauvegarde, un plan de reprise d’activité, le renforcement des systèmes, ainsi que des services complémentaires anti-intrusion… »
Olivier Astier revient sur ces aspects « qui intéressent au plus haut point nos adhérents. Ce sont des procédures souvent très chronophages et complexes à mettre en œuvre. Dans le cadre de ce marché que nous avons construit avec nos adhérents, le même niveau de service est appliqué nativement à l’ensemble des plates-formes gérées chez Claranet, même si elles n’hébergent pas de données de santé à caractère personnel. Cela permet à nos adhérents de se recentrer sur leurs applications et sur le service aux utilisateurs».
Bien que la sécurité opérationnelle soit gérée par Claranet, l’établissement (ou le GCS SESAN pour ses propres plates-formes), reste responsable de sa politique de sécurité, en tant que responsable de traitement.
Externalisation et infogérance de SI : demain la norme ?
Pour Olivier Astier, le constat est sans appel :« L’infogérance peut apporter une aide à l’amélioration de la qualité de gestion et de sécurité d’infrastructure pour les établissements.. Dans le cadre de notre marché, l’expertise de Claranet est mise à la disposition de nos adhérents.
« Il n’y a pas lieu de s’inquiéter sur la démocratisation de l’externalisation. Les indicateurs de mesure de taux de satisfaction et de disponibilité des systèmes permettront d’objectiver l’apport d’une telle transformation des systèmes d’information.», affirme Christophe Jodry, « Taux de disponibilité des plates-formes, temps de réponse à incidents optimal, détection des incidents : nous visons l’excellence opérationnelle. Et ceux qui nous ont fait confiance en sont les meilleurs ambassadeurs. »
