Déploiement du dossier médical personnel, essor annoncé de la télémédecine… les systèmes d’information (SSI) éveillent l’enthousiasme du public devant l’étendue des possibles qu’ils ouvrent. En premier lieu le fait de bénéficier de soins personnalisés sur n’importe quel point de la planète pour peu qu’il soit connecté. Une évolution qui suscite aussi des inquiétudes alimentées par des scénarios catastrophes et par des crises bien réelles comme celle d’Epinal. Pour y voir plus clair, comprendre les enjeux, les règles à respecter et les limites de tout processus de sécurisation, il fallait décrypter cet univers ultra spécialisé et pour cela utiliser un langage dépourvu du jargon informatique ; parler qui n’est pas – en déplaise aux experts – notre langue naturelle. Il fallait donc faire œuvre de pédagogie. Et c’est tout le mérite de Cédric Cartau, responsable SSI au CHU de Nantes qui vient de publier un ouvrage* où il présente de manière attractive toutes les dimensions d’une fonction apparue voici seulement 6 ans dans les établissements de santé. Le lecteur appréciera les encadrés en forme de clin d’oeil qui ponctuent l’écriture.
Gros plan sur une profession où la maîtrise des risques relève d’un défi quotidien.
Réseau CHU – Quelles sont les trois principales menaces qui pèsent sur les systèmes d’information hospitaliers ?
Cédric Cartau : Avec la croissance continue de l’informatique au sein des processus de soins, tout dysfonctionnement de l’outil informatique aura des conséquences de plus en plus importantes et graves.
La première menace, c’est la non prise en compte de cette pénétration de l’outil informatique dans tous les processus métier. Le thème de l’hôpital numérique, très à la mode, élude beaucoup trop cet aspect. Or, la confiance dans le système de santé passera pour beaucoup par une fiabilisation de son SI. Qui irait déposer ses économies dans une banque incapable de garantir que le solde de son compte n’est pas juste ? Ce que l’on accepterait pas d’une banque ou d’une compagnie d’assurance, on le tolère du système de santé, pourtant beaucoup plus critique. L’activité de soins est la troisième activité la plus critique connue, après la marine nucléaire et l’aviation civile. En terme de criticité de processus, le bloc opératoire est l’équivalent d’un cockpit d’avion de ligne.
La deuxième menace, c’est le risque de perte d’intégrité de la donnée. L’accident d’Epinal (2006) peut tout à fait se reproduire demain, car il n’y a aucune norme en vigueur pour éviter cet accident. Il est étrange de constater que le législateur a souhaité intervenir dans le domaine de la confidentialité par un décret, mais qu’aucun texte ne fixe par exemple les modalités de tests d’un logiciel de prescription en pédiatrie
La dernière menace, c’est la perte de disponibilité : la panne générale d’un système d’information d’un grand CHU ramènerait ses acteurs (médecins, chirurgiens, etc.) à de la médecine de guerre, très peu d’établissements ont mis en place des mesures d’envergure. Si un tel sinistre (par exemple la destruction complète d’une salle informatique) venait à se produire dans un grand CHU, il y aurait très certainement des conséquences thérapeutiques.
La taille d’un établissement est-elle un facteur aggravant de vulnérabilité ?
CC : Non. Certes un gros CHU a beaucoup plus d’informatique, mais il a aussi beaucoup plus de moyens dans le domaine de la sécurité SI.
Le facteur primordial est la prise de conscience des décideurs, aussi bien médicaux que directeurs.
Quels sont les principes de base d’une bonne sécurité des SI ?
CC : La sécurité SI, ce n’est rien d’autre que de la Qualité dans le domaine du SI. Les RSSI sont donc confrontés aux mêmes enjeux que ceux auxquels ont du faire face les directions Qualité dans les années 2000.
La sécurité ne se résume pas à une technologie, des logiciels ou des matériels : c’est une approche, sans cesse renouvelée, qui doit utiliser les bonnes pratiques des méthodologies ISO 27000, ITIL, etc.
Quelles sont les limites de tout système de sécurité ? L’humain.
CC : Tous les systèmes hautement sensibles (la marine nucléaire, l’aviation civile) savent que le pire n’est pas la rupture d’un composant, mais la routine.
Toutes les techniques de type checklist dans les bloc opératoires visent à éliminer le plus possible la routine des actes quotidiens.
En matière de système d’information en santé, la confidentialité est-elle vraiment primordiale ?
CC : C’est une grave erreur de la considérer comme telle. Il n’y a jamais eu de mort par défaut de confidentialité. Il y en a eu (et il y en aura d’autre) par défaut d’intégrité : Epinal, et des accidents de prescriptions médicamenteuses il y a 2 ans en région parisienne, ayant conduit à la mort d’un enfant.
Il n’y en a jamais eu (mais il y en aura) par défaut de disponibilité.
A l’exception de certains domaines fonctionnels très précis (VIH, IVG, AMP, etc) où la confidentialité est primordiale, pour l’essentiel des processus métier les deux critères les plus importants sont, de très loin, l’intégrité et la disponibilité.
Lorsque l’on explique à des praticiens, des chirurgiens, des personnels soignants les concepts de disponibilité, d’intégrité et de confidentialité, ainsi que le lien avec leur métier, tous sans exception conviennent que le pire qu’il puisse arriver est un problème d’intégrité d’une donnée, ou une panne générale de l’informatique.
Un excès de sécurité comme une trop grande fluidité peuvent nuire à l’institution (firewalls qui bloquent les spams mais aussi les mails attendus). Comment le RSSI arbitre-t-il ses choix qui, dans un sens comme dans l’autre, sont lourds de conséquences ?
CC : Il s’agit d’un travers qui est issu de la pensée dominante qui veut que le plus important est la confidentialité (ce qui, comme nous l’avons vu plus haut, est faux). Dans cette optique, évidemment le système le plus sûr est celui pour lequel personne n’a accès à rien !
Mais si l’on replace les vrais enjeux au centre du débat (intégrité et disponibilité), à l’exception de quelques effets de bord tels que les faux positifs dans les filtres antispam, la sécurité a très peu d’impacts négatifs sur les processus métier.
Quels sont les coûts d’un système de sécurité ramenés au nombre d’ordinateurs ? Ces coûts vont-ils augmenter avec l’essor de l’e-santé ?
CC : Il est difficile d’identifier ce qui relève de la sécurité ou pas. La sauvegarde relève-t-elle de la sécurité ? Les tests de bascule de site informatique (très chronophages) relèvent-ils de la sécurité ?
Si la réponse est oui à toutes ces questions, on peut considérer que, dans le cas d’un établissement qui consacrerait 1,7% de son budget au SI, la sécurité représente environ 7% de ce budget SI.
Ce chiffre est relativement stable, tout secteur confondu.
Demain quels défis les RSSI devront-ils relever dans les hôpitaux ?
CC : Le premier défi, c’est d’expliquer que l’on ne se préoccupe pas de la sécurité d’un système une fois qu’il est en fonctionnement. La sécurité s’envisage en amont de tout projet, pas en aval. Plus on s’en préoccupe tard, plus c’est cher.
Le deuxième défi, c’est de faire monter globalement la maturité des organisations au regard du critère sécurité. Les qualiticiens ont été regardés comme des martiens lorsqu’ils ont expliqué, il y a plus de 10 ans, qu’il fallait écrire et procédurer les protocoles métier. De nos jours et dans la plupart des cas, ceci est rentré dans les moeurs. La sécurité SI fait le même chemin, avec 10 ans de retard.
Le troisième défi, c’est d’expliquer que la sécurité n’est pas une fin en soit, mais un arbitrage entre des contraintes (financières, métier, image, projet, etc.). Il est tout à fait acceptable de décider de courir un risque grave, du moment que les décideurs ont été alertés sur ce risque, l’ont évalué et ont pris une décision en connaissance de cause.
* CARTAU C., La sécurité des systèmes d’information des établissements de santé, Presses de l’EHESP, Rennes, mai 2012, 224 p., 978-2-8109-0083 – 1, 27 euros – cedric.cartau@chu-nantes.fr
Violences : fin de l’omerta à l’hôpital
La semaine dernière, la Conférence des Doyens de facultés de médecine a publié un communiqué de presse co-signé avec l’Assistance Publique Hôpitaux de Paris (APHP), annonçant un engagement commun dans la lutte contre les violences au travail. Une déclaration qui fait suite aux récentes accusations de violences morales et sexuelles de Karine Lacombe à l’encontre du médecin urgentiste Patrick Pelloux.
