coopÉration et mutualisation en sÉcuritÉ · travail collaboratif, le partage et capitalisation...
TRANSCRIPT
COOPÉRATION ET MUTUALISATION EN SÉCURITÉ
Dominique Desmay, Directeur GCS Esanté Poitou-Charentes
Cosialis Consulting
Contexte en Poitou-Charentes
Volonté de coopérer
ARH puis ARS Poitou-Charentes
Collège DSIO
GCS Esanté Poitou-Charentes
Un apprentissage de démarches communes dans le domaine de la sécurité des SIS
Mise en place du Décret Confidentialité pour 11 Centres Hospitaliers
Travaux conduits par le Collège des DSIO
Un dispositif et une gouvernance
GOUVERNANCE
STRATEGIQUE
Comité Régional Stratégique des
SIS(ARS)
DGOS, DSSIS, ASIP, ANAP, …
MISE EN OEUVRE
OPERATIONNELLE
RSSI référents sécurité
établissement
Référent Régional SIS
Comité Sécurité SIS
EtablissementAutres
instances
Démarche régionale PHN (2012-2015)
Démarche initiée par le GCS Esanté et le Collège des DSIO (fin 2012)
Proposition d’une stratégie globale d’accompagnement / plusieurs axes et chantiers
Une gouvernance opérationnelle de PHN
Un suivi d’avancement
Une communication PHN dédiée
Une formation…
Démarche régionale PHN
Premiers travaux (2013)
Constitution d’un groupe de travail régional dédié PHN
Mise en lien de ce travail initial avec l’ARS
Démarche régionale ARS-GCS-Collège DSIO structurée (juin 2013)
Demande à l’ensemble des établissements concernés de réaliser un autodiagnostic de leurs SIH
Périmètre : les prérequis
GCS Esanté mandaté pour réaliser la maîtrise d’ouvrage déléguée de l’état des lieux (publication, support, suivi, analyse et restitution des résultats)
Échéance : état des lieux du 14 juin au 4 octobre 2013
Démarche régionale PHN
Résultats synthétiques
« Si la région était un seul établissement »
PRE-REQUISMOYENNE
REGIONALE
P1 / Identités, mouvements
73 %
P2 / Fiabilité, disponibilité 50 %
P3 / Confidentialité 59 %
Démarche régionale PHN
Résultats synthétiques
Nombre d’établissements ayant atteint les seuils d’éligibilité sur les prérequis
Démarche régionale PHN
Résultats synthétiques
Comparaison national / régional
Démarche régionale PHN
Engagement d’une seconde étape (2014)
Ressources renforcées au niveau ARS / aide au dépôt des dossiers et instruction
Lettre de mission de l’ARS au GCS Esanté(juillet 2014)
« …Dans le but de soutenir les établissements de la
région sur l’atteinte des prérequis du programme,
l’ARS mandate le GCS Esanté afin qu’il
Lance et coordonne un marché régional qui
permettra de sélectionner un prestataire capable
de répondre aux divers besoins de la région Poitou-
Charentes… »
Démarche régionale PHN
Suites données par le GCS Esanté(fin 2014)
Création d’un groupement régional de
commandes
GCS Esanté coordonnateur
19 membres
Appel d’offres
Travail du Groupe de travail PHN
CCTP (besoins en UO, jours et estimation
financière)
Analyse offres
Choix : COSIALIS
Présentation de Cosialis Consulting
Une offre de conseil outillé Nous réalisons pour nos clients des missions de conseil outillé pour la
gouvernance, l’organisation et le pilotage de l’Entreprise (collectivités,industrie, santé, services, etc.) :
Nos interventions se caractérisent par une approche simple, progressive,réaliste et centrée sur l’efficacité, pour votre bénéfice :
la combinaison d’une véritable expérience terrain, d’une approche méthodologiqueéprouvée, et d’un outillage performant
Cette démarche garantit la mise en œuvre opérationnelle etla pérennité de vos modes de fonctionnement.
Notre cabinet est fortement investi sur Hôpital Numérique depuis 2012 :
Dans la logique de 15 ans d’expérience en conseil IT et Sécurité SI ;
Grâce aux prestations régulières auprès de 70 clients établissements de santé ;
En capitalisant des livrables éprouvés (cartographies, PSSI, PRA,..) et des références probantes : accompagnement du Collège DSIO Rhône-Alpes où 13 clients ont obtenu une validation de leur prérequis HN par la DGOS
Quelques dossiers HN validés par la DGOS :
Retours d’expérience sur les démarches mutualisées d’atteinte des prérequis HN
ENJEUXCONSTATS
BENEFICES RESULTATS
METHODOLOGIE
• Un catalogue de services pour répondre à
chaque pré requis Hôpital numérique
• Des livrables types éprouvés et déjà
opérationnels dans des établissements de
santé
• Outil commun pour le suivi du projet et le
pilotage des activités
• Les groupements ont pris l’initiative de se
coordonner pour lancer un appel à
concurrence portant sur un programme
d’atteinte et de maintien en conditions
opérationnelles des pré requis Hôpital
numérique..
• L’objectif est d’opérationnaliser
l’atteinte des prérequis pour pérenniser
les acquis dans le temps.
• Rapprocher les experts Métiers et Sécurité
SI
• Fort taux de mutualisation des prestations
• Regroupement des prestations en parcours
thématiques
• Démarche outillée pour opérationnaliser
les résultats
• Un planning respecté pour les premiers
dépôts de dossiers DIPISI
• 15 dossiers validés en 6 mois (Rhône-
Alpes)
• Alignement des établissements sur des
niveaux de maturité similaires
• Partage des retours d’expérience
• Gains de maturité en matière de
Gouvernance et Sécurité du SI
• Faciliter une atteinte rapide et maîtrisée
des prérequis Hôpital Numérique pour une
vingtaine d’établissements
• Concevoir des prestations mutualisées
privilégiant les gains économiques, le
travail collaboratif, le partage et
capitalisation d’expériences
• Rendre les établissements
progressivement autonomes dans les
domaines traités
Rappel sur le rôle des prérequis HN
Articulation avec les autres domaines
Fiabilisation du SI au quotidien
Certification HAS + Compte Qualité
Financements Dossiers
Fonctionnels
+ Dynamique collective + Rapprochement géographique des ES + Contenus mutualisés + Gains financiers
Parcours mutualisé d’atteinte des prérequis HN :
+ Méthodes, outils, livrables mis en commun+ Ateliers thématiques et retours d’expérience
Gouvernance par un comité de pilotage régional
Référents Consultants
Livrables
Outillage
Certification des comptes
Coopération transverse Qualité/Risques et DSI
Parcours d’atteinte des prérequis HN
Pour favoriser les démarches collectives et favoriser l’atteinte des prérequis à un coût réduit, les établissements peuvent suivre plusieurs parcours en commun :
- Diagnostic Flash SSI: pour identifier rapidement les points de faiblesses à traiter au sein de chaque établissement ;
- Parcours Prérequis HN « clés » pour répondre aux besoins communs en matière d’analyse de risques, PSSI, PRA, fichier unique de structures ;
- Parcours à thèmes (PRA, charte, PSSI,…) pour une progression maîtrisée dans la durée.
Application de la mutualisation aux livrables HN
P2: Etude stratégique de continuité d'activité
P2: Questionnaire d'analyse d'impacts et d'architecture
P2: Plan de Reprise d'Activité (HN)
P2: PRA / Liste des macro-processus
P2: PCA document de référence
P3: PGSSI (HN)
P3: Directives PGSSI (48)
P3: Politique Technique de Sécurité Pare-feu
P3: Charte (HN)
P3: CNIL gestion de l'information
Audit: Rapport d'audit général de sécurité
Salle informatique: cahier des charges
Migration Data Center & PRA:
Cartographie du SI – exemple_livrable
Diagnostic capacité DSI
Pilotage d’activité
Gestion de risques (HN) : outil Excel
Partager pour donner du sens au travail collégial Partager l’information est bien entendu nécessaire pour la bonne marche du
projet et dans le cadre de l’animation du groupement d’établissements.
Au-delà, le suivi centralisé des plans d’action, le partage des contenus et les
ateliers de retour d’expérience apporteront les vertus et gains suivants :
Développement des coopérations entre établissements ;
Homogénéisation des niveaux d’atteintes des prérequis et de la maturité
collective du groupement d’établissements en matière de Sécurité des
Systèmes d’Information ;
Pérennisation des résultats au-delà de l’atteinte des prérequis;
Optimisation de la gestion des demandes spécifiques et du maintien des
résultats obtenus dans le temps
Mise en place des plans de progrès pour faire vivre intelligemment les
plans d’actions sécurité, et l’optimisation des démarches de
mutualisation,
Approche méthodologique
Animation du programme: ateliers pratiques et retours d’expérience
Approche méthodologique
Objectifs Modalités
Des ateliers sont proposées pour lesprincipaux thèmes de la sécurité dessystèmes d’information : gestion desrisques, PSSI, PRA, audit vulnérabilité,pilotage des projets et activités.
Exemples d’objectifs pour un atelierGestion des Risques MCO (post-dépôtHN) : Fédérer l’ensemble des ES autour
d’une base commune de gestion desrisques à enrichir en fonction descas avérés et des cas intéressants àtraiter pour l’avenir
Renforcer la dynamique de groupeet maintenir la motivation des RSSI
En mode mutualisé : Retour d’expérience sur la gestion des
risques Etude de cas réels rencontrés au sein
des établissements Résolution de difficultés opérationnelles Apport méthodologique de gestion de
risques et outils novateurs
Maximum 5 établissements par session avec2 personnes par établissement.
Utilité de travailler à deux par établissementpour construire les mesures de sécuritéconcernées par le domaine traité par l’analysede risques et renforcer la polyvalenceattendue au sein de chaque établissement
Livrables des
ateliers :
Compte-rendu de séance Contenus partagés
Animation du groupe d’établissements
Objectifs Modalités
Garantir la cohésion du Groupe d’établissement dans le cadre du programme ;
Animer la gouvernance du programme ;
Soutenir le partage des pratiques et des retours d’expérience tout au long du programme.
En mode mutualisé : Par des réunions périodiques au sein du Groupe ou via un espace de
partage Pour des points de restitution et de communication sur le
déroulement du programme Sur l’avancée du programme au niveau de chaque établissement
et consolidé au niveau du Groupe
Par de l’évènementiel pour renforcer la cohésion du Groupe (exempleaujourd’hui)
groupe solidaire équipe performantecollection d’individus
Les 3 stades de développement des équipes (selon V. Lenhardt)
Approche méthodologique
Gouvernance : Instances, Qualité, Risques, Suivi
Organisation du programme
GOUVERNANCE - QUALITE
Directeur(s) Mission
COPIL
COOP
Référents HN
Equipe consultants
Consultants référents
Intranet – Extranet Projet Tableaux de bord - Base de contenus mutualisés – Documents Projet -
Gouvernance• Planification des actions• Pilotage et suivi des
avancements• Tableaux de bord
Qualité - Livrables• Méthodologie
d’intervention• Livrables types par thèmes• Relecture des livrables• Partage et retour
d’expérience• Evolution méthodes et
contenus des livrables
Animation interne
Gouvernance• Instances de décisions• Ordre du jour• Avancement et budgets• Planning• Maîtrise des risques projets• Liste des actions• Comptes rendus
Qualité - Livrables• Format type• Délais de fourniture• Fiches de lecture /
validation• Délais de validation• Enregistrement
Animation groupement