Loading

Sécurité informatique à l’hôpital

Qui dit santé dit avant tout données personnelles, mais aussi technologie, information, communication…

En rentrant dans l’enceinte, j’ai dû ouvrir mon sac…

Vous l’avez deviné, cette mesure est due au contexte actuel et on ne peut qu’espérer que la tension diminue. Toujours est-il que si le monde hospitalier peut sembler spécifique, il s’avère en fait offrir de très bons exemples de tout ce qui concerne la sécurité des systèmes d’information.

A l’approche d’un hôpital, c’est dans le domaine de la santé que nous nous aventurons. Qui dit santé dit avant tout données personnelles, mais aussi technologie, information, communication…

La sécurité des accès

Tout commence donc par une illustration relative à la sécurité périmétrique. Un site sensible se doit d’être doté de certains moyens de protection physique et ce, dès les premières strates de la défense en profondeur. Un vigile permet des contrôles fouillés (excusez le jeu de mots) et sécurise ainsi les points d’accès. En règle générale bien sûr, il s’agit de vérifier les identités des personnes et non ce qu’elles transportent.

Une fois passé ce premier filtre, des caméras de vidéo-protection poursuivent le travail. Positionnées aux endroits stratégiques, en conformité avec la loi, elles offrent la possibilité de surveiller les allées et venues en direct comme a posteriori. Les techniques de traitement d’images sont en plein développement et, plus tard, des analyses pourront être automatisées (non, malgré l’aide de start-up très qualifiées, ce n’est pas avant bien longtemps que la SNCF pourra détecter un comportement suspect en situation réelle).

Retournons à l’hôpital. L’accueil se présente très vite et se pose d’emblée la question de la confidentialité. Peu importe de savoir si les gens autour de vous entendent votre nom, la question est surtout de prendre conscience qu’un premier dossier, administratif, est ouvert sur vous.

La CNIL entre en jeu (c’est normalement affiché !). Au-delà de cet élément rassurant, on peut s’interroger : qui a accès à ces données, où sont-elles stockées, combien de temps, avec quel lien vers les dossiers médicaux, etc. ?

Les données personnelles

Quelques formalités plus tard, l’hospitalisation devient effective et tout s’enchaine. L’installation dans une chambre, calme, précède de multiples examens dont les résultats seront systématiquement enregistrés via différents ordinateurs. Cette fois, les données très personnelles sont copiées, regroupées, manipulées. On rentre dans le vif du sujet.

Même si la route est encore longue, la dématérialisation des données de santé n’est plus un rêve mais une réalité. Elle contribue largement à moderniser le système de santé dans sa globalité et permet ainsi l’amélioration de la qualité et de l’efficacité de la prise en charge des patients.

Dossier Médical Personnel et Messagerie Sécurisée de Santé sont deux outils prometteurs qui serviront tant le patient que le personnel médical. De là naissent bien sûr les problématiques de stockage et d’accès local ou à distance. L’échange et le partage d’informations est un autre paramètre à prendre en compte car il est essentiel à l’efficacité du système. Toutes les pièces conduisent la pratique médicale à évoluer vers une prise en charge pluridisciplinaire des patients et ce processus collaboratif doit être encadré et outillé de manière sécurisé.

La sécurité des informations

L’ASIP Santé, Agence des Systèmes d’Information Partagés de santé, offre une vision très pédagogique des choses. Exhaustive, elle illustre à juste raison chaque critère de sécurité.

Ainsi, la non disponibilité de données de santé à un moment crucial peut entraîner une imprécision, des retards ou des erreurs dans les diagnostics ou les soins.

Un défaut d’intégrité, comme l'altération accidentelle ou illégitime d'un dossier de santé, ou de paramétrage d’un équipement biomédical, est quant à lui susceptible d'entraîner des erreurs médicales.

Le non-respect de la confidentialité d'un document de santé, comme la divulgation d'un résultat aux services d’une société d'assurance ou d’un employeur, pourrait porter préjudice au patient ainsi qu’au professionnel de santé et au responsable du système d’information de santé.

L'absence de traçabilité sur l'auteur d’un document de santé (une ordonnance par exemple) dont le traitement a abouti à un diagnostic erroné empêche tout suivi correctif ou évolutif.

Sur le lit d’hôpital, un frugal repas avalé de bonheur laisse le loisir de réfléchir à cette très intéressante ambition de créer un espace de santé numérique de confiance.

L’élaboration et la mise en œuvre d’une politique générale de sécurité des systèmes d’information de santé et du domaine médico-social (PGSSI-S) est l’initiative qu’il fallait prendre. Ce préalable constitue la base essentielle aux constructions futures.

L’humain reste toutefois un paramètre à considérer. Si l’aspect humain est important en termes de soin, il l’est également en termes d’efficience des technologies créées et adoptées. La réussite ne pourra se confirmer sans d’une part la confiance des patients et d’autre part l’adhésion des professionnels de santé aux nouvelles pratiques (hôpital numérique, télémédecine, mobilité, …).

Un peu de prospective

Un petit mot supplémentaire pour mentionner le réseau wi-fi de l’hôpital. Accessible partout à l’intérieur et certainement un peu depuis l’extérieur, on déconseillera de l’utiliser sans réflexion préalable. Plus globalement, les technologies sans fil faisant appel à des protocoles standards ou propriétaires risquent de se multiplier pour des raisons pratiques. Les Hommes et les machines pourraient en être perturbés. Les vulnérabilités SSI pourraient être augmentées.

D’ailleurs, et demain ? Des études prospectives prédisent la santé à l’ère du Big data. Je distinguerais à ce propos le smart data et le Big data plus particulièrement utile dans le domaine de la recherche. Quoi qu’il en soit, la future médecine verra cohabiter patients, médecins et soignants, objets communicants, applications et intelligence artificielle.

En conclusion…

Le monde hospitalier apporte donc des cas pratiques illustrant de nombreuses problématiques SSI. Cela nous permet de nous poser des questions constructives, tant dans le domaine particulier de la santé, avec notamment ce qui nous touche de façon très personnelle, que d’un point de vue générique sur les tenants et aboutissants des évolutions technologiques.

Bientôt vous vous interrogerez aussi chez le coiffeur (prise de rendez-vous en ligne, surf en wi-fi…), le garagiste (diagnostic de votre véhicule, analyse de votre conduite…), le boulanger (commande à distance, paiement sans contact…) …. A suivre !

Arnaud Lorgeron Arnaud Lorgeron - Chargé de la sécurité des véhicules connectés
Après presque dix ans au Ministère de la Défense, il rejoint le secteur privé fin 2012 pour y mettre à profit son expertise SSI dans des projets civils et militaires. Trois ans…
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Dossier Spécial Sécurité et Contrôle du RéseauDossier Spécial Sécurité et Contrôle du RéseauLa consommation d'énergie des infrastructures IT n’ira qu’en s’aggravant tant que les entreprises n’adopteront pas une vraie gestion dynamique et intelligente de leur énergie comme elles le font via la virtualisation avec leurs tâches critiques. Découvrez en 5 étapes comment garantir la sécurité reprendre le contrôle.5 étapes pour garantir la sécurité et reprendre le contrôle.

Ressources Informatiques

Repenser la sécurité pour les mobiles et le Cloud Cloud et Mobilité ont fait exploser l'ancestrale sécurité périmétrique qui protégeait les infrastructures. Parallèlement, l'ingéniosité, la complexité…
   Smart DSI | 4 pages
Découvrez le Top 5 des meilleures pratiques
1er Guide de bonnes pratiques GDPR en entreprise Pour les entreprises, il s’agit, à présent, de réviser les procédures et s’assurer de la conformité au nouveau règlement avant les sanctions.…
   Stormshield | 24 pages
Découvrez le 1er Guide de bonnes pratiques GDPR en entreprise
Comment optimiser la gestion d‘énergie des serveurs virtualisés ? Si la virtualisation et les infrastructures convergées mettent à la disposition des responsables IT des outils puissants, elles font naître des défis…
   EATON | 4 pages
Découvrez le livre blanc
10 manières de vous protéger contre les Ransomwares Les ransomwares utilisent des modèles cryptographiques non conventionnels tels que Tor ou des algorithmes de chiffrement courants qui rendent impossible…
   Comsoft | 8 pages
Découvrez le livre blanc
Rapport IDC sur la gestion de Cloud hybride Dans un environnement informatique hybride complexe, la gestion des opérations peut nécessiter l'utilisation de plusieurs outils de gestion et la mise…
   IDC - Red Hat | 8 pages
Découvrez le Guide IDC
Comment garantir la sécurité de vos flux documentaires ? Ce livre blanc explique comment le format PDF et la solution Power PDF de Nuance permettent de mettre en place, rapidement, efficacement et à moindre…
   Guide Nuance | 28 pages
Garantissez l'intégrité et la sécurité de vos documents
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Arnaud Lorgeron Arnaud Lorgeron Chargé de la sécurité des véhicules connectés

David Pekmez David Pekmez MVP Exchange Server

Loïc Duval Loïc Duval Spécialiste systèmes d'exploitation

Vidéos Informatiques

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Les Assises de la Sécurité 2015 : Yves Rochereau - Check PointCheck Point est une société spécialisée dans l'univers de la sécurité informatique…Par Itpro

Les Assises de la Sécurité 2015: Loïc Guezo - Trend MicroTout comme les entreprises, les administrations publiques qui englobent les Opérateurs…Par Itpro

Les Assises de la Sécurité 2015: Jean Noel de Galzain WallixA la tête d'une entreprise florissante, Wallix, Jean-Noël de Galzain est aussi…Par Itpro

Les Assises de la Sécurité 2015 : Jérôme Robert - LexsiEn quoi consiste cette nouvelle tendance de « Threat Intelligence », Jérôme…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI