Le système d'information hospitalier face aux enjeux de la sécurité

Le monde hospitalier doit faire face à de nouveaux enjeux en termes de sécurité. En effet, les informations médicales sensibles, qui étaient jusqu’alors traitées et archivées au format papier, sont aujourd’hui informatisées sous la forme d’un dossier patient électronique.

Plusieurs facteurs liés à l'optimisation des processus de soins ont conduit à ces nouveaux enjeux :

- Tout d'abord, la nécessité de disposer d'un dossier patient unique dans l'hôpital, afin notamment de faciliter la détection des interactions médicamenteuses.

- La législation en vigueur, prévoyant la mise en place de la tarification à l'acte (T2A) et le droit du patient à accéder à son dossier médical.

- Enfin, l'ouverture de l'hôpital, avec la mise en place de projets d'hospitalisation à domicile et les réseaux de soins.

Loin de faiblir, cette dynamique tend au contraire à s'accentuer, elle est d'ailleurs porteuse d'enjeux liés à l'interopérabilité des systèmes, interopérabilité poussée par le fameux DMP (Dossier Médical Personnel National).

La confidentialité des informations échangées étant un sujet particulièrement sensible, l'informatisation du métier, et notamment du dossier médical, implique la mise en place d'une réelle politique de sécurité. En effet, il s'agit de garantir à tout instant l'accès aux informations et la persistance de ces dernières, tout en assurant un contrôle strict des droits d'accès et une traçabilité totale des transactions effectuées.

Pour bien saisir les problématiques rencontrées lors de la sécurisation d'un système d'information hospitalier (SIH), il convient de s'intéresser précisément au fonctionnement d'un hôpital.

Sa population, tout d'abord, est constituée de deux catégories principales : le personnel administratif d'une part, le personnel soignant d'autre part. Ce dernier pouvant être amené à travailler en unité de soins sur des postes informatiques partagés.

En ce qui concerne les locaux, à savoir les hôpitaux, ils sont situés pour la plupart dans des zones publiques ou semi-publiques, l'accès physique aux postes de travail est donc théoriquement à la portée de personnes n'y étant pas autorisées.

Les unités de soins, enfin, ou des réseaux sans fil de type Wi-Fi sont mis en place dans le but de faciliter la mobilité du personnel soignant.

Au-delà des problématiques de continuité de services, le principal enjeu dans la sécurisation d'un système d'information hospitalier réside donc dans la mise en place d'un système garantissant un accès contrôlé aux ressources et une traçabilité intégrale des actes, ceci notamment par la mise en place de mécanismes d'authentification.

Concernant le personnel administratif, l'authentification est aisée, ces derniers étant en effet munis d'un poste de travail dédié. Toutefois, certains cas spécifiques restent à prendre en considération, tels que le verrouillage automatique des postes, lorsqu'ils se trouvent dans des zones publiques (cas des postes d'accueil par exemple).

Sécuriser les postes utilisés par le personnel soignant est une tâche plus complexe. Ces derniers, situés en unité de soin, sont en effet très souvent partagés, ce qui implique soit la mise en place de mécanismes d'authentification applicatifs permettant une authentification rapide du nouvel utilisateur (une fermeture/ouverture de session Windows étant proscrite du fait de sa longueur) soit la mise en place d'une infrastructure sécurisée.

Sur le terrain, le constat actuel est mitigé : en unité de soin, une session de travail est souvent ouverte le matin pour être ensuite utilisée par l'ensemble du service, sans réauthentification des intervenants successifs. Les mécanismes de fermeture/ouverture de sessions sont effectivement jugés trop longs et inutiles par un personnel souvent peu sensibilisé aux problématiques de sécurité. Tout cela pose à la fois des problèmes de traçabilité et de sécurité.

Afin de remédier à cela, les DSI expérimentent actuellement des mécanismes d'authentification forts basés sur la biométrie, le RFID ou encore sur un élément physique. Mais il reste à convaincre les utilisateurs...

La clé du succès réside souvent dans la mutualisation d'un ensemble de services dans un moyen unique. Une même carte, par exemple, peut à la fois servir de porte-monnaie électronique, de comptage du temps, d'accès au parking, etc. Cette personnalisation du média facilite son appropriation par l'utilisateur et diminue d'autant les cas de cartes "oubliées" sur les postes de travail.

Le CHU de Montpellier en est une excellente illustration. En effet, ce site hospitalier fournit à l'ensemble de son personnel une carte à puce "maison" multiservice, utilisée pour le comptage du temps, la cantine (sous forme de porte-monnaie) et l'authentification forte permettant d'accéder au système d'information.

Le monde de la santé dispose par ailleurs d'un atout de taille en termes d'authentification forte : il est en effet doté d'un tiers de confiance à même de délivrer des cartes à puces contenant des certificats X509. Cet organisme, le GIP-CPS, a ainsi déjà délivré plus de 500 000 cartes aux différents professionnels de santé.

Obligatoire dans le cadre de la Feuille de Soins Electronique (FSE), cette carte est largement déployée dans la médecine libérale. Elle est, à ce titre, presque systématiquement utilisée par les hôpitaux comme moyen d'authentification, dès lors qu'il s'agit de mettre en place des réseaux ville-hôpital ou des projets de H.A.D (hospitalisation à domicile).

Il est légitime de se demander pourquoi sa présence est si discrète dans le monde intra-hospitalier. Elle y est en fait jugée coûteuse et inadaptée aux besoins, dans la mesure où elle ne permet pas de mutualiser plusieurs services de l'hôpital. Les choses devraient néanmoins évoluer, le GIP-CPS étant aujourd'hui à même de délivrer des certificats logiciels prêts à être embarqués, dans des supports personnalisés.

En définitive, l'informatisation du dossier patient et l'ouverture de l'hôpital via les réseaux ville-hôpital implique la mise en place d'une politique de sécurité abordant l'ensemble des problématiques, à savoir : la continuité de services, l'authentification des intervenants, le contrôle des droits et l'audit sur les actions effectuées.

Au-delà des problématiques d'archivage induites par la mise en place de la continuité de services, la mise en place de moyens d'authentification forts adaptés aux contraintes opérationnelles des professionnels de santé apparaît comme une étape majeure dans la sécurisation du système d'information.

Compte tenu du positionnement du GIP-CPS, notamment dans le DMP, il est vraisemblable que cet organisme jouera là un rôle essentiel, en fournissant certainement, à terme, des certificats embarqués dans des cartes multiservice, acceptées du même coup par les personnels de santé. Reste à trouver et à mettre en place des solutions logicielles à même de répondre à ces problématiques, prenant en compte les spécificités du monde médical.