Politique de sécurité des systèmes d`information et décret de

Hôpital, patient, système d’information
TH 721 - MAI-JUIN 2010
Politique de sécurité des systèmes d’information
et décret de confidentialité
YVES NORMAND, Responsable de la sécurité des systèmes d’informations,
Syndicat interhospitalier de Bretagne, Rennes
L
a loi du 4 mars 2002 relative aux droits des
malades et à la qualité du système de santé, et
modifiant le code de la santé publique, a identifié le
caractère sensible des données de santé, et précisé
que la confidentialité de ces informations médicales
devait être garantie tant au niveau de la conservation
qu’au niveau des transmissions par voie électronique.
En conséquence, le décret 2007-960 du 15 mai 2007
relatif à la confidentialité des informations médicales
conservées sur support informatique ou transmises par
voie électronique a défini les mesures de sécurité à
considérer. Il a également mis en avant le caractère
obligatoire de la carte de professionnel de santé (CPS)
pour tout accès à des données de santé à caractère
personnel.
La loi HPST (Hôpital, patients, santé et territoires) a
reprécisé le caractère obligatoire de l’usage de la CPS
ou de tout autre dispositif homologué. La confidentialité des données de santé à caractère personnel est
une exigence forte à respecter pour tout acteur du
système de santé.
Ces textes et particulièrement le décret de « confidentialité » sont à considérer comme des leviers, des
opportunités pour mettre en œuvre une démarche de
management de la sécurité des systèmes d’information
(SSI) dans les établissements de santé. Des mots clés
relatifs à une démarche de SSI peuvent être identifiés
à la lecture du décret et de la loi HPST :
• sécurisation physique des matériels et des locaux ;
• sécurisation des sauvegardes ;
• contrôle d’accès aux traitements ;
contrôle des identifications, qualités professionnelles
et habilitations des utilisateurs ;
• traçabilité des accès et historique ;
• chiffrement, éventuel, des données transmises ;
• identification d’un responsable du traitement et
déclaration auprès de la Commission nationale de
l’informatique et des libertés ;
• utilisation obligatoire de la carte de professionnel
de santé ou de tout autre dispositif homologué pour
tout acteur de santé accédant à des données de santé.
Au sein d’un établissement de santé, un ensemble de
projets de sécurité peut en découler, dont :
• l’authentification et l’usage d’un support physique
(carte CPS…) – s’assurer de l’identité et de la qualification professionnelle de la personne qui accède aux
données de santé ;
• la gestion des identités et les droits d’accès – gérer
de manière unique et centralisée les identités numériques des utilisateurs du SI, leurs droits d’accès et
leurs habilitations, au travers d’un référentiel unique,
un annuaire d’établissement ;
• la sécurisation des applications et des systèmes –
maîtriser les contrôles d’accès, tracer les accès et maîtriser le niveau de sécurité des applications et des
systèmes ;
• la sécurisation des échanges et des accès distants – respecter la confidentialité des données de
santé échangées entre l’établissement de santé et les
acteurs externes ;
• la sécurité physique – protéger les biens sensibles
contre les malveillances et disposer d’un environnement d’exploitation maîtrisé.
À ces projets techniques et organisationnels s’ajoutent d’autres projets nécessaires :
• la sensibilisation à la sécurité des acteurs du système d’information – sensibiliser et former les acteurs
concernés, selon leur métier, à la sécurité de l’information (obligation, responsabilité, comportement…) ;
• la continuité d’activité – garantir la continuité de
fonctionnement des services sensibles, essentiels, à
travers un plan de continuité des activités (PCA).
Enfin, pour assurer une cohérence d’ensemble et disposer d’une stratégie d’établissement relative à la
sécurité du système d’information, une démarche de
management de la sécurité est fondamentale. La politique de sécurité du système d’information (PSSI) en
est un élément fondateur.
Les pratiques métiers des professionnels de santé évoluent : informatisation du dossier patient, coopération
et échange de données médicales entre un établissement de santé et d’autres sites, des laboratoires, des
professionnels libéraux, mobilité des professionnels
de santé et des patients… Les données concernant
3
Dossier
Dossier
4
Hôpital, patient, système d’information
les patients doivent pouvoir être accessibles en des
lieux différents. La perception d’exigence de disponibilité des applications métiers et des données par les
professionnels de santé s’est déplacée de la journée
à la minute. La Haute Autorité de santé (HAS) pose
également des exigences de sécurité dans son schéma
de certification des établissements de santé.
Ces évolutions et exigences s’inscrivent dans une
meilleure prise en charge du patient et une garantie
de la continuité des missions de soins. L’information
médicale a une portée et une valeur de plus en plus
importante dans le système d’information d’un établissement de santé.
La PSSI est une « réglementation particulière » de
l’établissement décrivant la façon de gérer, de protéger et de diffuser des informations et des ressources
sensibles. Elle est signée par le directeur d’établissement et montre l’importance accordée à la sécurité
du système d’information. La PSSI permet de disposer d’un cadre de référence et de cohérence pour l’ensemble des activités et des acteurs de l’établissement.
Il s’agit notamment de :
• mettre en évidence des objectifs de sécurité, des
obligations, les biens sensibles et des engagements
de l’établissement ;
• exprimer les responsabilités, les principes et règles
de sécurité à respecter.
Une approche globale est nécessaire afin d’obtenir une
sécurisation cohérente et homogène en maîtrisant les
coûts par rapport aux enjeux. La définition d’une organisation interne, d’une méthodologie et d’outils pour
l’élaboration et le suivi de l’application de la politique
de sécurité sont également nécessaires.
De la PSSI découleront des plans d’actions périodiques,
annuels, issus du compromis entre des besoins, des
risques identifiés et des coûts associés (achats de
matériels, licences, ressources humaines…). Il s’agira
pour un établissement d’agir sur le coût des actions de
sécurité préventives plutôt que correctives.
Une PSSI doit permettre de répondre aux enjeux d’un
établissement de santé, parmi lesquels :
• la protection des données de santé à caractère personnel, en confidentialité et en intégrité ;
• la disponibilité constante de l’outil informatique ;
• le développement de la coopération entre professionnels de santé en instaurant un climat de confiance
et une interopérabilité entre systèmes d’information ;
• la contribution à la stratégie et à l’image de marque
de l’établissement ;
• la mise en conformité avec la réglementation et
TH 721 - MAI-JUIN 2010
l’état de l’art ;
• La protection du patrimoine du système d’information de l’établissement ;
• la lutte contre les malveillances informatiques ;
• la maîtrise des risques.
La PSSI, à travers une approche globale, aborde les
thèmes suivants de la sécurité du système d’information :
• sécurité physique ;
• sécurité des réseaux ;
• sécurité des matériels informatiques et de télécommunication ;
• sécurité logique ;
• sécurité liée aux aspects humains ;
• sécurité liée aux aspects juridiques et assurantiels ;
• sécurité organisationnelle.
La norme ISO 27002 est un référentiel incontournable
sur ces différents thèmes, ainsi que les normes ISO
2700x, et les référentiels de l’Agence nationale de la
sécurité des systèmes d’information (Anssi).
La mise en place et le suivi d’une PSSI impliquent,
pour un établissement, de nommer un responsable
de la sécurité des systèmes d’information (RSSI), et
d’établir un comité de pilotage du projet de la sécurité du SI. Ce dernier réunira notamment, le directeur,
le DIM [directeur de l’information médicale], le RSSI,
le DSI [directeur du système d’information ?], le RSI
[responsable du système d’information ?], le président
de la commission médicale d’établissement. Il est primordial d’obtenir l’implication du directeur d’établissement dans ce projet sécurité.
L’efficacité des mesures de sécurité reste dépendante
des personnes. La formation et la sensibilisation des
utilisateurs du SI sont nécessaires et permanentes. De
même, l’établissement se doit de disposer d’une charte
des bons usages du système d’information, précisant
notamment les droits et devoirs des utilisateurs et les
sanctions possibles. L’un des objectifs de la charte est
de fournir une information claire sur la sécurité à l’ensemble à tous les utilisateurs du SI.
Pour un établissement, un objectif permanent à considérer sera la prise en compte de la sécurité du système
d’information dans les processus métiers, et de communiquer sur sa valeur ajoutée, dans le respect de la
réglementation et de l’état de l’art.
ÂLa politique de sécurité du système d’information
d’un établissement de santé traduit la reconnaissance
officielle de l’importance accordée à celle-ci par la
direction de l’établissement. Cette reconnaissance doit
Hôpital, patient, système d’information
TH 721 - MAI-JUIN 2010
se concrétiser par la mise en place d’un projet sécurité
interne permanent, piloté par un RSSI, rattaché à la
direction générale. L’établissement se doit, également,
de disposer d’outils permettant de tracer et de garder
les preuves des accès et des actions des utilisateurs
sur le contenu des dossiers des patients informatisés.
Seule une démarche méthodique et pérenne relative à la
sécurité de l’information permettra de répondre efficacement aux exigences, fortes et justes, des professionnels de santé par rapport au système d’information, à
savoir la disponibilité de l’outil informatique, la confidentialité et l’intégrité des données de santé.
„
Faciliter l’interopérabilité
entre les structures en Aquitaine
PHILIPPE VIARD, responsable des systèmes d´information et d´organisation, centre hospitalier de Mont-de-Marsan (40)
RÉGIS ROSE, responsable technique, Télésanté Aquitaine, Bordeaux
PHILIPPE GALLAND, ENOVACOM, Marseille
Auteur(s) = ?
T
élésanté Aquitaine est une structure régionale
mise en place sur l’initiative de l’agence régionale d’hospitalisation d’Aquitaine afin de favoriser les
échanges entre le monde de la ville et celui de l’hôpital, via l’utilisation des technologies de l’information
et de la communication, dans l’intérêt du patient. À ce
titre, depuis sa création, Télésanté Aquitaine déploie
auprès du grand public et des professionnels de santé
une plateforme régionale de services « e-santé »
accessibles par internet.
Échanges hôpital-ville
Télésanté Aquitaine est positionnée depuis 2004
sur les problématiques de partage d’information et
d’interopérabilité et intervient auprès des différents
acteurs de santé aquitains : établissements, réseaux
de soins, professionnels de santé. L’objectif du projet
est de mettre les échanges électroniques au service
des réseaux de professionnels. Pour l’atteindre, Télésanté Aquitaine a choisi de travailler selon trois axes :
construire une dynamique de l’échange entre les professionnels de santé de la ville et de l’hôpital ; aborder le projet selon une approche de territoire en le
centrant sur un bassin de santé ; relayer la démarche
régionale d’appropriation des usages internet sécurisés pour améliorer la prise en charge des patients.
L’idée maîtresse est d’utiliser les outils régionaux pour
favoriser la dynamique locale. Depuis 2005, Télésanté
Aquitaine facilite les échanges interpersonnels des
professionnels de santé via la messagerie sécurisée
régionale agréée GIP-CPS. Dès 2006, à Mont-de-Marsan, un travail sur la limitation de la iatrogénie médi-
camenteuse par des échanges entre les pharmacies de
ville et celle de l’hôpital par la messagerie sécurisée
régionale est mis en œuvre avec le centre hospitalier. Dans une logique d’intégration progressive, en
2008, le CH améliore l’information des médecins libéraux grâce à l’utilisation de l’outil d’échanges (Enterprise Application Integration EAI ou intégration d’applications d’entreprise) régional et de la messagerie
sécurisée par la diffusion automatisée des courriers
de l’hôpital vers les boîtes aux lettres sécurisées des
médecins libéraux (avis d’hospitalisation, de passage
aux urgences, courriers de sortie…). Cette solution
de dématérialisation des flux de l’hôpital vers la ville
est totalement reproductible auprès d’autres établissements et est actuellement déployée auprès des centres
hospitaliers d’Oloron et de Dax. Dans une logique d’intégration progressive et continue, en 2009 Télésanté
Aquitaine travaille avec les éditeurs de logiciels de
ville partenaires pour une intégration de la messagerie
sécurisée directement dans le logiciel métier du professionnel. L’outil d’échanges (EAI) régional devient
également une passerelle vers les dossiers patients
partagés régionaux et le DMP (dossier médical personnel).
Impacts organisationnels
La mise en place de ces outils induit un certain
nombre d’évolutions organisationnelles importantes.
En effet, la diffusion de documents à l’extérieur de
l’établissement peut avoir un impact sur l’organisation interne en termes à la fois de recueil du consentement du patient et de validation des documents avant
5
Dossier