Close
  • Français
  • English

13/06/2016Sécurité des données de santé : les affaires sont en plein boum ! [par Cédric Cartau, RSSI CHU de Nantes ]

Il n’y a pas si longtemps, l’informatique dans le monde de la santé se résumait à la paye, la facturation et la comptabilité, point final. Quand je dis « pas si longtemps », je pense à la fin des années 1990, même si cette époque évoque à certains le précambrien et « l’informatique à papa »… Je rappelle que l’informatique existe depuis à peine 50 ans alors que les hôpitaux accusent facilement 5 siècles. Ensuite, pour ceux que cela intéresse, et je fais quelquefois l’exercice en conférence, je pose la question : sont les révolutions dans le monde IT postérieures à 1991 ? Nada ! Aucune ! Alors respect !

Bref, quand on parle de sécurité de la paye ou de la compta, on finit vite par arrêter de parler de sécurité du SI. La paye qui tombe en panne (ce qui fait frémir tous les DRH de la galaxie) ? Même pas peur ! On rejouera les payes du mois précédent. La compta qui tombe en panne ? Aucun impact, au pire une erreur d’écriture pour laquelle il suffira de passer les écritures inverses. La facturation ? Bof… On paye nos fournisseurs à 52 jours et nos « clients » – pardon, les patients – nous payent encore plus tard.

Mais quand on commence à informatiser le cœur de métier, ou les supports logistiques, alors là on change de gamme. Et cela pour deux raisons. La première, facilement compréhensible, est que tout dysfonctionnement dans l’IT du cœur de métier a un impact sur ceux qui sont « au feu », pour reprendre un terme militaire : les médecins, les soignants, et donc par ricochet les patients. Pas besoin de faire un dessin ! La prescription médicamenteuse qui tombe en panne, plus d’accès à l’historique des prescriptions et surtout des dispensations : cela peut conduire au risque ultime dans certains cas, la mort du patient.

Mais, le plus pernicieux est la panne de l’IT dans les services support – logistique ou support direct aux soins tels que l’imagerie ou la biologie. Là, le diable est vraiment dans les détails. Tout le monde « percute » bien sûr sur les conséquences d’une panne de la biologie : plus d’examens sanguins, ce qui est dramatique dans le cas d’une urgence vitale. Mais il y a une foultitude de « petits » bouts d’informatique, disséminés çà et là, sans que l’IT en ait connaissance (sans parler du RSSI) et pour lesquels la panne peut avoir des conséquences très, très ennuyeuses. Je suis par exemple tombé un jour sur une panne de l’étiqueteuse pour les plateaux repas des patients : cet équipement imprime en thermocollage des codes barre sur les plateau repas avant livraison par la logistique. Cela paraît anodin, mais quand il s’agit d’aller livrer 3 000 plateaux repas (autant que de patients) et cela trois fois par jour sur environ 20 sites éclatés géographiquement sur tout un département, croyez-moi, le responsable des cuisines a connu une brusque montée d’adrénaline. Petite précision : personne, absolument personne n’avait pris en compte ce « SPOF »[1] dans la chaîne de production, ni imaginé une telle panne.

L’avenir s’annonce donc très chargé pour les RSSI. Particulièrement dans la santé avec les 4 révolutions qui y sont annoncées dans le domaine IT : le passage au zéro papier, le Big Data, les objets connectés et la génomique. Il faudrait un ouvrage entier pour détailler les conséquences de ces révolutions. Et en matière d’IT, et surtout de sécurisation, on peut sans difficulté affirmer que la marche à franchir pour ingérer ces évolutions au niveau de l’IT est au moins du même ordre de grandeur que celle qu’il nous a fallu franchir lorsque nous sommes passé de l’informatique administrative à celle du cœur de métier.

 

Quand je vous dis que les affaires sont en plein boum !

 

Cédric Cartau

Responsable Sécurité des Systèmes d’Information au CHU de NANTES, Cédric Cartau est également chargé de cours à l’Ecole de Hautes Etudes en Santé Publique (EHESP). Il réalise également des audits de systèmes d’information pour le compte d’établissements publics ou privés dans différents secteurs d’activité. Il collabore régulièrement à DSIH et a publié les ouvrages suivants aux Presses de l’EHESP et chez Eyrolles :

  • La sécurité du système d’information des établissements de santé, Presses de l’EHESP, 2012
  • Guide pratique du système d’information, Presses de l’EHESP, 2013
  • Stratégies du système d’information, vers l’hôpital numérique, Presses de l’EHESP, 2014
  • L’informatique d’entreprise au quotidien, Presses de l’EHESP, 2014
  • L’informatique de santé, Eyrolles, 2015

 

[1] Single Point of Failure