Covid-19 : télétravail et management de la sécurité des systèmes d’information, le centre hospitalier Alpes-Isère avait déjà tout prévu

Des établissements de santé se sont déjà lancés dans l’amélioration de la qualité de leur système d’information. C’est le cas du centre hospitalier Alpes-Isère (Chai), un établissement public de santé mentale près de Grenoble. Avec quelque 2 000 usagers et une DSI de moins de dix personnes, la taille de l’établissement offrait une certaine flexibilité, « le terreau nécessaire pour s’orienter sur les normes ISO 27001 et 27002, dont la dernière est fonctionnellement plus précise ». C’est ce qu’est venu expliquer Benjamin Delubac, RSI/RSSI du Chai, le 24 janvier dernier, lors d’une journée organisée par la Direction générale de l’offre de soins consacrée au plan d’action stratégique pour les systèmes d’information hospitaliers, dans le cadre du programme Hop’en.

Augmenter le niveau de sécurité du SIH

En 2015, l’EPSM isérois s’est tourné dans le cadre d’Hôpital numérique vers ces deux normes de sécurité des systèmes d’information. « Nous nous sommes vite rendu compte que les besoins en matière de sécurité des SI augmentaient », a indiqué Benjamin Delubac. Répondre à ces enjeux ne peut se faire sans une implication forte de la direction générale, a-t-il rappelé : « Il est essentiel que l’établissement s’engage dans cette démarche qui nécessite de gros investissements, à plus forte raison quand le “gap” à rattraper est important. » Mais, la sécurité, ce n’est pas seulement l’affaire de la direction et de la DSI, elle concerne également les utilisateurs du SI.

Le cas du télétravail

Benjamin Delubac a illustré ses propos avec l’exemple du télétravail, sans savoir encore qu’il allait prendre un essor considérable sous la contrainte de la crise du nouveau coronavirus. Le télétravail a été appliqué un an plutôt dans l’EPSM aux métiers pouvant en bénéficier. La crise sanitaire a démultiplié les usages. « Nous l’avons déployé auprès de 400 usagers en moins de trois jours », rapporte aujourd’hui le RSI/RSSI du Chai.
Dès le départ, le télétravail a soulevé des questions fortes de sécurité, notamment lors de l’utilisation de postes personnels. La DSI de l’établissement isérois a alors été sollicitée par la direction générale, la direction des ressources humaines et la direction des soins pour faire part de son expertise sur le sujet et aborder la question du cadre défini par l’ISO 27002 en termes de télétravail et de règles de sécurité afférentes.

Une norme structurante

Après cinq années d’alignement du système d’information sur cette norme, le Chai en retire un bénéfice indéniable. « Nous avons un vrai cadre réglementaire que l’on peut imposer quand il est question de sécurité dans des projets institutionnels, élément pour lequel nous sommes systématiquement consultés comme le prévoit la norme. C’est important pour nous. Les décisions en matière de sécurité, quand elles s’appuient sur cette norme, sont quasiment indiscutables. La norme ISO 27002 appliquée au système de management de la sécurité de l’information est essentielle. C’est un support capital », a conclu Benjamin Delubac.