Sécurité des SIH : une première version du référentiel MaturiN’H attendue avant l’été

Un référentiel pour les gouverner tous… C’est en tout cas l’ambition affichée par le référentiel MaturiN’H, sur lequel planche la direction générale de l’offre de soins (DGOS) depuis 2019 et qui arrive aujourd’hui dans sa phase finale. Ce référentiel se veut aussi bien un outil de mesure de la maturité numérique des établissements hospitaliers qu’un guide de conformité des SIH, notamment dans sa dimension sécurité.

Dans un point d’étape partagé lors du 10^e congrès de l’Association pour la sécurité des systèmes d’information de santé (Apssis), le 5 avril 2022, Michel Raux a rappelé les objectifs et le calendrier prévisionnel du référentiel, qui fait partie de la doctrine du numérique en santé. Ce référentiel, pensé pour être un outil de pilotage de la qualité des SI, agit sur 2 registres : le registre de la maturité (mise en place et amélioration continue des bonnes pratiques dans les établissements de santé) et celui des conformités (certifications). “Avec l’espoir et l’ambition de faire converger usages, bonnes pratiques et conformité”, résume Michel Raux.

Une passerelle vers 9 référentiels de sécurité existants

Le référentiel compte 7 dimensions d’analyse, dont l’éthique du numérique et le développement durable, l’adéquation aux besoins fonctionnels et aux besoins d’infrastructures techniques, la sécurité, les pratiques de management des organisations, la qualité de service, l’usage et la satisfaction des utilisateurs. Sur la dimension sécurité, MaturiN’H a engagé depuis plus d’un an plusieurs ateliers Sécurité des SI (SSI) réunissant 13 membres représentatifs des acteurs de la filière. Un enjeu-clé de ce référentiel porte sur la passerelle qui sera faite avec les 9 référentiels existants pris en compte dans MaturiN’H (prérequis Hop’En, mesures d’hygiène de l’Anssi, NIS v1, Iso 27 0001…).

Pour l’instant, ces référentiels sont intégrés à différents niveaux mais devraient, à terme, être complètement liés à MaturiN’H. Le référentiel des mesures prioritaires, qui fait partie du plan de renforcement cyber des établissements de santé, est, lui, encore en finalisation. Construit entre autres avec l’appui du FSSI des ministères sociaux, Jean-François Parguet, ce référentiel devrait totaliser 44 mesures prioritaires organisées en 6 objectifs.

Autre enjeu-clé, le principe “dites-le nous une fois”. “L’ambition est que lorsqu’on répond à une question d’exigence, que cela puisse alimenter l’ensemble des référentiels vers lesquels cette exigence puisse être adressée”, explique Michel Raux. Un outil d’autoévaluation devrait être finalisé cet été et prendra la forme d’un tableau Excel, sur lequel chaque établissement pourra remplir, par oui ou par non, si ce critère de sécurité est atteint. Selon le principe “dites-le nous une fois”, les réponses pourront alors aboutir à une validation d’emblée, mise en regard par rapport aux exigences des 9 référentiels de sécurité intégrés au sein de MaturiN’H. “A l’inverse, si un établissement remplit les prérequis Hop’En, a atteint les prérequis du programme SUN-ES ou a déjà une certification ISO 27 0001, il pourra d’emblée voir tous les indicateurs qui auront été satisfaits directement renseignés au sein du référentiel MaturiN’H, sans avoir à ressaisir les informations.”

Expérimentation en 2023 et généralisation en 2024

Sur la dimension sécurité des SI, la première version du référentiel devrait comprendre 142 critères environ, même si les choses peuvent encore évoluer d’ici la publication de cette v1, attendue avant l’été. Elle sera ensuite mise en concertation et validée par la gouvernance du dispositif d’élaboration de Maturin (comité de concertation et comité de suivi) pour arriver à une version concertée qui pourra être mise dans les sites pilotes vers la fin de l’année 2022.

En parallèle, la DGOS va mener un travail d’élaboration et de sélection de sites pilotes, via un appel à candidatures avec un cahier des charges qui sera défini prochainement. Cette expérimentation qui sera menée en 2023 permettra de remonter les retours d’expériences sur toutes les dimensions du référentiel MaturiN’H, pas seulement sur la sécurité des SI, “de façon à pouvoir aboutir à une généralisation du référentiel en 2024”.