La sécurité d’un SIH – un enjeu majeur

La modernisation du système d’information hospitalier (SIH) est devenue un enjeu majeur de la politique d’amélioration de l’organisation des soins et des dossiers patients.

Aujourd’hui, les établissements de santé et les professionnels de santé travaillent ensemble pour une meilleure prise en charge des dossiers patients, pluridisciplinaire et transversale, qui s’inscrit dans une continuité sanitaire et sociale. L’enjeu est majeur puisqu’il s’agit de favoriser l’évolution des pratiques médicales vers une médecine coopérative, plus organisée, davantage coordonnée autour du patient, permettant de simplifier et d’optimiser le parcours de celui-ci dans le système de soins. Ce programme s’inscrit dans la procédure de certification, sous l’autorité d’un organisme national indépendant : la HAS* (Haute Autorité en Santé).

Le caractère stratégique des enjeux du SIH rend impératif la prise de conscience par les Directeurs d’établissement et les professionnels de santé de sa vulnérabilité et des risques encourus en cas de défaillance. Ainsi la mise en place de bonnes pratiques de sécurisation s’impose pour prévenir ces risques et leurs conséquences potentiellement dramatiques.

Dans ce contexte, la sécurité des systèmes d’information constitue l’un des éléments essentiels pour instaure un climat de confiance qui favorise l’échange et le partage de données de santé à caractère personnel et devient aussi structurant :

Garantir le respect d’une politique de sécurité (cette politique de sécurité définit l’ensemble des principes de sécurité juridiques, humains, organisationnels et techniques qu’il convient d’appliquer à la conservation et aux échanges de l’information à caractère médical) ;
Garantir la confidentialité des données personnelles à caractère médical des patients ;
Garantir la fiabilité de la disponibilité des données médicales ;
Faire prendre conscience aux établissements des impacts de l’intégration croissante de l’informatique dans leurs activités, en terme de continuité de service, y compris pour les situations d’urgence ;
Faire prendre conscience aux établissements que tout nouveau projet d’informatisation et notamment dans la « production des soins », doit comporter un volet sur la sécurité des systèmes.

Il est donc important qu’un certain nombre de chantiers / de mesures doivent être réalisé(e)s pour améliorer la sécurité et la haute disponibilité du SIH. Par exemple :

Sécurité physique : définition de zonage d’accès et limitation des accès aux locaux
Salle serveur et une deuxième salle de secours (mise en place d’un PRA**)
Infrastructure à tolérance de panne et virtualisée
Etc.

Par ailleurs, il est à noter que tous les établissements de santé doivent se soumettre à une visite de certification tous les 4 ans, dont l’objectif est de favoriser l’amélioration continue de la qualité et la sécurité des soins.

Précisons aussi que l’Agence Nationale d’Appui à la Performance des établissements sanitaires et médicosociaux (ANAP) vient en appui des établissements de santé et médico-sociaux pour améliorer leur performance dans le cadre de la réforme du système de santé en France.

Nous accompagnons les établissements de santé à atteindre le niveau de maturité attendu en menant à bien des audits comportant des questions relatives à la sécurité des systèmes. Ces derniers peuvent concerner :

Un audit sur la sécurité informatique et sur les préconisations à court et à moyen terme afin de se mettre en conformité avec l’état de l’art, tel que présenté dans le schéma ci-dessous.

Une analyse sur les performances du système (capacité des serveurs, bande passante du réseau, configuration des postes de travail) en relation avec la charge prévue.
Des préconisations au niveau de la supervision des serveurs.

* La HAS est une autorité publique indépendante qui contribue à la régulation du système de santé par la qualité. Elle exerce ses missions dans les champs de l’évaluation des produits de santé, des pratiques professionnelles, de l’organisation des soins et de la santé publique.

** C’est une stratégie ou un plan permettant d’assurer la remise en service de l’infrastructure et la remise en route des SIH en cas de crise majeure ou importante (bris de glace ou plan blanc).

Sources :

http://www.has-sante.fr/portail/jcms/fc_1249605/fr/outils-guides-methodes

http://www.anap.fr/

-David G.

Vous devriez également aimer

Google étend sa prise en charge SSO

Sécurité de l’écosystème Microsoft, Bastien vous explique tout

PAROLE D’EXPERT : L’AUDIT DE SÉCURITÉ.

Comment identifier, classifier, et sécuriser vos données sensibles ?