En direct… du Ccecqa – Atelier sécurité du système d’information en partenariat avec Partage Santé

Auteurs: Julie Rongère-Casteigt 1


Affiliations :

  • 1 - Comité de coordination de l’évaluation clinique et de la qualité en Nouvelle-Aquitaine (Ccecqa)

Auteur principal : Julie Rongère-Casteigt - Comité de coordination de l’évaluation clinique et de la qualité en Nouvelle-Aquitaine (Ccecqa)

Résumé

Comité de coordination de l’évaluation clinique et de la qualité en Aquitaine

2018 Action de formation Sécurité des Soins Structure régionale d'appui Système d'information

Article

Le système d’information (SI) est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de l’information. L’informatisation du dossier patient et des processus de production de soins permet d’améliorer la sécurité et la qualité des soins mais elle va de pair avec une augmentation des vulnérabilités [1]. La sécurité du SI doit donc être une priorité pour les établissements sanitaires et médicosociaux.

En 2017, Partage santé1 a sollicité ses adhérents en Occitanie pour faire un point sur les éventuelles attaques du SI de chaque établissement. Un constat : de nombreux établissements ont été victimes de ce type d’attaques. Accompagnée de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), de la gendarmerie nationale par l’intermédiaire d’un spécialiste en cybermenaces, de représentants de la cyberdéfense citoyenne et de l’agence régionale de santé (ARS) Occitanie, Partage Santé a donc organisé une journée de sensibilisation sur ce thème à Toulouse en septembre 2017.

Suite à cette expérience réussie, le Comité de coordination de l’évaluation clinique et de la qualité en Nouvelle-Aquitaine (Ccecqa) a choisi d’organiser un atelier le 16 janvier 2018, en partenariat avec Partage Santé, afin de permettre aux professionnels des établissements de santé de Nouvelle-Aquitaine d’échanger et de partager leurs difficultés, leurs solutions et leurs attentes. Des professionnels de santé, de la gestion des risques et de l’informatique médicale, venant de Bayonne, Agen, Limoges et Toulouse, sont intervenus lors de la journée pour présenter les enjeux, les menaces et les opportunités, et faire part de leurs expériences.

Depuis le lancement du programme Hôpital numérique en 2011, de nombreux établissements ont développé et modernisé leur SI. Ce développement et cette modernisation s’accompagnent d’une complexification du système et de la nécessité de mettre en œuvre un management de la sécurité efficace. Face à la multiplication des acteurs, à la spécialisation des soins et à l’interconnexion croissante des dispositifs de prise en charge des patients, une approche systémique prenant en compte les dimensions technique, organisationnelle et humaine est indispensable pour garantir la sécurité du SI.

Politique de gestion des mots de passe insuffisante, laxisme dans la gestion des droits d’accès, maturité insuffisante des utilisateurs et des dirigeants face à la menace dont ils ne perçoivent pas les conséquences… nombreuses sont les faiblesses de la sécurité du SI. Pourtant la sécurité numérique est une préoccupation majeure et pour la garantir, l’État organise la déclaration des incidents graves de sécurité des systèmes d’information [2] pour :

  • fournir aux autorités compétentes de l’État les informations nécessaires pour décider des mesures de prévention en matière de sécurité des SI ;
  • aider les établissements de santé, organismes et services exerçant des activités de prévention, de diagnostic ou de soins à prendre toute mesure utile pour prévenir la survenue d’incidents graves de sécurité des SI ou en limiter les effets.

Le signalement se fait via le portail de signalement des événements sanitaires indésirables2 sur l’espace « professionnels de santé ». Les évènements concernés sont ceux qui ont des conséquences potentielles ou avérées sur la sécurité des soins, sur la disponibilité, l’intégrité ou la confidentialité des données de santé ou sur le fonctionnement normal de l’établissement. Ces signalements doivent être effectués par le directeur de la structure ou une personne qu’il aura désignée.

Au sein des établissements des règles simples de bonnes pratiques doivent être mises en place : sensibiliser et former les équipes opérationnelles du SI et les utilisateurs, connaître le SI, authentifier et contrôler les accès, sécuriser les postes, le réseau et l’administration, maintenir le SI à jour… L’un des outils utilisables est la charte d’accès au SI et d’usage de celui-ci proposée par la direction générale de l’Offre de soins (DGOS) dans le cadre d’Hôpital numérique (outillage des établissements de santé pour l’atteinte des prérequis du programme). Il s’agit d’un document qui formalise les règles d’accès au SI et d’usage de celui-ci, en particulier pour les applications qui gèrent des informations de santé à caractère personnel. Il est diffusé au personnel, aux nouveaux arrivants, aux prestataires et fournisseurs, ainsi qu’aux instances représentatives du personnel [3]. La charte stipule que l’accès aux ressources du SI est limité aux activités professionnelles, que cet accès est temporaire et incessible et qu’il est attribué après signature de la charte. Il est caractérisé par une combinaison « profil/mot de passe » qui constitue la clé personnelle d’utilisation du compte. Personne ne peut utiliser le compte d’autrui.

Les menaces qui pèsent sur le SI peuvent donc être involontaires, secondaires à un manque de connaissances des utilisateurs, mais aussi intentionnelles. La cybercriminalité se développe et les ransomwares3 touchent aussi les établissements de santé. Les attaques se succèdent et auront peut-être un jour de graves conséquences. Un doctorant en intelligence artificielle a longuement parlé des cyberattaques et de l’importance de se préparer à faire face à cette menace. L’augmentation du nombre d’attaques sur les systèmes numériques des établissements de santé rend en effet indispensable l’amélioration des actions de prévention et d’assistance. Les professionnels présents étaient conscients de ces menaces, voire effrayés. La principale difficulté, pour eux, était le manque de moyens à leur disposition, leur sentiment de solitude face à des manageurs qui donnent l’impression de ne pas avoir conscience de l’ensemble des risques et de leurs conséquences.

Une des possibilités, pour les établissements en difficulté et qui ont peu de ressources en informatique est l’externalisation du SI. C’est ce qu’a fait l’établissement d’hébergement pour personnes âgées dépendantes (Ehpad) Les Gabarriers en faisant appel au syndicat interhospitalier Limousin Poitou-Charentes (SILPC), structure de coopération et d’expertise des systèmes d’information de santé. Les avantages de ce fonctionnement sont nombreux : délégation de la gestion technique, gain de temps et de ressources, évolution des environnements techniques facilitée et maintien des compétences associées, continuité d’activité. Le principal inconvénient est son coût.

L’informatisation des établissements va se poursuivre ; de plus en plus d’objets connectés vont être utilisés pour prendre en charge des patients avec des pathologies de plus en plus complexes, et pour leur prodiguer des soins de plus en plus spécialisés. La route est encore longue… et le processus de sécurisation du SI ne fait que commencer.

Les présentations des intervenants sont disponibles sur le site du Ccecqa : www.ccecqa.asso.fr/publications/evenements (Consulté le 09-04-2018).

Remerciements: Merci aux intervenants et modérateurs : Dr Thierry Morvan (polyclinique côte basque Sud, Saint-Jean-de-Luz), Dr Jean-Marc Faucheux (centre hospitalier d’Agen), Dr Yann Blanchard (centre hospitalier de la côte basque, Bayonne), Martine Giusti (Partage santé), Fabrice Crasnier (ancien commandant de gendarmerie, doctorant en intelligence artificielle), David Robine (SILPC), Nicolas Lagardère (polyclinique côte basque Sud, Saint-Jean-de-Luz), Fabienne Mikec et Dominique Viars (Ehpad Les Gabariers, Beaulieu-sur-Dordogne)

Note:
1- Partage Santé est une association qui a pour mission de favoriser le partage d’expériences entre les professionnels de santé dans les champs de l’évaluation, de la gestion des risques, de la démarche qualité et du développement durable.
2- https://signalement.social-sante.gouv.fr/ (Consulté le 09-04-2018)
3- Logiciel qui chiffre et bloque les fichiers contenus sur un ordinateur et demande une rançon en échange de la clé qui permet de décoder les fichiers.

Références

1- Agence des systèmes d’information partagés de santé (ASIP). Systèmes d’information de santé et risques associés. Mai 2016. 4 p. Accessible à : http://esante.gouv.fr/sites/default/files/asset/document/hit_2016_si_risques_associes.pdf (Consulté le 09-04-2018).

2- Article D1111-16-2 du Code de la santé publique. Accessible à : https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000033118343&dateTexte=&categorieLien=cid (Consulté le 09-04-2018).

3- Direction générale de l’Offre de soins (DGOS). Programme hôpital numérique – Guide des indicateurs des prérequis et domaines prioritaires du socle commun. Ministère du Travail, de l’Emploi et de la Santé, avril 2012. 60 p. Accessible à : http://solidarites-sante.gouv.fr/IMG/pdf/DGOS_Guide_d_indicateurs_Programme_Hopital_Numerique_-_avril_2012-2.pdf (Consulté le 09-04-2018).