01INFO E-SANTÉ – L A NE WSL E T T ER D’AL SACE E-SAN T É

OCT 2013N°05

P2 / FOCUS> Démarche régionale de sécurité : besoins et services en accord parfait

P3 / CE QU’ILS EN DISENT> Jean-Louis Burguet,Praticien et chef du service de radiologie du Centre hospitalier de Haguenau

P4 / DMP> Des forces> Les chiffres

P4 / LA VIE DES PROJETS> ViaTrajectoire® EHPAD trace la route

On pense communément que la sécurité des systèmes d’information est une affaire de spécialistes. A tort, car la sécurité est l’affaire de tous : les informaticiens, certes, mais aussi les directions d’établissement, les métiers et les utilisateurs finaux.

Dans un monde informatique qui évolue à un rythme effréné et dans lequel la frontière entre le domaine personnel et professionnel tend à s’estomper, le Cloud et le BYOD1 sont déjà dépassés, nous entrons dans l’ère du BYOID2.

Autrefois marginales, les demandes auxquelles les directions des systèmes d’information font face aujourd’hui tendent à se démocratiser : « J’aimerais accéder à mon environnement de travail depuis mon domicile pour finir les plannings ce week-end », « Comment accéder à la messagerie d’entreprise depuis mon smartphone ? », « Pourquoi ne puis-je pas accéder à mes applications métier avec mon compte Facebook ? Cela m’éviterait de devoir retenir plusieurs mots de passe… »

Autant de demandes qui feront écho à certains et face auxquelles les directions des systèmes d’information se sentent démunies. Le plus simple étant de répondre : « non, ce n’est pas possible car c’est contraire aux bonnes pratiques… » Les établissements de notre secteur d’activité n’ayant pas tous l’opportunité d’avoir un RSSI3, voire une équipe informatique dans leurs effectifs, comment peuvent-ils être garants de la

mise en œuvre et du respect des bonnes pratiques en matière de sécurité des systèmes d’information ?

Certes, le législateur a prévu depuis les années 2000 plusieurs dispositifs d’accompagnement et de mise en œuvre de référentiels, d’aide au développement et à l’amélioration des systèmes d’information : le GMSIH4 jusqu’en 2009, puis l’Asip Santé5, l’ANAP6, les GCS e-santé pour ne citer qu’eux.

Mais comment se repérer à travers ces nébuleuses ? Par où commencer ? Qu’est-ce qu’une bonne ou une mauvaise pratique ?Alsace e-santé innove en proposant à ses membres un bouquet de services adaptés aux enjeux de nos systèmes d’information. Une véritable démarche régionale et une première marche bien utile pour que la sécurité des systèmes d’informations soit accessible à tous et au service de tous ! n

© d

ocu

men

t rem

is

1 BYOD : « Bring you own device » ou « Venez avec votre propre matériel »2 BYOID : « Bring your own ID » ou « Venez avec vos propres identifiants »3 RSSI : Responsable de la Sécurité des Systèmes d’Information4 GMSIH : Groupement pour la modernisation du système d’information hospitalier5 ASIP Santé : Agence des Systèmes d’Information Partagés de santé6 ANAP : Agence Nationale d’Appui à la Performance des établissements de santé et médico-sociaux

« La sécurité des systèmes d’information, une affaire de spécialistes ? » DENIS PABST, Directeur Général du Groupe Saint Sauveur

L A NEWSLE T TER D’AL SACE E-SANTÉ

inf e santé

Édito

SOMMAIRE

02INFO E-SANTÉ – L A NE WSL E T T ER D’AL SACE E-SAN T É

Demandes des membres

Prospectivestechnologiques

Réseaurégional

haut débitRéférentielsnationaux

Comité technique

Démarche régionale de sécurité des systèmes d’information

Outil en coursRecueil des

besoins

SI 31/05/2013Mme SchollerPharmacienstérilisation

Sensibilisation

Veille à l’étude

Ex. de support de communication et sensibilisation

Outil en coursRéférentiel niveaux de

disponibilité des applications

Gestion des risques

M. Stalter, RSSI HUS30/11/2012

TerminologiePCA / PRASociété Lexsi20/09/2012

SI 03/07/2013M. Penin

DSI GroupeSt Sauveur

Besoins des membres Comité technique Schéma DRSSI

Sécurité

Continuité des SI Santé

depuis le 20/09/2012

Retour d’expériencesProcédures dégradées

Workshop

Démarche régionale desécurité des

systèmesd’information

SI 15/11/2013M. Martin - DSI

Papillons blancs

OutilSinistralité

Sensibilisation à la sécurité

Traitementsdes incidents

SIMRAL

Audits Analyse

Accompagnement

Formation

Paroles d’autorité nationale20/09/2013

SI 03/07/2013M. Poty - DSI Centre Paul

Strauss

Identifiée comme un axe capital du comité technique, la démarche régionale de sécurité s’appuie sur les besoins exprimés par les membres d’Alsace e-santé. En effet, chaque adhérent a été interrogé sur ses projets en matière de sécurité de l’information, sur son environnement de travail, sur les sujets pertinents à mutualiser au niveau régional… L’enjeu réside dans la compréhension du contexte dans lequel chacun évolue. Suite à cette enquête, les deux chefs d’orchestre que sont Véronique Payen, directrice technique

au sein d’Alsace e-santé et Fabrice Stalter, responsable de la sécurité des systèmes d’informations aux Hôpitaux universitaires de Strasbourg, ont proposé une approche innovante de traitement de cette problématique : un bouquet de services régional de sécurité des systèmes d’information - Santé. Une offre en harmonie avec les attentes des participants.

Cette composition apporte : • un accompagnement dans les démarches d’organisation et d’amélioration continue de la gestion de la sécurité,

• une coordination et une mutualisation des actions ou moyens à mettre en œuvre,

• une aide à la mise en conformité par rapport aux réfé-rentiels du secteur. Par exemple : la certification Haute autorité de santé, le programme Hôpital nu-mérique ou la Politique générale de sécurité des systèmes d’infor-mation (PGSSI) …

La continuité des systèmes d’information, premier opus de la démarche régionale de sécurité des systèmes d’information-Santé s’est ouvert le 19 mars 2013 avec une sensibilisation par la société

Démarche régionale De sécurité Des systèmes D’information

Focus

Besoins et services en accord parfait

03INFO E-SANTÉ – L A NE WSL E T T ER D’AL SACE E-SAN T É

Lexsi, au vocabulaire PCA, PRA, PCSI, PCM… Puis, le workshop du même nom, toujours sous la codirection de Véronique Payen et de Fabrice Stalter, a écrit son plan d’action : les uns ont partagé leurs expériences sur les procédures dégradées, qu’elles soient métier ou SI. D’autres ont plus ardemment travaillé à l’élaboration d’un outil de recueil des besoins métiers. Un référentiel non contractuel des niveaux de disponibilité des applications est également en cours. Durant le premier semestre 2014, le comité travaillera sur la sinistralité, dernier livrable identifié. Le point d’orgue de ce workshop sera l’interprétation par chaque membre, dans sa propre structure, de cette partition écrite ensemble.

Un second besoin voit le jour : la sensibilisation à la sécurité de l’information, au sein même des structures adhérentes à Alsace e-santé. Les membres du comité technique sont heureux d’accueillir le 20 septembre 2013, les autorités nationales : Observatoires

zonaux de la sécurité des systèmes d’information et Agence nationale de sécurité des systèmes d’information. L’occasion de remettre à niveau ses connaissances et fondamentaux. De plus, Alsace e-santé propose un support Sécurité de l’information dont chacun peut s’inspirer pour créer sa propre variation.

La démarche régionale de sécurité de l’information prévoit également une veille qui est actuellement à l’étude, un volet formation et une offre de traitements des incidents. Quant au service Accompagnement, il se penchera prochainement sur SIMRAL* à grands renforts d’audits et d’analyse de l’existant. La démarche régionale de sécurité des systèmes d’information Santé donne, on l’espère, le tempo des projets de sécurité au sein des établissements membres d’Alsace e-santé. n

*Service d’imagerie médicale pour la région Alsace

Quels sont vos besoins en matière De sécurité De l’information ?

Les professionnels de santé ont besoin d’un système informatique garantissant, tout au long du parcours de soins, qu’ils suivent le bon patient et que les images médicales dont ils disposent se rapportent bien à lui. L’identito-vigilance, système de surveillance et de gestion des risques et erreurs liés à l’identification des patients, est essentielle. Au-delà de cette identito-vigilance, la confidentialité pose toutes les questions d’accès et d’hébergement des données médicales. Ces exigences ne doivent pas empêcher le médecin d’accéder facilement aux données médicales de son patient. Ainsi l’accès aux données d’un patient doit être facile, fiable et tracé.

comment ressentez-vous votre res-ponsabilité par rapport à l a sécurité De l’information ?

En tant que radiologue et responsable de service d’un secteur qui produit de l’imagerie médicale, je participe, à mon niveau, à l’élaboration, à la mise en œuvre et au fonctionnement quotidien du PACS* au sein de mon établissement, d’où mon intérêt pour le développement d’un Service d’imagerie médicale régionale en Alsace.

SIMRAL est une des solutions possibles pour partager les données d’imagerie produites au sein du Centre hospitalier de Haguenau avec les praticiens extérieurs qui pourraient en avoir besoin pour la prise en charge de leurs patients. Etant donné que l’on va vers un partage «  urbi et orbi » de l’imagerie médicale digitalisée, la sécurité de l’information est au cœur de nos préoccupations. Elle est même indispensable. Nous travaillons avec les responsables du réseau informatique hospitalier afin de sécuriser au maximum notre base de données et notre réseau. Ceci entraîne des contraintes pour les utilisateurs, d’un côté comme de l’autre, et le dialogue entre médecins et informa-ticiens est indispensable pour adapter au mieux de part et d’autre le niveau de contraintes nécessaires et acceptables. Chacun demeure conscient que le risque zéro d’une fuite possible de données n’existe pas, mais chacun s’attache à réduire ce risque au maximum. L’établissement doit endosser la responsabilité d’une éventuelle perte de données et prendre les mesures nécessaires pour renforcer sa sécurité informatique en corrigeant d’éventuelles failles dans la protection des données hébergées.

Quels sont les éventuels freins par rapport aux enjeux liés à la sécurité De l’information ?

Je dirai que le principal frein est d’ordre financier : il faut trouver les fonds pour avoir le système de sécurité nécessaire. Ce système doit également ne pas contraindre les utilisateurs qui ont besoin de simplicité dans leur usage quotidien du réseau. Le rêve  ? Une sécurité forte qui passe inaperçue !

existe-t-il Des craintes par rapport aux enjeux liés à la sécurité De l’information ?

Il y a forcément des craintes car aucun système n’est parfait et infaillible. Si les ingénieurs informaticiens jouent un rôle fondamental, les établissements produisant de l’imagerie, de même que les tutelles, l’Agence régionale de santé d’Alsace et Alsace e-santé, doivent également s’investir : garantir et veiller à la sécurité de l’information.Il est donc important de souligner que l’utilisation de ces nouvelles technologies permet une rapidité de la circulation de l’information dont on ne peut plus se passer car elle améliore la prise en charge des pathologies et des poly-pathologies, mais qui, en contrepartie, nous impose en permanence, performance et adaptabilité. n

*Picture archiving and communication system

Ce qu’ils en disent

«Le rêve ? Une sécurité forte qui passe inaperçue ! »INTERVIEW DE JEAN-LOUIS BURGUET,

PRATICIEN ET CHEF DU SERVICE DE RADIOLOGIE DU CENTRE HOSPITALIER DE HAGUENAU

04INFO E-SANTÉ – L A NE WSL E T T ER D’AL SACE E-SAN T É

ViaTrajectoire ® EHPAD trace la routeDe nouvelles étapes ont été franchies dans le déploiement de ViaTrajectoire® EHPAD*, la plateforme web qui facilitera la vie des personnes âgées et des professionnels à la recherche d’un hébergement. Mené sous le pilotage stratégique de l’Agence régionale de santé d’Alsace et des Conseils généraux du Haut-Rhin et du Bas-Rhin, ce projet ambitieux est coordonné par Alsace e-santé.

Mi-septembre. Initiée en juin dans le Haut-Rhin, l’expérimentation est lancée dans le Bas-Rhin. Quatorze pilotes - les 10 EHPAD de la zone de Saverne, le CH de Saverne, le CH d’Ingwiller, le Réseau Gérontologique et l’Espace d’accueil séniors de Saverne - testent le nouvel outil d’orientation et de gestion des admissions.

Fin septembre. Dans le Haut-Rhin, les 14 EHPAD pilotes du Sundgau et des Trois Pays échangent les premiers dossiers d’inscription dématérialisés avec les demandeurs pilotes que sont la Maison pour l’autonomie et l’intégration des malades d’Alzheimer (MAIA), le pôle gérontologique et l’hôpital d’Altkirch, ainsi que l’hôpital de Sierentz.

De septembre à décembre. Tous les EHPAD de la région reçoivent la visite des équipes territoriales ViaTrajectoire® afin de compléter l’annuaire régional de l’offre d’hébergement.

Novembre. Des usagers et des médecins généralistes pilotes testent la solution.

Janvier 2014. Le dispositif est lancé dans toute la région. Chaque usager peut en bénéficier. n

*Etablissement d’hébergement pour personnes âgées dépendantes.

DMP

> DES FORCESLe 24 septembre 2013 , les associations de patients, étaient conviées à une réunion d’information sur le DMP à Strasbourg.

> DES CHIFFRESAu 7 septembre 2013, l’Alsace

comptait :

•17 établissements de santé et

489 professionnels de santé libéraux créateurs de DMP,

•42 502 DMP,

•82 008 documents déposés.

La vie des projets

Directeur de publication : Dr Pascal Charles, Administrateur d’Alsace e-santé • Comité de rédaction : Elodie Leininger, Véronique Payen, Sophie Ros, Feïza Sabour, Anne Stackler, Gaston Steiner

ALSACE E-SANTÉ 2 rue Seyboth, 67000 Strasbourg tél +33 (0)3 68 67 67 68 email contact@sante-alsace.fr web www.sante-alsace.fr

inf e santéL A NE WSL E T T ER D’AL SACE E-SAN T É