Premier établissement public à l’obtenir, l’AP-HM, avec sa Direction des services numériques, vient d’être certifiée ISO 27001 pour le management de la sécurité de son hébergement de données de santé. C’est le résultat d’une coopération synergique entre des services conscients des enjeux pour les patients, les médecins et les systèmes. Philippe Mayer, directeur des systèmes d’information et Philippe Tourron, responsables de la Sécurité des systèmes d’information, Assistance-publique –Hôpitaux de Marseille, (Cf. photo) s’expliquent.
Pourquoi mener cette démarche ?
Une certification n’étant pas une fin en soi, la démarche d’amélioration continue qui l’accompagne est gage de confiance pour les patients, les professionnels de santé et les établissements de santé hébergés. Ainsi tous les cadres réglementaires convergent aujourd’hui vers cette norme : HAS, certification des comptes, politiques de sécurité de l’Etat, ministère des Affaires sociales et de la Santé, Asip, agrément HDS ou RGS. Par ailleurs, dans le contexte actuel de cyber-menaces permanentes de plus en plus ciblées sur les données de santé et le développement de la e-santé, elle permet de construire et de faire évoluer un modèle de sécurité adapté aux besoins des professionnels de santé et des patients.
Existe-il une continuité normative ?
Notre trajectoire est le fruit de plusieurs années de construction (certification ISO 9001 depuis 2005 recentrée sur les processus ITIL (Information Technology Infrastructure Library) de l’Iso 20000 en 2014, ainsi que deux agréments d’hébergement de données de santé (HDS) – Asip/Cnil sur la même période). La certification 27001 marque l’anticipation des contextes des systèmes d’information de santé. En effet, l’agrément HDS évolue vers cette norme tout comme la certification HAS (2014) qui situe une gestion par les risques et une maîtrise de sa sécurité informatique au cœur des responsabilités des établissements de santé.
En pratique ?
Si ce modèle comporte bien évidemment des composants techniques indispensables, il repose en grande partie sur des équipes capables d’anticiper, de réagir rapidement aux attaques et aux évolutions en s’appuyant sur des documents solides ainsi qu’une implication à tous les niveaux de décisions. C’est cette capacité d’organisation et de management de la sécurité des systèmes d’information que consacre cette certification autour du RSSI (Responsable de la sécurité des systèmes d’information) avec l’appui indispensable du DSI.
Quel impact attendez-vous structurellement ?
L’ISO27001 est un accélérateur des grands chantiers SIH à venir. La sécurité souvent considérée comme une contrainte ou un centre de coût est aujourd’hui une source d’opportunités avec la mobilité au sens large, la dématérialisation, la signature électronique, l’accès du SI aux patients et aux professionnels de santé. Dans ce contexte d’ouverture, nous avons besoin d’une rigueur d’autant plus importante, qui nous a conduits à suivre cette démarche de certification ISO 27001 (management de la sécurité) intégrant une part importante d’audit de fonctionnement et de conformité.
Enfin, le défi permanent qui fait la spécificité des établissements de santé est la diversité des applications et des éditeurs d’applications. Cette diversité importante s’accompagne d’un niveau de sécurité des applications très hétérogène. La continuité, l’intégrité des données, la confidentialité, les habilitations, la sécurité dans le développement et les changements de version sont de réels enjeux. Nous utilisons plusieurs centaines d’applications différentes provenant d’éditeurs très nombreux. Elles affectent le périmètre du SIH « classique », les périmètres concernant le biomédical ou la gestion technique. Cela demande donc un effort considérable à entreprendre au niveau des éditeurs pour obtenir un socle minimal en termes de sécurité et de confidentialité dans les applications. C’est un enjeu extrêmement important pour l’avenir qui pourra peut-être là aussi passer par un label sécurité des logiciels qui a été initié par l’Anap, mais aussi par une intégration sécurisée telle que nous essayons progressivement de mettre en place avec une « bulle ou une capsule HDS » objet de notre certification, garantissant l’accès avec authentification forte (CPS/OTP), une résilience et une sauvegarde intégrées et une capacité de réaction en cas d’incident minimisant les impacts. Toutes les applications ne sont pas éligibles à ce mode, mais le périmètre de notre certification permet un levier en terme d’organisation et de technique pour amener progressivement nos applications vers ce niveau de sécurité. Le contexte actuel de cyber-menaces graves nous amène donc à gérer nos risques en temps réel avec une anticipation de type préventif et un entrainement nous permettant d’organiser la protection et la continuité des services.
En quoi votre initiative s’inscrit-elle dans les changements prévisibles à venir ?
C’est une démarche intégrée à la Direction des services numériques. Depuis trois ans, l’AP-HM conduite une évolution majeure de son système d’information dans des délais extrêmement courts. Le DPI (Dossier patient informatique) est très largement déployé (dossier patient, dossier de soin, rendez-vous, blocs, urgences). Une évolution significative de son architecture technique, en lien avec la certification, doit se poursuivre en 2017. L’ouverture vers la ville via la messagerie sécurisée de santé est en cours. Un portail patients-praticiens rapprochant la structure des acteurs externes est inscrite dans l’ordre naturel des choses. La gestion de dossiers tel que Fides, PESV2, une refonte complète du cadre d’interopérabilité avec une volonté marquée de maîtriser les solutions, y compris la sécurité, sont impactées.
L’agrément Iso 27001 obtenu par l’AP-HM, s’il ne constitue qu’une étape, conforte l’ambition et la qualité de l’engagement sur le chemin de la qualité et de la sécurité. Bien plus qu’un marqueur technique, il honore la coopération des professionnels au service de l’essentiel : soigner des patients dans les meilleures conditions d’efficacité possibles.
Dr Jean-Pierre Blum, conseiller technologies près le président du Groupe d’étude parlementaire numérique et santé, Assemblée nationale
Transition de genre : la Cpam du Bas-Rhin devant la justice
Plus de 3 700 décès en France liés à la chaleur en 2024, un bilan moins lourd que les deux étés précédents
Affaire Le Scouarnec : l'Ordre des médecins accusé une fois de plus de corporatisme
Procès Le Scouarnec : la Ciivise appelle à mettre fin aux « silences » qui permettent les crimes