{"id":33987,"date":"2017-04-01T10:32:59","date_gmt":"2017-04-01T08:32:59","guid":{"rendered":"https:\/\/gestions-hospitalieres.fr\/?p=33987"},"modified":"2018-03-06T12:08:58","modified_gmt":"2018-03-06T11:08:58","slug":"securite-numerique-environnement-hospitalier","status":"publish","type":"post","link":"https:\/\/www.ricom-web8.com\/gestions\/securite-numerique-environnement-hospitalier\/","title":{"rendered":"La s\u00e9curit\u00e9 num\u00e9rique en environnement hospitalier"},"content":{"rendered":"Temps de lecture\u00a0: <\/span> 7<\/span> minutes<\/span><\/span>

Apr\u00e8s avoir construit, fusionn\u00e9 et s\u00e9curis\u00e9 des syst\u00e8mes d\u2019information (SI) industriels et administratifs, nous constatons depuis six ans que, au-del\u00e0 de la gestion des patients et des donn\u00e9es m\u00e9dicales, notre SI hospitalier regroupe, avec le domaine biom\u00e9dical, la gestion technique et la gestion logistique, toutes les facettes du num\u00e9rique. Ainsi, informatique de gestion, de process ou encore l\u2019Internet des objets se c\u00f4toient de mani\u00e8re acc\u00e9l\u00e9r\u00e9e dans des modes de plus en plus hybrides.<\/p>\n

Un contexte de complexit\u00e9 et d\u2019h\u00e9t\u00e9rog\u00e9n\u00e9it\u00e9<\/h1>\n

Par exemple, des infrastructures (souvent virtualis\u00e9es) g\u00e9r\u00e9es par la direction des syst\u00e8mes d\u2019information (DSI) dialoguent avec des composants biom\u00e9dicaux maintenus ou infog\u00e9r\u00e9s \u00e0 distance par des prestataires proposant une supervision accessible dans le cloud<\/em>\u2026\u00a0Face \u00e0 cette complexit\u00e9 technique, une autre vient s\u2019ajouter au casse-t\u00eate des directions\u2009: celle des lois et r\u00e9glementations sur la s\u00e9curit\u00e9 du syst\u00e8me d\u2019information de sant\u00e9.<\/p>\n

Un durcissement et une multiplication des r\u00e9f\u00e9rentiels \u2013 RGS, Cnil, RGDP, PSSIE, PSSI MCAS, PGSSI-S (Asip), certification des comptes, certification HAS V2014, HDS, loi Sant\u00e9, GHT\u2026 \u2013 rendent encore plus difficiles la lisibilit\u00e9 et surtout les priorit\u00e9s. Mais \u00e0 y regarder de (tr\u00e8s) pr\u00e8s, on s\u2019aper\u00e7oit que toutes convergent vers un m\u00eame principe de bon sens\u2009: g\u00e9rer les risques.\u00a0Ainsi, tous ces textes, telle la derni\u00e8re instruction minist\u00e9rielle (n\u00b0\u2009309 – DSSIS), nous invitent ou nous obligent \u00e0 structurer et cadencer notre s\u00e9curit\u00e9 num\u00e9rique pour r\u00e9duire nos risques.<\/p>\n

Face \u00e0 la complexit\u00e9, il est n\u00e9cessaire de s\u2019adapter et d\u2019utiliser des outils d\u2019analyse pour simplifier l\u2019aide \u00e0 la d\u00e9cision des directions d\u2019h\u00f4pital. Tel le \u00ab\u2009macroscope\u2009\u00bb de Jo\u00ebl de Rosnay\u2009(1)<\/sup>, l\u2019analyse et la gestion des risques doivent permettre d\u2019\u00e9clairer les d\u00e9cideurs sur l\u2019impact de leurs choix sur la r\u00e9duction des risques.\u00a0L\u2019enjeu de la s\u00e9curit\u00e9 est finalement de d\u00e9cider la prise de risque au bon niveau de responsabilit\u00e9. Les propri\u00e9taires de risques sont ceux qui peuvent les traiter \u2013 prendre, \u00e9viter, r\u00e9duire ou transf\u00e9rer les risques (2)<\/sup>.<\/p>\n

Un environnement de plus en plus hostile<\/h1>\n

Au-del\u00e0 des \u00ab\u2009traditionnels\u2009\u00bb virus, espiogiciels\u2026, les tout nouveaux ran\u00e7ongiciels (cryptolockers<\/em>) ont r\u00e9v\u00e9l\u00e9 l\u2019int\u00e9r\u00eat du secteur sant\u00e9 pour la cybercriminalit\u00e9. Avec plusieurs centaines de structures de sant\u00e9 touch\u00e9es en France, deux nouveaux risques sont devenus majeurs depuis trois ans, avec chantage \u00e0 la cl\u00e9\u2009: le vol pour la diffusion sur Internet de dossiers patients, le cryptage des donn\u00e9es (les rendant inutilisables).<\/p>\n

Mais cette partie visible de l\u2019iceberg des menaces souvent m\u00e9diatis\u00e9e ne doit pas faire oublier la partie immerg\u00e9e plus sombre\u2009: la v\u00e9tust\u00e9 des infrastructures, les changements mal ma\u00eetris\u00e9s, les configurations n\u00e9glig\u00e9es, la complexit\u00e9 sans comp\u00e9tences suffisantes, les mainteneurs peu fiables, la \u00ab\u2009cloudisation\u2009\u00bb sauvage, la r\u00e9versibilit\u00e9 oubli\u00e9e\u2026<\/p>\n

Un syst\u00e8me d\u2019information pour l\u2019ouverture et la mobilit\u00e9<\/h1>\n

Enfin, dans ce contexte, l\u2019attractivit\u00e9 pour nos patients, nos professionnels de sant\u00e9, le lien ville\/h\u00f4pital demandent une ouverture de plus en plus large du syst\u00e8me d\u2019information. Le mariage difficile de la disponibilit\u00e9 et de la confidentialit\u00e9 devient ainsi un enjeu strat\u00e9gique. Et si finalement tout convergeait vers\u2026 une vision de la cible \u00e0 atteindre, un cadre pr\u00eat et \u00ab\u2009relativement constant\u2009\u00bb, une l\u00e9gitimit\u00e9\u2009: la certification ISO\u00a027001\u2009?<\/p>\n

En attendant la fusion de tous les r\u00e9f\u00e9rentiels applicables au domaine de la sant\u00e9, il existe un cadre international permettant de construire la s\u00e9curit\u00e9 num\u00e9rique\u2009: l\u2019ISO\u00a027001 (norme de management de la s\u00e9curit\u00e9 de l\u2019information). Elle est d\u2019ailleurs le socle du futur r\u00e9f\u00e9rentiel de certification HDS pour 2018. Elle offre une perspective permettant de \u00ab\u2009ranger\u2009\u00bb tous les textes et, s\u2019il le faut, d\u2019ajouter quelques r\u00e8gles sp\u00e9cifiques au syst\u00e8me de sant\u00e9.\u00a0Certes, il faut accepter que d\u2019autres aient eu les bonnes id\u00e9es, mais il reste tout de m\u00eame \u00e0 les int\u00e9grer, ce qui est un beau challenge. Une autre norme, l\u2019ISO\u00a020000, d\u00e9riv\u00e9e de bonnes pratiques anglo-saxonnes (ITIL), permet, sans viser une certification, de faciliter la mise en pratique de quelques processus cl\u00e9s utiles pour la s\u00e9curit\u00e9 mais aussi l\u2019efficience de la DSI orient\u00e9e services aux m\u00e9tiers\u2009: piloter le SI, g\u00e9rer les projets, les changements, les incidents et, bien s\u00fbr, g\u00e9rer l\u2019am\u00e9lioration. \u00c0 l\u2019Assistance publique-H\u00f4pitaux de Marseille, nous avons choisi d\u2019ajouter un processus central de gestion des risques au confluent de tous ces processus. Il porte ainsi l\u2019analyse de risques aliment\u00e9e par tous les processus.<\/p>\n