Patrick Pailloux, directeur technique de la DGSE (Direction Générale de la Sécurité Extérieure) et ancien directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) avait raison de dénoncer « la sécurité « cache-sexe », trop technique, voire de papier, négligeant les règles basiques d’hygiène informatique » (Assises de la Sécurité 2012).
On peut affirmer que nous n’avons pas encore compris que la sécurité et la sûreté sont des opportunités vitales, légales et financières pour les structures sanitaires et les matériels médicaux connectés.
Risques et menaces
La sécurité des systèmes d’information impose le respect de quelques règles techniques : cartographier les systèmes et vérifier leurs mises à jour, identifier les utilisateurs et vérifier leurs droits d’usage, interdire les connexions tierces et notamment personnelles, superviser et auditer les usages, organiser la réaction en cas d’incident, sensibiliser et former les professionnels, tous les professionnels et enfin manager la chaîne des acteurs concernés.
S’agissant de la sécurité des informations et pour paraphraser Alain Juillet, ancien Haut Responsable à l’Intelligence économique prés le Premier ministre (HRIE) et directeur du renseignement de la DGSE « au vu des enjeux, il est nécessaire de préciser que nous avons des ennemis, nous pouvons avoir des partenaires, mais nous n’avons pas d’ami ».
En effet, en matière de santé on nous parle très souvent des attaques externes, les dangers proviennent pourtant le plus souvent de défaillances internes, soit par ignorance, négligence ou malveillance, soit par défaut de fonctionnement nominal des architectures.
Dans ce cadre, le responsable de la sécurité des systèmes d’information (RSSI) joue un rôle prépondérant, un rôle d’influenceur et de conseiller expert, comme le rappelle Guillaume Deraedt, RSSI du CHRU de Lille et responsable d’UniHA sécurité.
Le développement des systèmes numériques gagne tous les secteurs de l’activité humaine et la santé ne fait pas exception avec son cortège de complexité. Lorsque l’on aborde la sécurité, tous les aspects doivent être pris en compte. Ainsi, il ne faut pas se cantonner aux seuls systèmes d’information patients mais inclure dans le scope d’analyse les matériels connectés – dont on rappellera qu’ils embarquent aussi des systèmes d’information –, la gestion technique des bâtiments, les sources d’énergie et le désormais célèbre Internet des objets.
Technique sans conscience n’est que ruine de l’âme
« Dans l’analyse des risques, tous ces sujets doivent être mis sur la table », insiste Philippe Loudenot, Fonctionnaire de sécurité des systèmes d’information des ministères chargés des Affaires sociales.
La sécurité est un tout et Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) confirme la tendance globale et collective de la démarche vers plus d’efficacité. « Il faut prendre en compte tous les aspects de la sécurité, technique, opérationnelle et organisationnelle », précise-t-il. Il faut dire que l’enjeu est de taille. En effet, d’après McKinsey, les données, à elles seules, sont valorisées selon l’étude Global Data à près de 600 milliards de dollars pour les dix ans à venir, sans tenir compte des brevets, des retombées industrielles de la recherche et des pertes d’exploitation. Ce à quoi, s’agissant de la santé, il faut ajouter, et en premier lieu le risque vital.
Afin de prévenir une grande partie des errements internes et intercepter des actions malveillantes externes, la traçabilité revêt une importance capitale dont fait partie l’authentification forte. Aussi, l’identification des acteurs dotés de droits d’accès doit être un prérequis, ainsi que la stipule la Politique de sécurité des systèmes d’information de santé (PGSSI-S). Selon Gérard Bapt, président du groupe d’étude parlementaire Numérique et santé à l’Assemblée nationale, « la nouvelle loi de santé récemment adoptée renforce la transparence en matière de sécurité en imposant la déclaration sans délai des incidents de sécurité aux autorités compétentes (1). Cette loi est une avancée pour renforcer la démarche de sécurité vers plus de maturité ».
Alors que se complexifie le monde numérique et que nous passons du monde de « l’avoir et du comment » à celui de « l’accès et du quand », le « qui » devient un pivot stratégique pour définir et/ou contrôler les droits d’accès. Ainsi, au moins pour partie, aurons-nous une arme de dissuasion contre les négligents et les malveillants. Ne nous leurrons pas, ces outils d’identification et donc de traçabilité n’auront d’avenir que s’ils sont confortables ou mieux, transparents, pour les professionnels de santé. Ajoutons que les droits d’accès ne peuvent être permanents et particulièrement les droits administratifs.
Le directeur des systèmes d’information visionnaire d’un très grand groupe public donne la trajectoire du succès en trois mots : savoir, pouvoir, vouloir. Savoir, c’est analyser les systèmes ; pouvoir, c’est se doter de moyens techniques et humains ad hoc ; reste à vouloir, c’est-à-dire ne pas se voiler la face et mesurer les menaces et avoir le courage de mener le combat contre l’indifférence et la négligence a minima.
Pour Philippe Burnel, délégué à la Stratégie des systèmes d’information en santé (DSSIS) au ministère des Affaires sociales, de la santé, « il convient d’avoir conscience que la mise en œuvre d’une protection efficace des données de santé numériques relève au moins autant d’une évolution des mentalités de l’ensemble des professionnels de santé que d’un dispositif juridique et technique. La sensibilisation des acteurs et l’accompagnement du changement doivent donc constituer une préoccupation majeure pour les pouvoirs publics, indissociable de l’élaboration et de la mise en œuvre des différents référentiels issus de la politique générale de sécurité des systèmes d’information de santé ».
Ne pas faire aux autres …
Selon l’ordre des Médecins, par la voix de Jacques Lucas, vice-président du Conseil national de l’ordre des médecins, délégué général aux systèmes d’information en santé « la sécurité des systèmes d’information est une exigence déontologique au regard de la protection des données personnelles de santé.
Relativement à la confidentialité des données, elles doivent être accompagnées et défendues par les professionnels de santé eux-mêmes. Ainsi, le médecin responsable du département d’information médicale dans les établissements devraient avoir un rôle accru et disposer de missions spécifiques à côté du directeur des systèmes d’information mais surtout du responsable de la sécurité des systèmes d’information – qui doit voir son rôle renforcé –, notamment sur la gestion des habilitations d’accès aux bases de données ».
Alors que l’on assiste à l’avènement des big data, smart data et autres open data. Il faut rappeler notre devoir, d’ailleurs récemment encadré par la loi vis-à-vis des données de santé de masse. Comme le précise Isabelle Falque-Pierrotin, présidente de la Commission de l’informatique et des libertés (Cnil), « l’open data diffère de l’accès aux bases médico-administratives à des fins de santé publique et appelle un encadrement différent selon la nature et l’usage dont il est fait des données. En tant que régulateur naturel de ces questions, la Commission nationale de l’informatique et des libertés (Cnil) a pour rôle de protéger la vie privée des personnes et d’accompagner l’innovation, dans le but d’améliorer la prise en charge des personnes et de réduire les dépenses de santé ». Il est utile d’insister sur notre responsabilité vis-à-vis des patients pour dire que toutes les données de santé ne peuvent pas être l’objet de commerce.
Ad augusta per angusta
Il ne faut pas se cacher la vérité, la plupart des structures sanitaires et des matériels connectés ne respectent pas les référentiels en vigueur. Les petits établissements sont les plus mal lotis au regard de leurs moyens dédiés.
Il serait sans doute utile de mettre en place un dispositif agile et compétent facilitant les enquêtes, les audits et doté de moyens de remédiation. Nombre d’initiatives de sensibilisation ont vu le jour. « Le temps est venu d’accompagner de façon concrète les acteurs sur le terrain et de les faire bénéficier d’un outil de formation mutualisé », indique l’Amiral Michel Benedittini, ex-directeur général adjoint de l’Anssi.
Nécessité fait Loi. Selon François Kaag, président de l’Association française des hébergeurs agréés de données de santé (Afhads), « la nécessaire mutualisation des infrastructures, encadrée par l’agrément d’hébergeur de données de santé qui impose un accompagnement expert sur la sécurité et la conformité des applications hébergées, devrait également être un vecteur essentiel de propagation de meilleures pratiques ».
Un ancien secrétaire général des ministères sociaux, aujourd’hui à la Cour des comptes, rappelle la philosophie de la sécurité sous l’angle de la santé publique : « La sécurité des systèmes d’information est un élément-clé de la protection des données personnelles ; de celle-ci dépend l’accès à la bonne information sous la bonne forme au bon moment pour une prise en charge optimale des patients. » Philippe Domy, encore très récemment directeur général du Chu de Montpellier et président de la Conférence nationale des directeurs de CHU, ajoute que « la sécurité des systèmes d’information fait partie de ces problèmes aux multiples facettes que, sous la contrainte de l’immédiateté, l’actualité traite le plus souvent de manière anecdotique en sacrifiant au sensationnel. C’est pourtant un travail de longue haleine et un combat permanent sur un nombre grandissant de fronts qui, pour l’essentiel, du management et donc bien du vouloir agir ».
Et si nous avions tous tout à gagner ?
Plus surprenant mais pourtant logique, la sécurité ne doit pas être perçue seulement comme une charge technique, managériale et financière. C’est également une opportunité manifeste.
Un système protégé et qui fonctionne nominalement est le garant d’une prise en charge de qualité ; ainsi accroît-on le temps médical efficace et par suite on améliore la relation entre le patient et son médecin. On peut ainsi participer à l’évitement des erreurs médicales, sans parler des pertes de temps. Par manque d’analyse comptable précise, il est difficile de quantifier en termes financiers la conformité d’un processus sécurité ad hoc. Mais en se référant aux autres domaines et un peu de bon sens permet d’affirmer que l’on peut réaliser des économies non négligeables (salaires, productivité, coût de l’exposition aux risques juridiques, remédiation).
Alors que l’hôpital affronte des vents contraires et des réformes contraignantes, la sécurité est également un gage d’une meilleure coopération entre administrations et soignants. Nous avons tous intérêt au bon fonctionnement des systèmes d’information en toute sécurité et le patient en premier lieu alors que les concepts de coordination (TSN, GHT) pointent le bout de leur nez. Si les processus étaient un peu plus simples à mettre en œuvre, si les directions administratives étaient un peu plus conscientes des risques et des bénéfices, si les médecins étaient un peu plus coopérants, le dialogue serait sans doute plus aisé.
Prendre son courage à deux mains pas à demain
Le monde de demain sera numérique, communicant et mobile. C’est un fait. S’agissant de la sécurité, il vaut sans doute mieux se préparer que d’être contraint. Prévenir vaut toujours mieux que guérir, ne dit-on pas en médecine ?
En tout état de cause et pour reprendre le mot de Serge Bernard, ancien directeur général du CH d’Annecy, à propos de l’efficacité, « les clés du changement sont celles des portes qui s’ouvrent de l’intérieur ». En d’autres termes, sécurité bien ordonnée commence par soi-même. Bien d’autres secteurs d’activités ont progressé vers plus de sécurité et plus de sûreté. À nous de jouer.
Dérives sectaires : une hausse préoccupante dans le secteur de la santé
Protection de l’enfance : Catherine Vautrin affiche ses ambitions pour une « nouvelle impulsion »
Dr Joëlle Belaïsch-Allart : « S’il faut respecter le non-désir d’enfant, le renoncement à la parentalité doit interpeller »
Visite médicale d’aptitude à la conduite : le permis à vie de nouveau sur la sellette