Face aux exigences croissantes en matière de cybersécurité et de certification HAS, l’Association pour le Développement de l’Hémodialyse (ADH) a engagé une démarche pour structurer son organisation et sécuriser son système d’information.

Initialement mobilisé sur un besoin lié à une certification, l’accompagnement s’est progressivement inscrit dans la durée avec la mise en place d’un RSSI externalisé.

Dans cet échange, Gaëtan Bajart, Responsable des Systèmes d’Information, partage son retour d’expérience.

Pouvez-vous nous présenter l’ADH et ses spécificités ?

G.B. : « L’ADH, c’est une association avec une vingtaine de centres dans le Nord–Pas-de-Calais, spécialisée dans la dialyse. Nous sommes environ 180 salariés, dont une centaine d’infirmières.

Côté système d’information, l’organisation repose sur plusieurs acteurs : un RSI, un prestataire externe présent une journée par semaine, un RSSI externalisé sur une journée par mois, ainsi qu’une personne à la qualité impliquée notamment sur le PCRA. On s’appuie aussi sur des infirmières coordinatrices dans les centres, qui font le lien entre les équipes métiers et les sujets informatiques. »

Dans quel contexte avez-vous engagé cette démarche ?

G.B. : « Le point de départ, c’est la certification HAS en janvier 2024, qui a mis en évidence des axes d’amélioration sur la partie informatique.

Techniquement, beaucoup de choses étaient déjà en place, mais il manquait surtout une formalisation au niveau organisationnel : documentation, procédures et cadre structuré. Il a donc fallu organiser et formaliser ce qui existait déjà, et renforcer l’organisation, notamment sur les aspects de sécurité. »

Comment l’accompagnement a-t-il évolué ?

G.B. : « Au départ, c’était un accompagnement pour la certification HAS. Mais on sait que ce n’est pas un sujet ponctuel. La cybersécurité, ça se travaille dans la durée : il faut suivre les évolutions, maintenir les pratiques, continuer à structurer. On a donc élargi l’accompagnement avec la sensibilisation des équipes, notamment via un outil dédié, et un appui sur les programmes nationaux comme HOPEN 2, CaRE ou HospiConnect. »

Pourquoi avoir fait le choix d’un RSSI externalisé ?

G.B. : « Dans une logique de bonne gouvernance et de conformité, les fonctions de RSI et de RSSI doivent être dissociées afin d’assurer l’indépendance du pilotage de la sécurité.

Ce n’est pas que de la technique, c’est beaucoup d’organisation, de gouvernance et d’accompagnement. »

Concrètement, qu’apporte un RSSI externalisé au quotidien ?

G.B. : « Pour moi, le RSSI, ce n’est pas une option, c’est une vraie aide. J’ai un profil technique, je sais où il faut aller. Mais tout ce qui est attendu autour, la partie réglementaire, organisationnelle et documentaire, c’est là que l’accompagnement est indispensable.

Weliom nous aide pour structurer les procédures, produire les livrables attendus, comprendre les obligations réglementaires et surtout les traduire pour les appliquer concrètement. Par exemple, en cas d’incident, savoir qui alerter, comment, avec quelles informations… ce sont des choses essentielles mais qui ne sont pas toujours évidentes à structurer. »

Pouvez-vous nous partager un exemple concret ?

G.B. : « Les exercices de crise ont été un vrai tournant. Avant, les établissements avaient une vision très technique : une cyberattaque, on coupe, on analyse. Mais en réalité, c’est toute l’organisation qui est impactée. Si l’informatique tombe, les services de l’ADH (Soins, Ressources Humaines , Pharmacie, Comptabilité…) doivent continuer. Et chaque service doit être capable de fonctionner avec des procédures dégradées.

Ces exercices ont permis de faire comprendre que ce n’est pas à l’informatique de tout gérer. Chaque métier doit s’approprier le sujet. Le fait que les exercices soient adaptés à notre organisation, et personnalisés grâce à la connaissance que Weliom de notre structure, de nos enjeux et de notre fonctionnement, a vraiment changé la donne. Les équipes se projettent beaucoup plus. »

Quels bénéfices observez-vous aujourd’hui ?

G.B. : « Il y a une vraie évolution. Aujourd’hui, ce n’est plus le système d’information tout seul dans son coin. On a une dynamique collective avec la qualité, les métiers et la direction. Les équipes ont compris les enjeux, et on avance ensemble. »

Que diriez-vous à un établissement qui hésite à se lancer ?

G.B. : « C’est un vrai plus. Aujourd’hui, beaucoup d’établissements ne développent pas suffisamment la cybersécurité, alors que les données de santé sont exposées.

Mais ça ne peut pas fonctionner seul. La cybersécurité, ce n’est pas qu’un sujet informatique, c’est une démarche globale pour l’établissement avec une implication de la direction et des équipes. Et le RSSI permet de structurer l’ensemble. »

Quels sont vos prochains défis ?

G.B. : « Les prochains enjeux, c’est de continuer à faire vivre la cybersécurité dans le temps.

On va poursuivre la sensibilisation, déployer l’authentification multifacteur et accompagner les équipes dans ces changements. Le vrai sujet, c’est l’adoption. Il faut expliquer, accompagner, faire comprendre pourquoi c’est nécessaire. Et là, l’apport de Weliom est aussi important sur la communication et la pédagogie. »

Grâce à cet accompagnement dans la durée, l’ADH a structuré sa démarche de cybersécurité, renforcé sa capacité à répondre aux exigences réglementaires et engagé ses équipes dans une dynamique collective.

Vous avez un projet ou une réflexion en cours sur votre cybersécurité ?