Tous les 2 ans, le CLUSIF (Club de la Sécurité de l'Information Français) réalise un bilan approfondi des usages en matière de sécurité de l'information en France.

La sécurité des Systèmes d'Information de santé est soumise à un cadre réglementaire en constante évolution. Cette enquête va permettre de mesurer certains effets d'Hôpital numérique et autres exigences réglementaires (PGSSI-S, Certification des comptes, etc.). Elle traduit aussi les premiers impacts de la règlementation RGPD et des mises en oeuvre des Groupements Hospitaliers de Territoire (GHT) : nouveaux métiers, stratégies de territoire, mutualisation?

Un des faits majeurs de l'étude est la croissance spectaculaire du nombre d'établissements ayant formalisé leur PSSI (de 50% des établissements en 2014 à 92% en 2018). Le pilotage de la sécurité de l'information s'appuie majoritairement sur des normes ou des référentiels.
Le rapport note que "Beaucoup d'établissements ont effectué un inventaire au moins partiel de leurs risques, et en ont déduit un plan de réduction de ces risques. Le gestionnaire des risques est principalement le RSSI. Il est très positif de noter globalement une « croissante forte de la fonction RSSI » qui est attribuée dans 80% des établissements. Cela devient un « vrai métier » exercé à temps plein dans presque 1 établissement sur 2 (le chiffre a doublé en 4 ans). On parle maintenant d' « équipe » SSI dans 3/4 des établissements (+30%)."

Ces mêmes établissements affirment que le budget sécurité de l'information est en augmentation pour 1/3 d'entre eux. C'est une tendance forte par rapport à la précédente enquête qui pointait majoritairement une stabilité des budgets pour 2 établissements sur 3. L'enquête pointe quand même le manque de budget (pour 52% des répondants) et le manque de personnel qualifié (43%) comme les principaux freins à la conduite des missions de sécurité de l'information. Et là, il n'y a malheureusement pas d'amélioration par rapport à l'étude de 2014.

Tous les établissements ou presque ont une charte d'utilisation du SI. D'autre part, de plus en plus d'établissements mettent en place des procédures de gestion des départs (de 60% à 80% des établissements). Enfin, 3 établissements sur 5 ont un programme de sensibilisation à la sécurité de l'information (en croissance de 50% sur 4 ans), avec un gros focus sur les VIP.