Bien qu’aucune donnée sensible n’ait été dérobée, cette intrusion pose la question de l’intégrité et la sécurité des systèmes d’information dans le secteur de la santé.
HIMSS, organisation internationale à but non lucratif, au travers de son expertise dans les nouvelles technologies, accompagne depuis plus de 50 ans les professionnels de santé qui souhaitent optimiser leur usage pour meilleur accès et qualité de soins.
Elle organise une intervention sur ce thème dans le cadre de sa conférence annuelle WoHIT du 2 au 4 avril à Nice et livre l’analyse de Cédric Cartau, RSSI au CHU de Nantes et auteur de “La sécurité du système d'information des établissements de santé", aux Presses de l'EHESP, paru en mai 2012.
HIMSS, organisation internationale à but non lucratif, au travers de son expertise dans les nouvelles technologies, accompagne depuis plus de 50 ans les professionnels de santé qui souhaitent optimiser leur usage pour meilleur accès et qualité de soins.
Elle organise une intervention sur ce thème dans le cadre de sa conférence annuelle WoHIT du 2 au 4 avril à Nice et livre l’analyse de Cédric Cartau, RSSI au CHU de Nantes et auteur de “La sécurité du système d'information des établissements de santé", aux Presses de l'EHESP, paru en mai 2012.
Des systèmes d’information et des dispositifs médicaux vulnérables
Depuis plusieurs années, les pouvoirs publics se concentrent sur la confidentialité des données de santé. Cette spécificité est certes importante, mais ne représente pas les deux principales priorités d’un système d’information hospitalier efficace. Son architecture doit répondre en effet, à deux critères principaux : l’intégrité et la disponibilité des données.
Dans le cas des attaques des ARS, il ne s’agissait que de données administratives ne mettant pas en péril la santé des patients. Toutefois, à l’heure où l’informatique gère aussi bien les services administratifs que médicaux, une attaque de même ordre contre un centre hospitalier aurait pu avoir des conséquences beaucoup plus tragiques. Le personnel soignant n’aurait pas eu accès aux données médicales des personnes hospitalisées. Quant aux appareils biomédicaux (IRM, appareil de radiologie, microscopes électroniques,...) fonctionnant avec l’aide de logiciels, ils n’auraient tout simplement pas pu être utilisés. L’hôpital n’aurait plus été en mesure de délivrer un service médical.
Dans ce contexte, « il est urgent de règlementer le secteur avec la mise en place d’un système de certification des logiciels sensibles (prescription connectée, dossier de soins, etc.) pour en garantir la résilience, explique Cédric Cartau, RSSI du CHU de Nantes. À quand des critères de certifications HAS qui incluent des audits réguliers de vulnérabilité des systèmes de santé ? ».
Très souvent, les centres hospitaliers n’ont pas suffisamment de poids pour imposer leurs cahiers des charges en matière de sécurité aux fournisseurs mondiaux de solutions IT. Ils ne peuvent pas, par exemple, imposer l’intégration d’un anti‐virus dans une solution. La réponse réglementaire apparaît comme indispensable pour faire évoluer les critères des industriels.
Les pouvoirs publics prennent conscience de la vulnérabilité de leurs dispositifs. C’est pourquoi, depuis juillet 2013, l’UE travaille sur une proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information qui imposerait un audit des SI publics.
Dans le cas des attaques des ARS, il ne s’agissait que de données administratives ne mettant pas en péril la santé des patients. Toutefois, à l’heure où l’informatique gère aussi bien les services administratifs que médicaux, une attaque de même ordre contre un centre hospitalier aurait pu avoir des conséquences beaucoup plus tragiques. Le personnel soignant n’aurait pas eu accès aux données médicales des personnes hospitalisées. Quant aux appareils biomédicaux (IRM, appareil de radiologie, microscopes électroniques,...) fonctionnant avec l’aide de logiciels, ils n’auraient tout simplement pas pu être utilisés. L’hôpital n’aurait plus été en mesure de délivrer un service médical.
Dans ce contexte, « il est urgent de règlementer le secteur avec la mise en place d’un système de certification des logiciels sensibles (prescription connectée, dossier de soins, etc.) pour en garantir la résilience, explique Cédric Cartau, RSSI du CHU de Nantes. À quand des critères de certifications HAS qui incluent des audits réguliers de vulnérabilité des systèmes de santé ? ».
Très souvent, les centres hospitaliers n’ont pas suffisamment de poids pour imposer leurs cahiers des charges en matière de sécurité aux fournisseurs mondiaux de solutions IT. Ils ne peuvent pas, par exemple, imposer l’intégration d’un anti‐virus dans une solution. La réponse réglementaire apparaît comme indispensable pour faire évoluer les critères des industriels.
Les pouvoirs publics prennent conscience de la vulnérabilité de leurs dispositifs. C’est pourquoi, depuis juillet 2013, l’UE travaille sur une proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information qui imposerait un audit des SI publics.
Allouer plus de ressources informatiques à l’hôpital
HIMSS, de part son expérience auprès des établissements hospitaliers français et internationaux, constate l’importance de disposer de systèmes d’informations modernisés dont le niveau ultime correspond à un hôpital “zéro papier”. En parallèle, l’organisation internationale souligne l’importance de se doter de professionnels de l’IT spécifiquement formés aux problématiques du monde de la santé. Certains pays tels que le Royaume‐Uni, les Pays-Bas ou encore les États‐Unis ont d’ores et déjà mis en place des cursus spécifiques.
L'adaptation des ressources humaines est considérée comme indispensable à la réussite des grands projets d'informatisation. Dans les pays ayant engagé leur transition vers le numérique de santé, le ratio de personnel informatique est de 2 %, soit un spécialiste de l’IT pour 50 hospitaliers. En France, le ratio se situe actuellement à 0,4 et la France figure parmi un groupe de pays "retardataires" dans une fourchette de 0,4 à 0,8 %.
D'autres indicateurs, tel que le taux des hôpitaux raccordés aux réseaux haut débit (>100Mbps) tendent également à démontrer que notre pays est en train de prendre du retard. Sur ce dernier critère, la France a été classé à la 25ème place sur 30 pays du continent européen (chiffres fournis par une étude de la Commission Européenne).
Sans engagement véritable, le système français est confronté au risque d’une fracture numérique et l’adaptation des ressources humaines aux besoins de l’information des établissements de soin est devenu un enjeu stratégique pour rester dans la compétition
L'adaptation des ressources humaines est considérée comme indispensable à la réussite des grands projets d'informatisation. Dans les pays ayant engagé leur transition vers le numérique de santé, le ratio de personnel informatique est de 2 %, soit un spécialiste de l’IT pour 50 hospitaliers. En France, le ratio se situe actuellement à 0,4 et la France figure parmi un groupe de pays "retardataires" dans une fourchette de 0,4 à 0,8 %.
D'autres indicateurs, tel que le taux des hôpitaux raccordés aux réseaux haut débit (>100Mbps) tendent également à démontrer que notre pays est en train de prendre du retard. Sur ce dernier critère, la France a été classé à la 25ème place sur 30 pays du continent européen (chiffres fournis par une étude de la Commission Européenne).
Sans engagement véritable, le système français est confronté au risque d’une fracture numérique et l’adaptation des ressources humaines aux besoins de l’information des établissements de soin est devenu un enjeu stratégique pour rester dans la compétition
Pour mémoire : la Conférence WoHIT (World Health IT), organisée du 2 au 4 avril 2014 à Nice, propose un Colloque m‐Santé « Sécurité des données en m-Santé » le 2 avril 2014
2500 décideurs en santé européens et internationaux reviendront sur leurs expériences innovantes et partageront leurs bonnes pratiques permettant d’améliorer la qualité des soins. Ils analyseront les thèmes stratégiques actuels et plus particulièrement la question de la continuité des soins.
Industriels et fournisseurs de solutions échangeront afin de relever le défi d’un réseau connecté de systèmes de soins où circule des données sur le patient à travers l’hôpital, les différents intervenants extérieurs du parcours de soins, jusqu’au domicile du malade. L’échange de données n’est pas l’unique enjeu, les prestataires devront présenter des dispositifs utilisables aussi bien pour les professionnels de santé que le patient.
Plus d’informations sur http://worldofhealthit.org/ et http://worldofhealthit.org/2014intro/
Industriels et fournisseurs de solutions échangeront afin de relever le défi d’un réseau connecté de systèmes de soins où circule des données sur le patient à travers l’hôpital, les différents intervenants extérieurs du parcours de soins, jusqu’au domicile du malade. L’échange de données n’est pas l’unique enjeu, les prestataires devront présenter des dispositifs utilisables aussi bien pour les professionnels de santé que le patient.
Plus d’informations sur http://worldofhealthit.org/ et http://worldofhealthit.org/2014intro/
À propos de HIMSS
HIMSS est une organisation à but non lucratif qui se consacre exclusivement à fournir un leadership international pour un usage optimal des technologies de l’information et les systèmes de gestion pour l’amélioration de la santé.
Créée il y a 52 ans, HIMSS et ses organisations affiliées sont basées à Chicago avec différents bureaux aux États‐Unis, en Europe et en Asie.
HIMSS compte près de 50 000 membres dont plus des deux tiers travaillent dans la fourniture de services santé, les organisations gouvernementales ou à but non lucratif. HIMSS rassemble plus de 570 organisations dont plus de 225 sont des organisations partenaires à but non lucratif qui partagent sa mission de transformer le secteur de la santé au travers un usage efficace des TIC et des systèmes de gestion.
HIMSS conçoit et initie les pratiques de santé ainsi que les politiques publiques au travers de son expertise sur les contenus, le développement professionnel, la recherche et les outils médiatiques pour promouvoir l’information et les contributions sur les systèmes de gestion afin d’améliorer la qualité, la sureté, l’accès aux soins tout en maîtrisant les dépenses.
Pour plus d’informations : www.himss.eu
Twitter : @HIMSS
Créée il y a 52 ans, HIMSS et ses organisations affiliées sont basées à Chicago avec différents bureaux aux États‐Unis, en Europe et en Asie.
HIMSS compte près de 50 000 membres dont plus des deux tiers travaillent dans la fourniture de services santé, les organisations gouvernementales ou à but non lucratif. HIMSS rassemble plus de 570 organisations dont plus de 225 sont des organisations partenaires à but non lucratif qui partagent sa mission de transformer le secteur de la santé au travers un usage efficace des TIC et des systèmes de gestion.
HIMSS conçoit et initie les pratiques de santé ainsi que les politiques publiques au travers de son expertise sur les contenus, le développement professionnel, la recherche et les outils médiatiques pour promouvoir l’information et les contributions sur les systèmes de gestion afin d’améliorer la qualité, la sureté, l’accès aux soins tout en maîtrisant les dépenses.
Pour plus d’informations : www.himss.eu
Twitter : @HIMSS