« La cybersécurité est le gros sujet des organismes de santé »

Fin connaisseur du secteur de la santé, Nicolas Delaporte gère un SI de plus en plus complexe. Il doit faire face à des réglementations plus importantes et à des processus de plus en plus centralisés. Ces aspects ont un impact direct sur le choix de ses partenaires.

Résumez-nous l’infrastructure IT qui fait fonctionner le CHU de Toulouse. Quels sont vos projets en cours et à venir ?

Le CHU de Toulouse, c’est plus de 280 applications pour lesquelles nous menons des travaux d’interopérabilité et d’urbanisation. En termes d’infrastructures, nous disposons de solutions d’hyperconvergence, de services de stockage de type NAS et SAN, d’environnements hétérogènes de Windows à Linux, de plus de 12 000 postes à gérer ainsi que d’infrastructures réseaux avec plusieurs backbones et liens haut débit.

Notre défi du moment concerne également Kubernetes et la conteneurisation, le traitement de nos données et l’approche Devops. Quant au cloud, son éventuel choix nous interpelle depuis un certain temps. Le cloud pose des questions car il faut que nous assurions notre autonomie en cas d’incident. Nous disposons déjà de solutions SaaS mais nous restons vigilants.

Quelle est la taille de votre service IT ?

Notre service, environ 135 personnes, est basé sur une approche Itil [approche par processus défini et contrôlé, NDLR]. Nous disposons ainsi d’une équipe de construction de solutions et d’expertise (architectes et chefs de projet) qui en pilote deux autres : une côté applications et une côté infrastructures ; en miroir figure un service des centres d’opérations (pour la production applicative et pour la production infrastructure). À cela s’ajoutent un important silo autour de notre stratégie data (datascience et intelligence artificielle), un secteur transverse (management et qualité du SI) et un centre d’expertise métier qui accompagne les soignants.

La cybersécurité est également un enjeu vital pour les établissements de santé ?

C’est un gros sujet, la sécurité des SI dans les établissements de santé. C’est l’enjeu du moment, d’autant que les exigences nationales et européennes s’accroissent. Dans mon budget, le poids de la sécurité devient majeur, bien plus que celui des sujets opérationnels pour nos métiers. Nous sommes d’ailleurs très sollicités par des partenaires sur ces problématiques liées à la cybersécurité.

Faites-vous appel à des prestataires et comment les choisissez-vous ?

Nous disposons d’un large écosystème de partenaires. Quand nous le pouvons, nous privilégions de préférence des partenaires locaux, mais nous avons également des partenaires nationaux et internationaux. En tant qu’acteur public, nous sommes soumis à des centrales d’achat qui structurent nos demandes. Toutefois, étant donné le nombre de marchés, nous restons dans une approche hybride : centrales d’achat et consultations.

Quelles relations entretenez-vous ? Comment jugez-vous leurs compétences ?

Nos relations sont correctes, même si nous avons des problèmes à gérer. C’est notamment le cas avec certains de nos partenaires éditeurs. En cause, le Ségur du numérique, qui oblige les éditeurs à assurer des mises à jour très lourdes alors qu’il faudrait plutôt travailler sur des besoins plus unitaires. Ils sont également confrontés à des fuites de compétences et à une complexité du SI dans le domaine de la santé qui n’est pas facile à appréhender pour eux.

Tous ces aspects font que l’offre et l’intégration se dégradent, les priorités ne correspondant plus à celles des établissements de santé. Qui plus est, dans ce contexte, les effets de l’inflation n’améliorent certainement pas les choses. Hormis certains éditeurs spécialisés, les industriels n’ont plus forcément cette perception du domaine de la santé et de ses usages.

« En tant qu’acteur public, nous sommes soumis à des centrales d’achat qui structurent nos demandes »