Typ om te zoeken

Geen onderdeel van een categorie

Un consultant en sécurité informatique dans les hôpitaux: faut-il assumer cette tâche soi-même ou la sous-traiter ?

Delen

“L’engagement effectif d’un consultant en sécurité est longtemps resté lettre morte, parce qu’il n’était pas soutenu par des mesures contraignantes. Le 5 juillet 2011 pourtant, le Comité sectoriel Sécurité sociale & Santé a décidé que les hôpitaux qui ne disposaient pas d’un consultant n’auraient plus accès aux données personnelles du Registre national. L’informatisation croissante dans les hôpitaux était l’une des principales raisons sous-jacentes à cette décision, surtout pour ce qui a trait au dossier médical des patients et à l’échange électronique de données, pour lesquels les risques sur le plan du respect de la vie privée allaient en augmentant. Il faut d’ailleurs s’attendre à ce qu’à l’avenir, des exigences au niveau des consultants en sécurité soient imposées également dans une plus large mesure à d’autres organisations gérant des données personnelles. Dans le secteur de la sécurité sociale, il s’agit par exemple des mutualités, des organisations professionnelles et des secrétariats sociaux. Des villes, des communes et des CPAS ont cependant aussi cette exigence.”

Souvent, le budget et les personnes adéquates font défaut

“De nombreux hôpitaux éprouvent des difficultés à répondre aux exigences concernant le consultant en sécurité. Tout d’abord, les autorités n’ont pas prévu de budget pour cette nouvelle exigence, pour laquelle une solution bon marché est dès lors souvent recherchée. Ensuite, il est parfois difficile pour les hôpitaux de trouver en interne ou via un recrutement la personne qui convient, avec les connaissances et la motivation requises. C’est d’autant plus vrai que cette personne ne peut pas travailler au sein du département IT interne, afin de garantir son indépendance. Il est pourtant évident que les compétences nécessaires sont fort liées à l’IT. Dans l’intervalle, des hôpitaux ont mis au point différents modèles pour parvenir à remplir la fonction de consultant en sécurité. C’est ainsi, notamment, que six hôpitaux psychiatriques qui collaborent parce qu’ils utilisent un logiciel semblable font appel au même consultant en sécurité. Deux autres hôpitaux généraux s’en tiennent à une ‘pollinisation croisée’, par laquelle un collaborateur ICT de l’un des deux hôpitaux devient consultant en sécurité pour l’autre hôpital, et vice versa.”

Des tâches ‘de démarrage’ et des tâches récurrentes

“La description de fonction du consultant en sécurité est la suivante: ‘Il/elle conseille les responsables de la gestion quotidienne concernant tous les aspects de la sécurité informatique. Cela implique une mission de conseil, de stimulation, de documentation et de contrôle. Il /elle rédige un projet de plan de sécurité pour un délai déterminé, en indiquant les moyens nécessaires sur une base annuelle pour l’exécution de ce plan. Il ne s’agit donc pas d’une mission exécutive ou de management, dont la responsabilité incombe au management.’ Dans la pratique, il s’avère que les hôpitaux ignorent souvent quel contenu ils doivent donner aux tâches du consultant en sécurité. Via les autorités, il est possible de suivre un cours à ce sujet, mais celui-ci n’est pas très pragmatique,” affirme Koen Claessens.
Les tâches du consultant en sécurité peuvent être scindées en deux groupes. “D’une part, il y a les tâches ‘de démarrage’, dont font notamment partie la mise en place de la politique de sécurité, l’analyse des risques et la rédaction du plan de sécurité. D’autre part, il y a les tâches ‘récurrentes’, qui doivent être accomplies par la suite sur une base régulière. Parmi elles figurent le suivi, le rapportage et la mise à jour de la politique et du plan de sécurité.”

La sous-traitance garantit l’indépendance

“Etant donné que la fonction de consultant en sécurité n’est pas une fonction exécutive ou de management, mais surtout une tâche de conseil, elle se prête bien à la sous-traitance externe. La sous-traitance garantit l’indépendance de la fonction, ce qui est un autre argument qui plaide en sa faveur. En tant que conseillers externes, nous disposons en outre des compétences requises sur le plan de l’informatique et de la sécurité informatique, du contrôle et de la documentation,” conclut Koen Claessens.
Quote: “Etant donné que la fonction de consultant en sécurité n’est pas une fonction exécutive ou de management, elle se prête bien à la sous-traitance externe”

Tags:

Geef een reactie