L'informatique hospitalière à l'heure du pragmatisme L'éveil à la sécurité du CHU de Strasbourg
Appelés jusqu'en 1991 Hospices Civils de Strasbourg, les Hôpitaux Universitaires de Strasbourg regroupent sur 6 établissements un total de 2783 lits et places. Et pour assurer la gestion et l'évolution du système d'information à disposition de plus de 10 000 personnes (8 000 comptes applicatifs) et composé de 4000 postes de travail (dont 500 clients légers) et 200 serveurs, la DSI dispose d'un effectif de 90 personnes et de plus d'une dizaine d'intervenants externes.
La direction informatique s'organise en différents pôles que sont le pôle technique (administration, architecture et projets techniques), projet (développement et intégration progiciel), support aux utilisateurs, administration et contrôle de gestion, et enfin sécurité. Ce dernier pôle est placé sous la responsabilité d'un RSSI dont la fonction a été créée au CHU de Strasbourg en 2000.
La sécurité est en effet une préoccupation majeure en milieu hospitalier, même si celle-ci est devenue plus sensible encore depuis 2007 avec la parution du décret confidentialité imposant de protéger la confidentialité des données médicales à traves la Carte de Professionnel de Santé (CPS).
Si ce décret a constitué un événement déclencheur, des projets relatifs à sécurité ont néanmoins été mis en œuvre au sein du CHU de Strasbourg dès les années 90 via le déploiement de serveurs d'habilitation et d'authentification par carte CPS. Le pôle sécurité a depuis rempli bien d'autres missions.
"Il est impératif de répondre aux besoins de disponibilité"
"Aujourd'hui, avec une équipe de deux personnes, nous prenons en charge la gestion des risques du SI dans sa globalité, et notamment la confidentialité qui est une des spécificités du monde hospitalier. Nous traitons également beaucoup et de plus en plus des aspects de disponibilité et plus globalement de continuité. En effet l'informatisation de la production se développe dans les hôpitaux à mesure que les données, notamment patient, se dématérialisent. Il est donc impératif de répondre aux besoins de disponibilité", résume Thierry Rivat, RSSI du CHU de Strasbourg.
Sécurité physique et logique sont simultanément prises en compte par le pôle sécurité. Quant au pilotage et au suivi, il a été permis par la mise en place d'une organisation de type SMSI inspirée alors par la norme ISO 17799.
Outre l'authentification par carte CPS démarrée en 1996 (un projet amené à évoluer en termes technologique et de couverture fonctionnelle), la sécurité s'est attelée à trois autres chantiers majeurs :
La mise en place d'une nouvelle version de la charte d'utilisation du SI. Son périmètre a ainsi été élargi afin de tenir compte des applications et technologies plus récentes. La disquette y est par exemple remplacée par la clef USB, ignorée par la précédente charte, victime d'obsolescence. Débuté en 2006, le projet a reçu la validation des instances représentatives de l'établissement hospitalier.
En 2005 a commencé la mise en place d'une politique de sécurité. Celle-ci est également en cours d'évolution, au travers notamment de la déclinaison des procédures opérationnelles, des aspects plus techniques, tels que par exemple l'utilisation des moyens de cryptographie, les règles de sécurisation de développement et des OS. "L'objectif est de donner confiance dans le SI, ce qui se traduit par une disponibilité, au bon moment et adaptée au besoin des utilisateurs, sans oublier de garantir la confidentialité des informations, notamment médicale", précise Thierry Rivat.
L'intégration de la sécurité dans les différents projets (2006). Le chantier vise à définir un processus impliquant, pour l'ensemble des produits et technologies déployés, de répondre en amont à une grille d'exigences et de recetter ces exigences en aval du projet.
L'équipe sécurité va également se consacrer à de nouveaux projets, et notamment en matière de sécurité physique, via la création d'une nouvelle salle d'hébergement informatique. Celle-ci sera implantée sur un autre site afin de répartir les risques dans le cadre d'une démarche de PRA.
Le CHU de Strasbourg est également conscient de la nécessité de définir des spécifications de sécurité avec les fournisseurs d'équipements biomédicaux, de plus en plus interconnectés au reste du système d'information. Un groupement de RSSI de CHU devrait d'ailleurs être actif dès septembre 2008 pour aborder notamment cette problématique.