Entretien avec Auriane Lemesle, Référente régionale de la Sécurité des Systèmes d’Information – GCS e-santé Pays de la Loire et Secrétaire Générale de l’Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé (APSSIS).
Propos recueillis par Philippe Richard
Quels sont les enjeux et objectifs de la sécurité des SI dans le secteur de la santé ?
Dans un contexte de nécessité d’améliorer le système de santé, les systèmes d’information (SI) constituent un levier essentiel dans l’amélioration de la qualité / sécurité des soins et de l’efficience. Les nouvelles technologies envahissent le quotidien des établissements et acteurs de santé. Ainsi, les systèmes d’information de santé deviennent de plus en plus connectés, ouverts, mutualisés et interfacés… Cela engendre de nouvelles menaces et donc de nouveaux risques. Par exemple, il peut être impossible d’accéder aux données d’un patient à cause d’un virus qui chiffre les données ; un défaut dans un logiciel peut entraîner des modifications intempestives des données ; des données peuvent être divulguées de manière intentionnelle ou non… Il est alors indispensable d’assurer la confiance des usagers ainsi que des acteurs de santé envers ces systèmes. Afin de répondre à ces enjeux, il est nécessaire d’assurer la disponibilité des SI, l’intégrité des données et des traitements, la confidentialité des informations ainsi que la traçabilité des événements s’étant produits sur le système d’information.
Il vous reste 90% à lire
Article de 1493 mots (9637 signes)
La question du tout numérique ne se pose plus pour les établissements de santé. Par contre, ils doivent répondre à des enjeux majeurs : le contrôle et la maîtrise des technologies numériques, le renforcement des niveaux de sécurité et des degrés de confidentialité, de robustesse et de pérennité. Autant de défis que les établissements de santé relèvent facilement ?
La construction des SI de santé s’est réalisée de manière non urbanisée : l’informatisation s’est cantonnée dans un premier temps à la partie administrative et financière des établissements. Puis, à partir des années 1990 / 2000, les activités de soins ont commencé à s’informatiser à des vitesses différentes, en silos et sans prendre en compte les problématiques de sécurité. En parallèle, les pouvoirs publics ont incité le développement du numérique subventionné au travers des Plans « Hôpital 2007 » et « Hôpital 2012 ». De fortes disparités sont alors observées entre les structures sanitaires selon qu’elles ont saisi l’opportunité ou non de ces plans de subvention. De manière générale, des écarts par rapport à l’état de l’art en matière de sécurité sont observés. Une seconde pression a donc été mise sur les établissements en 2012 avec le programme Hôpital Numérique. Il intègre des premières notions de sécurité des SI et offre des possibilités de financement à l’usage, ainsi les disparités tendent à être gommées même si les ressources internes disponibles restent inégales. Les établissements doivent poursuivre le développement de leurs systèmes d’information tout en les consolidant sur le plan de la sécurité. Au regard des difficultés rencontrées par les établissements, une prise de conscience collective incite les institutionnels à les aider : création par l’ASIP Santé de la Politique Générale de Sécurité des SI de Santé (PGSSI-S), lancement de programmes régionaux par certaines ARS, mise en place chaîne d’une d’alerte cyber par le Fonctionnaire de Sécurité des SI des Ministères chargés des Affaires sociales… La perspective des Groupements Hospitaliers de Territoire (GHT) va certainement permettre de redistribuer les cartes de l’informatique hospitalière publique. L’ensemble sera cristallisé par les GHT au travers d’un SI convergent qui va tendre à homogénéiser les niveaux de sécurité entre les établissements concernés.
Pourquoi est-ce nécessaire d’apporter une réponse régionale à ces problématiques ?
Les SI sont de plus en plus ouverts vers l’extérieur : vers les secteurs social et médicosocial ainsi que vers la médecine de ville. La sécurité des SI doit alors aussi sortir de l’hôpital pour assurer l’échange et le partage d’informations en toute confiance, tout au long du parcours de soins du patient. Les actions de sécurisation doivent s’étendre aux systèmes d’information partagés de santé. L’échelle régionale permet la mutualisation de l’accompagnement et des services rendus. Elle permet aussi de développer la coopération entre les acteurs en les amenant à réfléchir ensemble autour de problématiques communes : groupes de travail, mise en commun de documents, formations régionales…
Une démarche d’amélioration de la sécurité des systèmes d’information de santé est en cours de construction en région Pays de la Loire. Pouvez-vous nous en dire quelques mots ?
L’Agence Régionale de Santé (ARS) des Pays de la Loire a choisi de missionner le GCS e-santé afin de l’épauler dans l’amélioration de la sécurité des systèmes d’information de santé dans laquelle elle s’est engagée depuis 2007. L’objectif est d’élever de manière progressive le niveau de maturité des acteurs de santé. L’ARS souhaite promouvoir des démarches globales et pérennes pour protéger les informations sensibles telles les données de santé. Ce type d’actions peut naturellement être porté par un GCS e-santé de par ses missions d’appui et de soutien. Un programme d’actions centré sur l’action métier, la méthodologie et la sensibilisation des acteurs de santé, initié en 2013, a permis la formation d’une vingtaine de référents sécurité et la mise à disposition d’un outil d’analyse de risques « flash ». Aujourd’hui, l’ARS souhaite poursuivre cette démarche et relancer la dynamique sur ce sujet.
Les exigences de la PSSI-MCAS
Avec la PGSSI-S (Politique générale de sécurité des systèmes d’information de santé), la certification des établissements par la Haute Autorité de Santé, la mise en place obligatoire de plans de reprise d’activité, on assiste depuis quelques années à une vraie pression des pouvoirs publics sur le sujet. Votre plan d’actions répond-il justement à cette pression ?
Afin de répondre à cette pression, il est important de faire adhérer les établissements de santé à la démarche nationale. Parmi les référentiels récents, la Politique de Sécurité des Systèmes d’Information pour les Ministères Chargés des Affaires Sociales (PSSI-MCAS) a été approuvée par l’arrêté du 1er octobre 2015 et s’applique à l’ensemble des établissements de santé publics et privés. Ce document opposable définit le cadre régissant la mise en œuvre de la sécurité des systèmes d’information, avec comme objectif la protection des systèmes d’information et des infrastructures critiques. La mise à jour du plan d’actions régional est l’occasion d’intégrer les exigences de la PSSI-MCAS et ainsi aider les acteurs à se mettre en conformité avec cette dernière. En conséquence, cinq axes de travail régionaux se dégagent : la réalisation d’analyses de risques pesant sur le SI ; la mise en conformité avec les lois et réglementations ; la sensibilisation et formation du personnel ; la sécurisation des composants du SI et le maintien des SI en condition de sécurité ; la gestion efficace des incidents de sécurité, des crises et de la continuité d’activité.
Vous évoquez la gestion des incidents, pourquoi est-il nécessaire de mener des actions sur ce sujet ?
Pour plusieurs raisons. La première est que les établissements se retrouvent souvent dépourvus face à des incidents impactant le SI, en particulier ceux qui ont une équipe SI réduite ou inexistante… Les incidents sanitaires font l’objet d’une gestion organisée depuis plusieurs années au travers de procédures formalisées. Ce n’est pas toujours le cas pour le système d’information dont les menaces et risques sont proportionnels à l’informatisation croissante des activités. Les établissements expriment un fort besoin d’aide dans la gestion / résolution de leurs incidents de sécurité des SI, notamment depuis fin 2014 avec l’explosion des cryptovirus qui chiffrent les données les rendant inaccessibles et demandant une rançon pour les récupérer. La seconde raison est réglementaire : en effet, la loi de modernisation de notre système de santé du 26 janvier 2016 a introduit l’article 1111-8-2 qui demande aux établissements de signaler leurs incidents de sécurité graves à l’ARS. Un double accompagnement peut être mis en place : d’une part, pour la mise en place du circuit réglementaire et la création de procédures opérationnelles adaptées. D’autre part, l’accompagnement des établissements dans la détection et l’analyse de leurs incidents ainsi que l’appui à la gestion et résolution des incidents.
La mise en œuvre d’une PSSI dans les établissements sanitaires et médico-sociaux n’est pas simple. Il ne faut pas se tromper dans l’ordre des préoccupations.
Les exigences des patients, des acteurs de la santé et de l’État sont-elles compatibles ?
C’est le fondement d’une politique de sécurité des SI d’être structurée et normée pour prendre en compte l’ensemble de ces besoins. Toutes les exigences d’une PSSI sont compatibles : le patient est au centre des préoccupations des professionnels de santé et les organisations des établissements sont fortement dirigées par la réglementation. La sécurité est souvent mal appréhendée dans les établissements de santé car elle nécessite des compétences particulières et elles sont rares dans le secteur sanitaire / médico-social. Ces compétences sont nécessaires pour rédiger et faire vivre ces PSSI conformément aux attentes, pour alimenter les décideurs sur les risques encourus et leur proposer des solutions.