Reportage

Les Assises au chevet de la sécurité dans la santé

Publié le 24/11/2011

Article réservé aux abonnés

Pour sa conférence inaugurale, Gérard Rio, fondateur des Assises, est clair : « Pas de représentation commerciale des industriels de la santé pour les Assises 2011 ». Pourtant, les tables rondes réunissant les utilisateurs du monde médical ont tenu le haut du pavé, illustrant, si besoin était, les attentes du secteur en matière de sécurité.

La première journée a donné le ton à travers une conférence sur le thème Hôpital numérique : une affaire de management. La parole est revenue principalement à Serge Bernard, directeur du CHR d’Annecy. Du fait de son caractère numérique, cet établissement est au cœur de la problématique de sécurité. « Le numérique nous impose un niveau de sécurité très élevé. Nous avons dû dans un premier temps nous familiariser au vocabulaire de ce risque évolutif. Dans cette mutation, le DSI est en première ligne. Il devient manager du risque et de l’information hospitalière », indique le manager. Au sein de l’EFS, qui est également intervenue dans cette conférence, la criticité des métiers oblige le management à mettre en place une stratégie sécuritaire bâtie sur la base de la cartographie de risques préalablement effectuée.

Gestion des identités et des accès

Au fil des présentations, la problématique sécuritaire du monde de la santé prenait corps. Dans le cadre de l’atelier d’Evidian consacré à la gestion des identités et des accès, le CHU de Nantes en a profité pour mettre en avant son projet. Huit catégories de personnels ont été recensées dans le cadre de ce chantier structurant qui place au cœur de son infrastructure d’IAM (gestion des identités d’accès) le système Evidian Enterprise SSO. Actuellement dans sa phase pilote, ce chantier permet de tirer un premier bilan : Il s’agit d’un projet transversal qui a un impact sur la majorité des services de l’établissement. Et dont la phase préparatoire est essentielle. La prise en compte du décret de confidentialité peut être un moment important pour remettre à plat l’identification des utilisateurs. Stratégique, la mise en place d’une solution de gestion des identités ne se traduit pas forcément par un retour sur investissement. En revanche, elle offre au CHU de Nantes les moyens de réduire des équivalents temps plein (ETP).

Votre propre matériel ?

Quid du Bring your Own Device (BYOD), la nouvelle tendance du consumérisme informatique qui pousse les utilisateurs à vouloir connecter leurs appareils personnels au réseau de l’établissement ? Il constitue clairement un nouveau défi à la sécurisation des SIH. Et à ce titre, doivent être pris en compte dans la stratégie de verrouillage des outils de production de soins et par voie de corollaire dans les outils de gestion des identités.

Avec pour fil conducteur la sécurité des dispositifs médicaux, une autre table ronde a été l’occasion d’aborder d’autres facettes de la sécurité dans les établissements de santé, le contexte de nomadisme et de télémédecine, par exemple. Dans ce dernier cas, l’obligation de tracer les actes médicaux à travers un compte-rendu sonne comme un souci permanent de sécurité. Si les avancées en la matière sont importantes, l’on peut déplorer le frein que constitue l’impossibilité d’opérer la téléprescription et donc de réaliser une ordonnance électronique.

Espace numérique régional de santé

Sous le patronage d’Orange Business Services, l’autre session de cette journée a mis le zoom sur les enjeux et perspectives de l’hébergement de données au sein des ENRS (espaces numériques régionaux de santé). Parmi ses partenaires, l’opérateur a mis en avant le GCS e-Santé d’Alsace. Ce dernier s’est appuyé sur les compétences du fournisseur pour mettre en place des mécanismes d’identification et d’authentification fortes au sein de l’ERNS qu’il a créé. Dès 2012, la politique de sécurité mise en place sera déclinée à l’ensemble de ses membres. Le GCS Télésanté de Bretagne s’inscrit également dans une démarche communautaire de sécurité qu’il pilote. Si l’implication des établissements est volontaire, l’engagement est soumis au respect d’une convention de service avec à la clé la nomination d’un chef de projet sécurité. Quid de l’approche de sécurité générale dans un ENRS ? Une politique en la matière dans laquelle tous les acteurs sont logés à la même enseigne n’affaiblirait-elle pas ceux qui sont déjà bien avancés ? Une interrogation soulignée par l’auditoire.

Au-delà de cette question, les intervenants à cette table ronde ont abordé différents thèmes parmi lesquels la sécurité déontologique. Ainsi, le praticien doit-il respecter les procédures sécuritaires existantes. Pour Jacques Lucas, vice-président du Cnom, « les médecins doivent être partenaires des DSI et des responsables de sécurité afin de respecter les procédures internes permettant de garantir la sécurité informatique. Ne l’oublions pas, elle est garante de la sécurité des soins ».

Autre point passé en revue : la responsabilité du tiers technologique. Elle dégage le médecin de toute implication pour tout risque lié à l’exploitation d’un outil au moment de son intervention.

Cette table ronde a également été l’occasion pour la Générale de Santé de témoigner sur la conduite de son projet de mobilité qui permet de renforcer le lien avec le patient. Et d’augmenter l’agilité du groupe. Toutefois, sa mise en place pose de nombreux problèmes, parmi lesquels l’interopérabilité.

Enfin, la gouvernance de la sécurité des systèmes d’information a également été abordée. Avec en toile de fond une nécessité : celle d’informer, former et sensibiliser l’ensemble des collaborateurs à la nécessaire confidentialité des données de santé. Intervenant sur ce thème, le représentant de la Cnil a rappelé les points importants nécessaires au déploiement de la e-santé. Parmi ceux-ci, la confidentialité est au premier plan et passe par une politique d’habilitation.

Emmanuel Mayega