Publié le 19 mai 2015
Comité technique d'Alsace e-santé - avril 2015

Retour sur le Comité technique qui a réuni en avril les membres d'Alsace e-santé. L'occasion pour le groupement de coopération sanitaire de leur proposer un accompagnement sur-mesure dans la sécurisation de leurs systèmes d’information de santé.

Une vingtaine de responsables de direction - informatique, qualité, administratif et financier - ainsi que des médecins travaillant dans des structures de santé de la région se sont retrouvés dans les locaux d'Alsace e-santé à l'occasion de cette journée dédiée à la sécurisation des systèmes d’information (SI) de santé.

La sécurité de l’information au service de l’e-santé

Suite aux récentes attaques informatiques réalisées dans plusieurs établissements de santé, Alsace e-santé, en tant qu’expert en sécurité des SI, se devait d’apporter des réponses à ses membres. Tout en rappelant le contexte évolutif des applications en santé, Tristan Savalle, responsable de l’offre santé de la société Advens, a mis en évidence les vulnérabilités des applications en simulant en direct un piratage informatique. "Attaquer une seule application est une porte d’entrée vers toutes les autres au sein d’une même organisation. Avec le développement des SI au sein des établissements, les risques se multiplient et deviennent plus difficiles à maîtriser", a t-il dit.  Les participants ont pu déterminer, grâce à une méthodologie, le niveau de maturité de la sécurité logicielle de leur établissement. L’opportunité également pour chacun d’entre eux de connaître leurs points d’amélioration.

La sensibilisation à la sécurité des SI de santé par la « pédagogie expérientielle »

La sécurité des systèmes d’information ne peut être optimale sans l’implication de l’ensemble du personnel d’une organisation. C’est pourquoi Alsace e-santé a proposé d’apporter à ses membres une solution de sensibilisation contextuelle et ludique sous forme d’un serious game. Luc Gnaedig de la société KTM-Advance a présenté un portail qui utilise la pédagogie expérientielle. Objectifs : sensibiliser les utilisateurs du SI aux risques de sécurité mais aussi communiquer sur les bonnes pratiques à mettre en application au quotidien. Ce serious game composé de nombreux jeux, vidéos ou encore de quizz, est utilisé actuellement dans plusieurs établissements de santé français. 

La démarche régionale de sécurité des SI de santé

Véronique Payen, directrice technique d'Alsace e-santé, et Fabrice Stalter, responsable de la sécurité des systèmes d’information des Hôpitaux Universitaires de Strasbourg, ont présenté au courant de l’après-midi la démarche régionale de sécurité des systèmes d'information (DRSSI) de santé. Ils ont proposé aux participants de poursuivre l’accompagnement sur-mesure à la sécurisation de leurs systèmes d’information de santé, c’est-à-dire adapté aux priorités de chacun et fondé sur un kit d’outils éprouvés. En savoir plus sur la DRSSI 

Un accompagnement sur-mesure vous intéresse ? 

Consulter notre documentation

 

Deux établissements en ont fait l’expérience récemment. Ils ont témoigné.

 

Les risques de sécurité des SI de santé : un enjeu "qualité" 

Le groupe Saint Sauveur, qui recouvre à la fois les domaines sanitaires et médico-sociaux, a fait appel à Alsace e-santé pour préparer le critère 5B dédié à la sécurité des systèmes d’information de la certification V20101 . En deux mois, l’établissement, aidé d’Alsace e-santé, a préparé cette certification qu’il a passé avec succès. Le diagnostic basé sur la norme ISO 27001 réalisé également dans ce contexte a permis de faire un état de l’existant de la sécurité des SI et d’en apporter les pistes d’amélioration. Après avoir confié la gestion des risques de sécurité des SI de santé au service qualité, le groupe Saint Sauveur travaille sur la « revue du processus Ressources humaines à travers le prisme du SSI » clarifiant les droits d’accès aux systèmes d’information d’un nouveau salarié ou encore d’un visiteur.

Camille Colnat, responsable qualité et gestion des risques, Groupe Saint Sauveur, à Mulhouse partage son expérience avec Alsace e-santé.

Lire son témoignage

Les risques de sécurité des SI de santé : plus qu'une question informatique

De son côté, l’Etablissement public de santé Alsace Nord (EPSAN) de Brumath a sollicité Alsace e-santé dans le cadre de sa candidature au Programme Hôpital Numérique. Le groupement de coopération sanitaire l’a aidé à formaliser sa PSSI grâce à un kit documentaire. Alsace e-santé a également analysé les risques de quatre processus métiers2  en réunissant autour de la table tous les acteurs des SI : le service informatique bien sûr, mais aussi les utilisateurs des applications afin de bien comprendre les enjeux et objectifs de chacun.

Retrouvez prochainement sur notre site web l’intégralité du témoignage de Dominique Druot, responsable des systèmes d’information, EPSAN à Brumath

 

1La certification V2010 est une procédure d’évaluation externe des établissements de santé, réalisée par des experts de la HAS. Elle porte sur trois points qui impliquent les professionnels de santé et impactent les usagers : l’organisation et le fonctionnement général des établissements, les pratiques de soins, et l’information du patient. 

2Un processus métier dans le jargon informatique est une activité qui intègre un système d’information.


Thématiques abordées : comité technique, DRSSI