TABLE RONDE RETOURS D'EXPÉRIENCE DES DIRECTEURS - Jean-Jacques Guérin, Directeur de l'ADAPT Loiret Francis Gest, DSI du CHR d'Orléans Claire ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Jean-Jacques Guérin, Directeur de l’ADAPT Loiret Francis Gest, DSI du CHR d’Orléans Claire Rousseau, Directrice des soins du CH Henri Ey Jean-François Goglin, correspondant SI de la FEHAP TABLE RONDE RETOURS D’EXPÉRIENCE DES DIRECTEURS
Jean-Jacques Guérin, Directeur de l’ADAPT Loiret IMPLICATION DE LA DIRECTION RETOURS D’EXPÉRIENCE DES DIRECTEURS
L’ADAPT Dès 1926, Suzanne Fouché réclame l’indépendance financière des personnes handicapées Au Congrès international du service social du 6 juillet 1926, Suzanne FOUCHE déclare : « Il faut adapter le diminué physique au travail et en même temps adapter le travail au diminué physique ». Les bases de la Ligue pour l’adaptation du diminué physique au travail sont jetées. Sa première mission : sensibiliser les pouvoirs publics. Le 8 juin 1929, création de L’ADAPT. Le but déclaré de cette nouvelle association : que la personne handicapée retrouve sa dignité par une réinsertion dans la société active et professionnelle. En 1934, l’association est reconnue d’utilité publique. Ouverture en 1937 - 1938 des premiers ateliers occupationnels (Paris, Nogent sur Marne, Metz) L’ADAPT qui donnent la possibilité à celles et ceux qui y sont accueillis de s’initier à des professions telles que menuiserie, cordonnerie, reliure d’ouvrages… 1945 marque la troisième grande étape du développement de L’ADAPT, celle de la création des établissements de formation professionnelle et, plus tard, des centres de médecine physique.
L’ADAPT Dès 1948, l’association multiplie les créations de centres de formation (Sarcelles, Peyrieu), puis Évian, enfin Auxerre/Pontigny (1968), Le Mans/Saint-Saturnin (1982), Troyes (1985)… Dans les années 1950, les premiers ateliers protégés et CAT apparaissent (Pré-Saint-Gervais, Quessigny, Nacqueville, Pontmain). Les personnes accueillies voient leurs possibilités de travail prouvées par l’action de L’ADAPT, et qu’une vie autonome est possible malgré le handicap. C’est au milieu des années 1950 que les premiers centres dédiés aux enfants apparaissent. Brest sera le premier centre de rééducation fonctionnelle pour enfant de L’ADAPT en 1955. Il sera très vite suivi par l’ouverture de Cambrai en 1958, Ouzouer en 1959 et de Bayeux en 1962. L’objectif qui est assigné à ces nouvelles structures est de procurer aux enfants accueillis les conditions optimales pour mener de front leur rééducation fonctionnelle et une scolarité qui leur permettra se former à un métier en accord avec leurs possibilités. En 1969, le Centre de Bordeaux/Cénac, démarre son activité, concentré sur l’émergence, à côté des handicaps physiques, des besoins des personnes cérébro-lésées. 1989, décès de la fondatrice, Suzanne Fouché.
L’ADAPT
Les 4 axes prioritaires de l’association :
Soigner la personne dans sa
globalité,
Préparer l’avenir des jeunes avec les
jeunes,
Sécuriser les parcours de chacun,
Innover sur toutes les formes
d’insertion et d’accompagnement des
personnes en situation de handicap.
Le Réseau des Réussites
C’est un réseau national de
bénévoles qui proposent
un parrainage à toute
Personne handicapée qui
en a besoin. Le parrain la
conseille et l’accompagne
dans sa Recherche
d’emploi
L’ADAPT Loiret
Innover sur
Préparer toutes les
Soigner la Sécuriser les
Les axes du PE l’avenir des formes
personne dans parcours de
2012 - 2016 jeunes avec d’accompa-
sa globalité chacun
les jeunes
gnement
Maintenir le
Développer les Scolariser Déployer le
CMPR pôle de Agir sur la
médecines d’abord en Réseau des
référence en prévention
associatives milieu ordinaire Réussites
Région Centre
Garantir la
Diversifier les Ouvrir à Faire de chacun
performance Valoriser tous
modes de prise l’enseignement le pilote de son
globale du les potentiels
en charge supérieur projet
Centre
Développer les Mobiliser les Créer de
coopérations filières et les nouvelles voies Devancer le
amont et aval réseaux pour l’emploi vieillissement
Promouvoir Construire Réinventer
Participer au
l’éducation l’autonomie l’accès à
projet associatif
thérapeutique progressive l’emploi
Chiffres clés
Plus 15%
L’ADAPT Loiret
Le SI à L’ADAPT Loiret
Contexte
Au niveau national, il n’existe pas de Schéma Directeur des
Systèmes d’Information du siège de l’association.
Sur le plan local, la réorganisation complète du système
d’information réalisée depuis 2008 repose sur trois facteurs :
l’implantation du centre sur le site d’Amilly fin 2007, la montée
en charge de l’activité entre 2008 et 2011, et parallèlement,
l’augmentation des effectifs.
Les axes principaux du précédent SDSI étaient :
1. l’organisation autour du service au patient et l’utilisation d’un
dossier médical unique,
2. l’accès aux informations en temps réel pour l’ensemble du
personnel,
3. la maîtrise de la gestion des risques informatiques.
Les programmes stratégiques spécifiques à mettre en œuvre
concernaient :
1. l’assurance de services de qualité,
2. la sécurisation des données,
3. l’amélioration de la réactivité.
L’architecture
Local VDI Local VDI
- Aile B - Aile A
Local informatique
Local VDI
- RDC Accueil - RDC
- RDC
Serveurs
Local VDI - sous-sol
Routeur
Accès internet
SERVEURS SERVEURS SERVEURS
PHYSIQUES VIRTUELS EXTERNES
Serveur principal : Serveur dédié à la Serveurs dédiés
gestion du réseau consultation aux applications
d’archives comptables comptables et RH
Serveur TSE :
gestion des clients
légers
Données médicales et paramédicales Gestion administrative du patient
Serveur dédié aux
ééducation
PMSI Facturation
applications médicales
Serveur dédié à une
application d’analyse
de l’activité de
l’établissementLes outils
Applications « locales »
OCTIME : logiciel de gestion du temps
PMSIpilot : logiciel d’analyse de l’activité
MiniMaint : logiciel de Gestion Maintenance Assistée par
Ordinateur
Applications « siège »
les outils comptables, financiers et de gestion des
ressources humaines : FIRST de l’éditeur ALFA, GRH de
l’éditeur ALFA
le bureau collaboratif virtuel fournissant messagerie,
agenda, carnet d’adresses et plateforme d’échange de
fichiers (Google Apps)Le champ d’opération
Le personnel
150 salariés 0,75 ETP
Le parcFlux d’information entre L’ADAPT Loiret
et l’extérieur
S
tablissements de
Laboratoire santé et médico-
d’anal ses
sociau
biologi ues
Patients
S
utuelles
CP Loiret
S Centre ISynoptique du système d’information cible
tablissements de
santé et médico-
sociau
Patients
S
Laboratoire
utuelles d’anal ses
biologi ues
CP Loiret
S
S Centre IL’implication de la direction Le tout informatique avec un logiciel unique porté par la communauté médicale Un objectif zéro papier pour le dossier médical atteint en 2013 Un système « semi-ouvert » avec des intervenants extérieurs multiples (médecin d’astreinte à domicile, DAI, prestataire réseau et machines) Un audit de sécurité et de diagnostic avec un plan d’actions en 97 étapes Hôpital Numérique et ses indicateurs
Francis Gest, DSI du CHR d’Orléans DÉMARCHE SÉCURITÉ AU CHRO RETOURS D’EXPÉRIENCE DES DIRECTEURS
CHRO : Démarche Sécurité Introduction Qualité et Sécurité Composants (organisationnels, documentaires, techniques) Gestion de projet Contrôles Eléments financiers Evolutions et Challenges
Démarche Sécurité au NHO
Depuis 2010, …
Nuisance à l’image de l’établissement:
2 piratages sur site externe (Serveur de veille)
2 piratages sur site internet du CHRO
Indisponibilité majeure du SIH:
1 attaque virale majeure
Rupture réseau: 2 incidents majeurs
Problème climatisation salle serveurs: 2
Confidentialité:
Rupture de confidentialité, Dossier Médical : 3
Faille de confidentialité, Résultats laboratoire : 1
Non respect du protocole de non divulgation de présence d’un
patient : 1
Trafic Messagerie:
65% de messages refusés ou en quarantaineQualité et Sécurité
La démarche de certification ISO-20000:
Sur 3 services pilotes en 2014
Processus transverses traitant de la sécurité
La gestion de la sécurité
Politique de sécurité: définir – communiquer
– évaluer et gérer les risques -
Contrôles
Changements et incidents de sécurité
Surveillance, amélioration continue
La gestion de la Continuité et de la Disponibilité
La gestion des Mises en Production
La gestion des ChangementsQualité et Sécurité Audit Blanc d’Octobre 2013
Composants de la Sécurité
Organisation
Consultant sécurité rattaché au Département de
l’Information Médicale
Egalement Correspondant Informatique et Liberté
Etablissement de la Politique Sécurité et Mise en
œuvre sous la responsabilité du RSI
Gestion des couches techniques par le secteur
Infrastructures et Production
Comité Sécurité : à formaliser, en complément
des actuels comités de Vigilance et Risques et
Identito-Vigilance
FEIs et Incidents de SécuritéComposants de la Sécurité
Composants Documentaires
Une Politique Sécurité validée
Une Analyse de Risques
Une Charte de Bonne Utilisation des Ressources
Informatiques, avec déclinaison spécifique pour le Dossier
patient
Une Charte d’Accès Internet
Un Article du Règlement Intérieur
A améliorer: la formalisation de la prise de connaissance
des chartes, obligation de
signature/communication/information récurrenteDémarche Sécurité
Composants Techniques
Sécurisation Réseau Etendu:
Cluster de Firewalls,
Filtrage des ports et des protocoles,
Authentification des accès internet et contrôle durée
Segmentation usages (téléphonie, data)
Sécurisation Navigation Internet:
Antivirus
Filtrage des applications, des sites,
Traçabilité et historisation
Sécurisation Messagerie
Antivirus (2) et antispams
Traçabilité des connexions SMTP
Antivirus serveur et postes
Contrôles d’accès (profils applicatifs, gestion des mots de
passe, déconnexions, procédure de télémaintenance)Sécurité et Gestion de Projet
Spécifications d’un nouveau projet
Gestion des utilisateurs et droits d’accès
Conditions de la télémaintenance
Prérequis techniques d’installation
En phase de progression pour le biomédical,
et la gestion technique des bâtiments.
Analyse de risques de déploiement DPPI
Avec une catégorie de risques « Confidentialité »
~10 risques identifiésAudits et Contrôles
Audits :
Dans le cadre du projet de certification
Audit sécurité en 2010
Incidents Sécurité :
Suivi spécifique des incidents de sécurité
3,5% des FEIs depuis 01/01/2013
Analyse de l’utilisation d’internet
Audit des traces d’accès Internet, dans le cadre d’utilisation
abusive des ressources informatiquesAudits et Contrôles
Audit de confidentialité :
Mise en place d’une procédure de non-divulgation de présence
au cours d’une hospitalisation
25 demandes de patients faites de Janvier à Avril 2014
Suivi des accès aux dossiers médicaux, de laboratoire et de
radiologie, conformément au décret confidentialité
n° 2007-960 du 15 mai 2007
14 dossiers de suivi et analyse des accès aux informations
médicales de patients dits « sensibles » en 2014Eléments Financiers
Ressources Humaines :
10% consultant sécurité: négocié annuellement
Responsable Secteur Qualité, RSI, Ingénieur Infrastructure
Pour les nouveaux projets :
400 K€ investissement,
soit 3,5% budget,
soit 12% hors DPPI et hors NHO
10 K€ fonctionnement,
soit 0,6% budget
Faire face aux challenges, pas uniquement par
l’investissement : formations, audits,
sensibilisations, etc.Evolutions et Challenges
Applications externalisées:
Site Internet
Plateformes avec données établissements
Téléphonie sur IP et Visio
Ouverture du SIH : professionnels et patients
Mobilité et BYOD
Attente des utilisateurs versus règles de
sécurité:
Processus de connexion
Accès Internet de plus en plus critique
Lacunes fonctionnelles des logiciels métiers constituent une
difficulté pour l’adhésion aux règles de sécuritéClaire Rousseau, Directrice des soins du CH Henri Ey CONTRÔLE DES ACCÈS AU DPI RETOURS D’EXPÉRIENCE DES DIRECTEURS
Contrôler les accès au dossier patient
informatisé
« Partager l’information pour
mieux soigner, contrôler les accès
pour mieux cadrer »Contexte : le projet Cariatides Un projet ambitieux visant à résoudre un problème de transmission d’informations inter et intra service mis en avant lors d’un audit du dossier papier en 2009 : l’objectif étant une informatisation totale de l’ensemble des métiers et spécialités constituant le dossier patient en 18 mois avec un maximum de partage d’information. Ainsi, le dossier patient informatisé couvre l’ensemble des métiers et la plus grande partie des processus de soin sur l’ensemble des services : - Médecins : Observations, prescription médicamenteuse, résultats de laboratoire, agenda. - Infirmiers : Observations, transmissions ciblées, constantes, planification des soins, distribution du médicament etc. - Psychologues, éducateurs, assistantes sociales, animateurs, assistantes médico administratives, admissions, DIM. Aujourd’hui, le dossier papier est quasiment vide
Quelques chiffres
Au CH Henri EY, 801 personnes sont des utilisateurs
nominatifs de l’informatique dont 626 accèdent au
Dossier Patient Informatisé.
En moyenne 321 personnes différentes se connectent
au DPI chaque jour.
En 2013, ont étés saisis par les professionnels de
santé :
254 402 actes ou rendez vous ambulatoires.
107 053 observations.
31 557 ordonnances.
130 605 transmissions ciblées
Ainsi, sur une année, le nombre de consultations d’une
information du dossier patient se chiffre à 1 585 365
accès.Un large partage d’information sous contrôle du DIM Les médecins, avec l’ensemble des autres professionnels de santé, ont décidé d’une ouverture maximum des droits d’accès au dossier pour certaines professions (Médecin, Infirmier, Psychologues, Assistantes Sociale, Secrétaire médicale) et des droits plus restreints à l’unité pour d’autres (AS , étudiants). Le choix a été fait de partager un maximum d’informations entre professionnels de différents horizons. Ce choix est discuté systématiquement à chaque COPIL DPUI (4 fois par an) au travers d’une revue de droits.
CH Henri EY Contrôle des accès au DPI
Problématique : une « mauvaise » pratique
courante
Extrait rapport audit sécurité des SI du 20
janvier au 22 mai 2012 :
« Accès aux ressources :
Les 2/3 des agents audités utilisant Cariatides
consultent les dossiers de patients qui ne sont pas dans
leur unité, et souvent pour des raisons inadaptées. (…)
71,8% des agents concernés disent avoir conscience
des risques encourus par le fait de consulter un dossier
lorsque l'on intervient pas dans la prise en charge.
Pourcentage plus faible que celui définissant la
conscience des risques encourus lors de prêt de carte,
d'ouverture de session pour un collègue, ou utilisation
de la session d'un collègue (85,2%). »CH Henri EY Contrôle des accès au DPI
Généralement bienveillante …
Extrait rapport audit sécurité des SI du 20 janvier au
22 mai 2012 :
« (…) les dossiers doivent être consultés uniquement lorsque
l'on intervient dans la prise en charge.
Toute autre recherche d'information concernant :
– d'anciens patients,
– de suivis potentiels,
– d'ascendants ou de descendants d'un patient
–…
doivent être faites auprès des équipes concernées. »
… mais potentiellement malsaine
« J’ai trouvé une nourrice pour mon enfant, a-t-elle déjà
consulté dans l’établissement ? »Action : organisation de sessions
d’information
Une démarche conjointe de 3 acteurs avec des
rôles propres :
Le Service Informatique : Comment le système trace-t-il
les accès ?
Le Département d’Information Médicale : Comment et à
quelle occasion ces traces sont elles exploitées ?
La Direction des Soins : Quels sont les droits et devoirs des
professionnels de santé et quels sont les risques encourus?Le Service Informatique
Comment le système trace-t-il les accès ?
Les traces sont opposables : En effet, les accès sont
uniquement nominatifs et par carte CPS (Pas de code
générique).
Cariatides trace la totalité des accès : Qui consulte Quoi
et Quand.
Le DIM possède un outils simple de consultation : Le
service informatique a développé un outil permettant de
consulter les traces pour un patient et/ou un agent.
Le service informatique fournit les moyens de tracer et
de consulter les accès au DPI, en aucun cas il ne répond
aux sollicitations d’exploitation de ces traces, cela doit
rester du rôle exclusif du médecin DIM.Le DIM
Comment et à quelle occasion ces traces sont
elles exploitées ?
Information des agents : Une note d’information est
diffusée en préalable des journées d’informations.
Deux procédures de contrôle :
A l’initiative d’une personne : Un médecin ou un cadre
face à une situation particulière sollicite le DIM pour une
surveillance des accès.
De façon aléatoire : Le DIM effectue un contrôle qualité
2 fois par an en tirant au sort 20 dossiers patient pour
chacun des 27 services de l’établissement . Un contrôle
des accès a été ajouté à cet audit.CH Henri EY Contrôle des accès au DPI
CH Henri EY Contrôle des accès au DPI
Consultation des accès.La Direction des Soins
Quels sont les droits et devoirs des
professionnels de santé et quels sont les
risques encourus ?
Quand puis-je consulter le DPI ?
Mêmes règles que pour un dossier papier, uniquement
au moment de la prise en charge du patient.
Cependant, se présentent certains cas de figures pour
lesquels une marge de tolérance est nécessaire : Exemple,
consultation du dossier en vue d’une possible admission.
Quelles sont les conséquences institutionnelles en cas
de manquement ?
Rapport circonstancié suivi d’un rappel à l’ordre voire,
selon la gravité des faits, des sanctions disciplinaires
Quels sont les risques juridiques ?
15 000 € d’amende et un an d’emprisonnement :
Article L1110-4 du code de la santé publiqueJean-François Goglin, correspondant SI de la FEHAP TABLE RONDE RETOURS D’EXPÉRIENCE DES DIRECTEURS
Colloque Sécurité de l’information en ES
le 13 mai 2014 à Blois
Jean-François Goglin– Conseiller national SIS FEHAP
Système d’Information de Santé – JF GOGLIN 151Présentation de la FEHAP
Un modèle de gestion privé non lucratif
Ni actionnaires ni profits.
Des valeurs communes axées sur la solidarité et l’intérêt
collectif.
200 000 professionnels salariés.
Plus de 200 000 lits et places.
Un parc d’environ 60 000 postes de travail.
Plus de 200 métiers concernés.
Système d’Information de Santé – JF GOGLIN 2Les adhérents de la FEHAP Système d’Information de Santé – JF GOGLIN 3
La sécurité doit être prise
dans son ensemble au sein
d’une vision globale du SIS.
Système d’Information de Santé – JF GOGLIN 154Le parcours de vie, architecte du SIS
La vie n’est pas un long workflow tranquille…
SSR SSR
HAD HAD
SSIAD SSIAD
Domicile Médecin Domicile Hôpital Domicile Hôpital
Hôpital Médecin Médecin
traitant traitant traitant
Structure Structure
Handicap Handicap
Structure
Personnes Agées
Naissance Jeunesse et Vieillesse Le parcours
âge adulte de vie
Légende : Sanitaire Médico-social Ville & domicile
Système d’Information de Santé – JF GOGLIN ; M LABROUSSE ; P KELDER 155Un changement de paradigme
Le parcours de vie est trans-territorial.
Le parcours de vie est trans-organisationnel.
Le parcours de vie est stratégique.
Le parcours de vie est un iceberg dont la face
immergée s’appelle le « quantified self » ou
l’automesure.
La sécurité est présente partout.
Chacun des maillons de ce
parcours de vie présente
des vulnérabilités du point
de vue du système
d’information de santé.
Système d’Information de Santé – JF GOGLIN 156Un changement de paradigme
Le parcours de vie est le pivot permettant de
passer d’un monde de prises en charges
cloisonnées à un monde de santé et de bien-être
individualisé et humain servi par un système
d’information digital au service du citoyen-
usager-patient.
Système d’Information de Santé – JF GOGLIN 157Du parcours de vie au SIS
Au cours de son existence, le citoyen-
patient évolue au sein de son
parcours de vie.
Au sein du parcours de vie, il va
rencontrer un ou plusieurs parcours
de soins, lesquels feront l’objet d’une
prise en charge réalisée au sein d’un
ou plusieurs établissements.
Concernant le Système d’Information
de Santé de l’établissement concerné,
pour le parcours de soins considéré,
seules certaines applications seront
utilisées à l’instant t.
Ces applications sont référencées et
cartographiées dans un modèle
descriptif organisé, appelé carte
urbanisée de l’établissement. Cette
carte des applications du système
d’information de l’établissement est la
boussole de son responsable
informatique.
Système d’Information de Santé – JF GOGLIN 158Un SIS différent par type d’établissement.
Modèle urbanisé type du SSR (source FEHAP) :
Système d’Information de Santé – JF GOGLIN 159Focus sur la faible qualité
logicielle et ses
conséquences sur le
terrain.
Système d’Information de Santé – JF GOGLIN 160L’insécurité liée à la faible qualité logicielle
Le constat :
Beaucoup d’observations.
Beaucoup de déclarations.
Beaucoup d’intentions…
Et peu d’action!!!!
C’est la vocation de la FEHAP d’être dans l’action pour ses
adhérents et auprès d’eux.
Attention, les nombreux acronymes utilisés dans le monde de la
sécurité sont incompréhensibles pour le profane.
La sécurité doit être globale, efficace, et… simple à comprendre
pour le décideur.
Système d’Information de Santé – JF GOGLIN 161L’insécurité liée à la faible qualité logicielle
La complexité des logiciels ne cesse d’augmenter
… et souvent le nombre de bugs aussi….
Nous observons que certains logiciels, ne font
plus l’objet d’évolutions et leurs bugs restent en
souffrance pendant des semaines ou même des
mois.
Parfois la maintenance s’arrête… (exemple
Windows XP).
D’autres s’avèrent inexploitables du fait de temps
de réponses trop longs créant un très fort
mécontentement des utilisateurs, voire des
contentieux avec les éditeurs concernés.
Le nombre de patchs et de correctifs explose chez
certains éditeurs.
Système d’Information de Santé – JF GOGLIN 162L’insécurité liée à la faible qualité logicielle
Quelques bugs significatifs :
Suite à une mauvaise conception du logiciel, le poids du
patient est différent d’un dossier de spécialité à l’autre
induisant de possibles erreurs de calcul de l’Indice de
Masse Corporelle.
La nouvelle version d‘une application médicale, dont la
prescription connectée à un pousse seringue électrique a
été insuffisamment testée, est mise en production sur
plusieurs sites et ne fonctionne pas correctement, créant
un risque patient détecté in extremis par un établissement
client.
Système d’Information de Santé – JF GOGLIN 163L’insécurité liée à la faible qualité logicielle
Quelques bugs significatifs :
Ailleurs, un service clinique reçoit du laboratoire un
résultat d’analyse d’une ponction lombaire, alors que le
patient concerné n’a pas subi de ponction de ce type ,
démontrant ainsi une mauvaise interopérabilité entre
deux logiciels et induisant un risque patient. En
conséquence, et faute de confiance dans le système, le
projet, pourtant finalisé a été arrêté et le logiciel mis au
rebut, induisant pour l’établissement une perte de
centaines de milliers d’euros du fait que l’investissement
initial a été perdu et qu’il a fallu ensuite réinvestir dans
une nouvelle solution.
Système d’Information de Santé – JF GOGLIN 164L’insécurité liée à la faible qualité logicielle
Les conséquences de cette non-qualité :
L’émergence de risques patients susceptibles de provoquer le
décès du patient.
Une sécurité des données insuffisante.
La perte de confiance dans le système pouvant aboutir à un
rejet.
Des erreurs de «casting» dans le choix de solutions
informatiques.
Des contentieux avec les éditeurs.
Des retards dans les projets.
Un taux de disponibilité des logiciels qui chute du fait des
programmes correctifs, nécessitant l’arrêt de l’application à
mettre à jour, créant à chaque fois le mécontentement des
utilisateurs. Cette indisponibilité va à l’encontre des exigences
formulées par la DGOS dans le cadre des prérequis du
programme Hôpital Numérique (notamment les indicateurs P2.2
et P2.3).
Un important coût de non productivité pour l’établissement.
Une mauvaise image de marque de certains éditeurs.
Système d’Information de Santé – JF GOGLIN 165L’insécurité liée à la faible qualité logicielle
Combien coûte un bug informatique bloquant ou
susceptible d’introduire un risque patient ?
Le coût estimé, pour un
établissement de santé de
400 lits, de la non-
productivité liée à la
correction d’un bug est de
32000 €.
Le coût national annuel
estimé de la non
productivité des
établissements liée à la
correction des bugs avoisine
le demi-milliard d’euros.
Système d’Information de Santé – JF GOGLIN 166Quant aux données…
Le 12 mai, le FBI a lancé une alerte concernant la
démultiplication des attaques et des vols
concernant les dossiers patients.
Ces données ont une valeur marchande avec une
valorisation très intéressante pour les
cybercriminels.
Ces attaques sont très préoccupantes pour les
petits établissements qui disposent de faibles
moyens sécuritaires et de très peu d’expertise.
Accompagner les petits établissements constitue un enjeu majeur
notamment pour la puissance publique qui doit s’emparer du 6e
risque, constitué de la dépendance aux technologies.
Système d’Information de Santé – JF GOGLIN 167Passer à l’action :
Quelques actions de la
FEHAP concernant la
sécurité.
Système d’Information de Santé – JF GOGLIN 168Quelques actions de la FEHAP
Comité de Pilotage Hôpital Numérique.
Membre de la Commission nationale Open Data en santé.
Travaux d’urbanisation faisant l’objet de dépôts auprès de
l’INPI (projet « baromètre des éditeurs »).
Participation aux travaux de la PGSSI.
Participation aux travaux de labellisation des logiciels
« Hôpital Numérique ».
Participation aux travaux de l’ASIP Santé.
Participation aux travaux de l’ANAP.
Journées thématiques concernant la sécurité.
Participation à l’élaboration de la nouvelle charte BP6 de
LESSIS (nouvelle version).
Création de l’observatoire de la gouvernance des projets
informatiques avec LESSIS et l’ASINPAH.
Rédaction de cahiers des charges types (externalisation de
son SIS,…).
Système d’Information de Santé – JF GOGLIN 169Conclusion Système d’Information de Santé – JF GOGLIN ; M LABROUSSE ; P KELDER 170
Conclusion
La sécurité est un problème global.
La sécurité est une dimension du 6e risque.
Tous les maillons de la chaîne doivent être
examinés et analysés.
Mais les vulnérabilités viennent aussi de l’intérieur,
ce sont souvent les plus imprévisibles.
La première action passe par un changement de
culture et donc par un accompagnement des
établissements de santé. Cet accompagnement
doit être réalisé par tous les acteurs (puissance
publique, fédérations, industriels,…).
Système d’Information de Santé – JF GOGLIN ; M LABROUSSE ; P KELDER 171Merci pour votre attention.
Questions/réponses
Jean-François Goglin – Conseiller SIS
jeanfrancois.goglin@fehap.fr
tel : 06 62 79 27 81
Système d’Information de Santé – JF GOGLIN ; M LABROUSSE ; P KELDER 172Vous pouvez aussi lire
