> Sécurité > Sécurité informatique à l’hôpital

Sécurité informatique à l’hôpital

Sécurité - Par Arnaud Lorgeron - Publié le 02 février 2016
email

Qui dit santé dit avant tout données personnelles, mais aussi technologie, information, communication…

Sécurité informatique à l’hôpital

En rentrant dans l’enceinte, j’ai dû ouvrir mon sac…

Vous l’avez deviné, cette mesure est due au contexte actuel et on ne peut qu’espérer que la tension diminue. Toujours est-il que si le monde hospitalier peut sembler spécifique, il s’avère en fait offrir de très bons exemples de tout ce qui concerne la sécurité des systèmes d’information.

A l’approche d’un hôpital, c’est dans le domaine de la santé que nous nous aventurons. Qui dit santé dit avant tout données personnelles, mais aussi technologie, information, communication…

La sécurité des accès

Tout commence donc par une illustration relative à la sécurité périmétrique. Un site sensible se doit d’être doté de certains moyens de protection physique et ce, dès les premières strates de la défense en profondeur. Un vigile permet des contrôles fouillés (excusez le jeu de mots) et sécurise ainsi les points d’accès. En règle générale bien sûr, il s’agit de vérifier les identités des personnes et non ce qu’elles transportent.

Une fois passé ce premier filtre, des caméras de vidéo-protection poursuivent le travail. Positionnées aux endroits stratégiques, en conformité avec la loi, elles offrent la possibilité de surveiller les allées et venues en direct comme a posteriori. Les techniques de traitement d’images sont en plein développement et, plus tard, des analyses pourront être automatisées (non, malgré l’aide de start-up très qualifiées, ce n’est pas avant bien longtemps que la SNCF pourra détecter un comportement suspect en situation réelle).

Retournons à l’hôpital. L’accueil se présente très vite et se pose d’emblée la question de la confidentialité. Peu importe de savoir si les gens autour de vous entendent votre nom, la question est surtout de prendre conscience qu’un premier dossier, administratif, est ouvert sur vous.

La CNIL entre en jeu (c’est normalement affiché !). Au-delà de cet élément rassurant, on peut s’interroger : qui a accès à ces données, où sont-elles stockées, combien de temps, avec quel lien vers les dossiers médicaux, etc. ?

Les données personnelles

Quelques formalités plus tard, l’hospitalisation devient effective et tout s’enchaine. L’installation dans une chambre, calme, précède de multiples examens dont les résultats seront systématiquement enregistrés via différents ordinateurs. Cette fois, les données très personnelles sont copiées, regroupées, manipulées. On rentre dans le vif du sujet.

Même si la route est encore longue, la dématérialisation des données de santé n’est plus un rêve mais une réalité. Elle contribue largement à moderniser le système de santé dans sa globalité et permet ainsi l’amélioration de la qualité et de l’efficacité de la prise en charge des patients.

Dossier Médical Personnel et Messagerie Sécurisée de Santé sont deux outils prometteurs qui serviront tant le patient que le personnel médical. De là naissent bien sûr les problématiques de stockage et d’accès local ou à distance. L’échange et le partage d’informations est un autre paramètre à prendre en compte car il est essentiel à l’efficacité du système. Toutes les pièces conduisent la pratique médicale à évoluer vers une prise en charge pluridisciplinaire des patients et ce processus collaboratif doit être encadré et outillé de manière sécurisé.

La sécurité des informations

L’ASIP Santé, Agence des Systèmes d’Information Partagés de santé, offre une vision très pédagogique des choses. Exhaustive, elle illustre à juste raison chaque critère de sécurité.

Ainsi, la non disponibilité de données de santé à un moment crucial peut entraîner une imprécision, des retards ou des erreurs dans les diagnostics ou les soins.

Un défaut d’intégrité, comme l’altération accidentelle ou illégitime d’un dossier de santé, ou de paramétrage d’un équipement biomédical, est quant à lui susceptible d’entraîner des erreurs médicales.

Le non-respect de la confidentialité d’un document de santé, comme la divulgation d’un résultat aux services d’une société d’assurance ou d’un employeur, pourrait porter préjudice au patient ainsi qu’au professionnel de santé et au responsable du système d’information de santé.

L’absence de traçabilité sur l’auteur d’un document de santé (une ordonnance par exemple) dont le traitement a abouti à un diagnostic erroné empêche tout suivi correctif ou évolutif.

Sur le lit d’hôpital, un frugal repas avalé de bonheur laisse le loisir de réfléchir à cette très intéressante ambition de créer un espace de santé numérique de confiance.

L’élaboration et la mise en œuvre d’une politique générale de sécurité des systèmes d’information de santé et du domaine médico-social (PGSSI-S) est l’initiative qu’il fallait prendre. Ce préalable constitue la base essentielle aux constructions futures.

L’humain reste toutefois un paramètre à considérer. Si l’aspect humain est important en termes de soin, il l’est également en termes d’efficience des technologies créées et adoptées. La réussite ne pourra se confirmer sans d’une part la confiance des patients et d’autre part l’adhésion des professionnels de santé aux nouvelles pratiques (hôpital numérique, télémédecine, mobilité, …).

Un peu de prospective

Un petit mot supplémentaire pour mentionner le réseau wi-fi de l’hôpital. Accessible partout à l’intérieur et certainement un peu depuis l’extérieur, on déconseillera de l’utiliser sans réflexion préalable. Plus globalement, les technologies sans fil faisant appel à des protocoles standards ou propriétaires risquent de se multiplier pour des raisons pratiques. Les Hommes et les machines pourraient en être perturbés. Les vulnérabilités SSI pourraient être augmentées.

D’ailleurs, et demain ? Des études prospectives prédisent la santé à l’ère du Big data. Je distinguerais à ce propos le smart data et le Big data plus particulièrement utile dans le domaine de la recherche. Quoi qu’il en soit, la future médecine verra cohabiter patients, médecins et soignants, objets communicants, applications et intelligence artificielle.

En conclusion…

Le monde hospitalier apporte donc des cas pratiques illustrant de nombreuses problématiques SSI. Cela nous permet de nous poser des questions constructives, tant dans le domaine particulier de la santé, avec notamment ce qui nous touche de façon très personnelle, que d’un point de vue générique sur les tenants et aboutissants des évolutions technologiques.

Bientôt vous vous interrogerez aussi chez le coiffeur (prise de rendez-vous en ligne, surf en wi-fi…), le garagiste (diagnostic de votre véhicule, analyse de votre conduite…), le boulanger (commande à distance, paiement sans contact…) …. A suivre !

Téléchargez cette ressource

Sécuriser votre système d’impression

Sécuriser votre système d’impression

Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.

Sécurité - Par Arnaud Lorgeron - Publié le 02 février 2016