Dans l’avant-propos de la dernière version du référentiel, la disparition des exigences mentionnées dans notre précédent article est justifiée par le soutien de « la majorité des fédérations d’industriels ».

Cette assertion est pour le moins surprenante lorsqu’on a participé aux débats ayant conduit à l’adoption il y a trois mois de ces mêmes exigences. Six fédérations ou associations étaient consultées : l’ASINHPA, le LESSIS, la FEIMA, l’AFHADS, SYNTEC Numérique et le SNITEM, et cinq d’entre elles se sont exprimées sans ambigüité sur le rôle de l’hébergeur certifié dans le contrôle des applications hébergées.

Voici des morceaux choisis sur les contributions des uns et des autres :

• L’ASINHPA s’inquiète aussi de la plus grande implication du responsable de traitement qui devra faire d’un grand discernement pour se conformer à un nombre de plus en plus important de référentiels sans en avoir toutes les compétences ni même les ressources.
• Il ne s’agit pas seulement de stocker et de sécuriser des données sur des machines virtuelles, mais également de qualifier les services d’accompagnement, e.g. authentification et gestion des droits d’accès applicatifs, pertinence des processus favorisant l’interopérabilité, fonctions de Business Intelligence, Big Data, etc… (LESSIS)
• La portée trop restrictive des exigences relatives au caractère opposable des référentiels PGSSI-S [ne nous parait pas] de nature à apporter les garanties requises (FEIMA)
• Le rôle de l’HDS comme garant de la conformité des applications hébergées à la PGSSI-S doit être clairement explicité (AFHADS)
• L’hébergement de données de santé ne peut être réputé sécurisé que s’il inclut la partie applicative… Un garant, responsable de l’ensemble de la chaîne de valeur, doit être clairement identifié (SYNTEC Numérique)

Aucune n’ayant apparemment changé de position, la « majorité des fédérations d’industriels » semble donc ici un leurre pour d’autres acteurs qui auront su durant l’été exercer les pressions adéquates. On peut là-dessus avancer quelques hypothèses. Trêve dominicale oblige, ce sera la semaine prochaine.