TABLE RONDE RETOURS D'EXPÉRIENCE DES DIRECTEURS - Jean-Jacques Guérin, Directeur de l'ADAPT Loiret Francis Gest, DSI du CHR d'Orléans Claire ...

 
TABLE RONDE RETOURS D'EXPÉRIENCE DES DIRECTEURS - Jean-Jacques Guérin, Directeur de l'ADAPT Loiret Francis Gest, DSI du CHR d'Orléans Claire ...
Jean-Jacques Guérin, Directeur de l’ADAPT Loiret
Francis Gest, DSI du CHR d’Orléans
Claire Rousseau, Directrice des soins du CH Henri Ey
Jean-François Goglin, correspondant SI de la FEHAP

TABLE RONDE
RETOURS D’EXPÉRIENCE
DES DIRECTEURS
TABLE RONDE RETOURS D'EXPÉRIENCE DES DIRECTEURS - Jean-Jacques Guérin, Directeur de l'ADAPT Loiret Francis Gest, DSI du CHR d'Orléans Claire ...
Jean-Jacques Guérin, Directeur de l’ADAPT Loiret

IMPLICATION DE LA DIRECTION
RETOURS D’EXPÉRIENCE
DES DIRECTEURS
TABLE RONDE RETOURS D'EXPÉRIENCE DES DIRECTEURS - Jean-Jacques Guérin, Directeur de l'ADAPT Loiret Francis Gest, DSI du CHR d'Orléans Claire ...
L’ADAPT
 Dès 1926, Suzanne Fouché                  réclame l’indépendance financière
  des personnes handicapées

 Au Congrès international du service social du 6
  juillet 1926, Suzanne FOUCHE déclare : « Il faut adapter le
  diminué physique au travail et en même temps adapter le travail au
  diminué physique ». Les bases de la Ligue pour l’adaptation du diminué
  physique au travail sont jetées. Sa première mission : sensibiliser les
  pouvoirs publics.

 Le 8 juin 1929,       création de L’ADAPT. Le but déclaré de cette nouvelle
  association : que la personne handicapée retrouve sa dignité par une
  réinsertion dans la société active et professionnelle.

 En 1934,     l’association est reconnue d’utilité publique.

 Ouverture en 1937 - 1938               des premiers ateliers occupationnels
  (Paris, Nogent sur Marne, Metz) L’ADAPT qui donnent la possibilité à celles
  et ceux qui y sont accueillis de s’initier à des professions telles que
  menuiserie, cordonnerie, reliure d’ouvrages…

 1945     marque la troisième grande étape du développement de L’ADAPT,
  celle de la création des établissements de formation professionnelle et, plus
  tard, des centres de médecine physique.
TABLE RONDE RETOURS D'EXPÉRIENCE DES DIRECTEURS - Jean-Jacques Guérin, Directeur de l'ADAPT Loiret Francis Gest, DSI du CHR d'Orléans Claire ...
L’ADAPT
 Dès 1948,     l’association multiplie les créations de centres de formation
  (Sarcelles, Peyrieu), puis Évian, enfin       Auxerre/Pontigny (1968), Le
  Mans/Saint-Saturnin (1982), Troyes (1985)…

 Dans     les   années       1950,  les premiers ateliers protégés               et   CAT
  apparaissent (Pré-Saint-Gervais, Quessigny, Nacqueville, Pontmain).

  Les personnes accueillies voient leurs possibilités de travail prouvées par l’action de
  L’ADAPT, et qu’une vie autonome est possible malgré le handicap.

 C’est au milieu des années 1950            que les premiers centres dédiés aux
  enfants apparaissent. Brest sera le premier centre de rééducation fonctionnelle
  pour enfant de L’ADAPT en 1955. Il sera très vite suivi par l’ouverture de
  Cambrai en 1958, Ouzouer en 1959 et de Bayeux en 1962.

  L’objectif qui est assigné à ces nouvelles structures est de procurer aux enfants
  accueillis les conditions optimales pour mener de front leur rééducation fonctionnelle et
  une scolarité qui leur permettra se former à un métier en accord avec leurs possibilités.

 En 1969,    le Centre de Bordeaux/Cénac, démarre son activité, concentré sur
  l’émergence, à côté des handicaps physiques, des besoins des personnes
  cérébro-lésées.

 1989,   décès de la fondatrice, Suzanne Fouché.
TABLE RONDE RETOURS D'EXPÉRIENCE DES DIRECTEURS - Jean-Jacques Guérin, Directeur de l'ADAPT Loiret Francis Gest, DSI du CHR d'Orléans Claire ...
L’ADAPT
Les 4 axes prioritaires de l’association :

       Soigner la personne dans sa
    globalité,
       Préparer l’avenir des jeunes avec les
    jeunes,
       Sécuriser les parcours de chacun,
       Innover sur toutes les formes
    d’insertion et d’accompagnement des
    personnes en situation de handicap.

                                             Le Réseau des Réussites
                                             C’est un réseau national de
                                             bénévoles qui proposent
                                             un parrainage à toute
                                             Personne handicapée qui
                                             en a besoin. Le parrain la
                                             conseille et l’accompagne
                                             dans      sa     Recherche
                                             d’emploi
TABLE RONDE RETOURS D'EXPÉRIENCE DES DIRECTEURS - Jean-Jacques Guérin, Directeur de l'ADAPT Loiret Francis Gest, DSI du CHR d'Orléans Claire ...
L’ADAPT Loiret

                                                                                  Innover sur
                                             Préparer                              toutes les
                        Soigner la                             Sécuriser les
Les axes du PE                             l’avenir des                             formes
                      personne dans                            parcours de
 2012 - 2016                               jeunes avec                            d’accompa-
                       sa globalité                              chacun
                                            les jeunes
                                                                                   gnement

    Maintenir le
                         Développer les        Scolariser                            Déployer le
   CMPR pôle de                                                    Agir sur la
                           médecines          d’abord en                             Réseau des
    référence en                                                   prévention
                          associatives      milieu ordinaire                          Réussites
   Région Centre

     Garantir la
                        Diversifier les         Ouvrir à                           Faire de chacun
    performance                                                  Valoriser tous
                        modes de prise      l’enseignement                         le pilote de son
     globale du                                                  les potentiels
                          en charge            supérieur                                 projet
       Centre

   Développer les        Mobiliser les         Créer de
    coopérations         filières et les    nouvelles voies       Devancer le
   amont et aval             réseaux         pour l’emploi       vieillissement

                          Promouvoir           Construire          Réinventer
    Participer au
                           l’éducation        l’autonomie           l’accès à
  projet associatif
                         thérapeutique        progressive           l’emploi
TABLE RONDE RETOURS D'EXPÉRIENCE DES DIRECTEURS - Jean-Jacques Guérin, Directeur de l'ADAPT Loiret Francis Gest, DSI du CHR d'Orléans Claire ...
Chiffres clés

                Plus 15%
TABLE RONDE RETOURS D'EXPÉRIENCE DES DIRECTEURS - Jean-Jacques Guérin, Directeur de l'ADAPT Loiret Francis Gest, DSI du CHR d'Orléans Claire ...
L’ADAPT Loiret
TABLE RONDE RETOURS D'EXPÉRIENCE DES DIRECTEURS - Jean-Jacques Guérin, Directeur de l'ADAPT Loiret Francis Gest, DSI du CHR d'Orléans Claire ...
Le SI à L’ADAPT Loiret
 Contexte
     Au niveau national, il n’existe pas de Schéma Directeur des
      Systèmes d’Information du siège de l’association.
     Sur le plan local, la réorganisation complète du système
      d’information réalisée depuis 2008 repose sur trois facteurs :
      l’implantation du centre sur le site d’Amilly fin 2007, la montée
      en charge de l’activité entre 2008 et 2011, et parallèlement,
      l’augmentation des effectifs.
     Les axes principaux du précédent SDSI étaient :
      1.    l’organisation autour du service au patient et l’utilisation d’un
            dossier médical unique,
      2.    l’accès aux informations en temps réel pour l’ensemble du
            personnel,
      3.    la maîtrise de la gestion des risques informatiques.
     Les programmes stratégiques spécifiques à mettre en œuvre
      concernaient :
      1.   l’assurance de services de qualité,
      2.   la sécurisation des données,
      3.   l’amélioration de la réactivité.
TABLE RONDE RETOURS D'EXPÉRIENCE DES DIRECTEURS - Jean-Jacques Guérin, Directeur de l'ADAPT Loiret Francis Gest, DSI du CHR d'Orléans Claire ...
L’architecture
                                                                                 Local VDI         Local VDI
                                                                                  - Aile B          - Aile A

                                                       Local informatique
                                                                                             Local VDI
                                                              - RDC                                                     Accueil - RDC
                                                                                               - RDC
                                                       Serveurs

                                                                                      Local VDI - sous-sol
                                                                                      Routeur
                                                                                      Accès internet
      SERVEURS                  SERVEURS               SERVEURS
      PHYSIQUES                  VIRTUELS              EXTERNES

Serveur principal :      Serveur dédié à la      Serveurs dédiés
gestion du réseau        consultation            aux applications
                         d’archives comptables   comptables et RH

                         Serveur TSE :
                         gestion des clients
                         légers
                                                 Données médicales et paramédicales                            Gestion administrative du patient

Serveur dédié aux
                                                                                              ééducation
                                                                        PMSI                                        Facturation
applications médicales

Serveur dédié à une
application d’analyse
de l’activité de
l’établissement
Les outils

 Applications « locales »
     OCTIME : logiciel de gestion du temps
     PMSIpilot : logiciel d’analyse de l’activité
     MiniMaint : logiciel de Gestion Maintenance Assistée par
      Ordinateur

 Applications « siège »
     les outils comptables, financiers et de gestion des
      ressources humaines : FIRST de l’éditeur ALFA, GRH de
      l’éditeur ALFA
     le bureau collaboratif virtuel fournissant messagerie,
      agenda, carnet d’adresses et plateforme d’échange de
      fichiers (Google Apps)
Le champ d’opération

            Le personnel

 150 salariés               0,75 ETP

            Le parc
Flux d’information entre L’ADAPT Loiret
et l’extérieur

                 S
                                    tablissements de
                     Laboratoire   santé et médico-
                      d’anal ses
                                         sociau
                     biologi ues

      Patients

        S

     utuelles

CP      Loiret

     S Centre        I
Synoptique du système d’information cible

                    tablissements de
                   santé et médico-
                         sociau
  Patients

          S

                                       Laboratoire
       utuelles                         d’anal ses
                                       biologi ues

  CP      Loiret

                                            S
       S Centre        I
L’implication de la direction
 Le tout informatique avec un logiciel unique
  porté par la communauté médicale
 Un objectif zéro papier pour le dossier
  médical atteint en 2013
 Un système « semi-ouvert » avec des
 intervenants extérieurs multiples (médecin
 d’astreinte à domicile, DAI, prestataire
 réseau et machines)
 Un audit de sécurité et de diagnostic avec
  un plan d’actions en 97 étapes
 Hôpital Numérique et ses indicateurs
Francis Gest, DSI du CHR d’Orléans

DÉMARCHE SÉCURITÉ AU CHRO
RETOURS D’EXPÉRIENCE
DES DIRECTEURS
CHRO : Démarche Sécurité

Introduction
Qualité et Sécurité
Composants (organisationnels,
 documentaires, techniques)
Gestion de projet
Contrôles
Eléments financiers
Evolutions et Challenges
Démarche Sécurité au NHO
                         Depuis 2010, …

 Nuisance à l’image de l’établissement:
      2 piratages sur site externe (Serveur de veille)
      2 piratages sur site internet du CHRO
 Indisponibilité majeure du SIH:
      1 attaque virale majeure
      Rupture réseau: 2 incidents majeurs
      Problème climatisation salle serveurs: 2
 Confidentialité:
      Rupture de confidentialité, Dossier Médical : 3
      Faille de confidentialité, Résultats laboratoire : 1
      Non respect du protocole de non divulgation de présence d’un
       patient : 1
 Trafic Messagerie:
   65% de messages refusés ou en quarantaine
Qualité et Sécurité
   La démarche de certification ISO-20000:
   Sur 3 services pilotes en 2014

   Processus transverses traitant de la sécurité

   La gestion de la sécurité

      Politique de sécurité: définir – communiquer
       – évaluer et gérer les risques -
      Contrôles

      Changements et incidents de sécurité

      Surveillance, amélioration continue

   La gestion de la Continuité et de la Disponibilité

   La gestion des Mises en Production

   La gestion des Changements
Qualité et Sécurité
Audit Blanc d’Octobre 2013
Composants de la Sécurité
Organisation
     Consultant sécurité rattaché au Département de
      l’Information Médicale
     Egalement Correspondant Informatique et Liberté
     Etablissement de la Politique Sécurité et Mise en
      œuvre sous la responsabilité du RSI
     Gestion des couches techniques par le secteur
      Infrastructures et Production
     Comité Sécurité : à formaliser, en complément
      des actuels comités de Vigilance et Risques et
      Identito-Vigilance
     FEIs et Incidents de Sécurité
Composants de la Sécurité
 Composants Documentaires
     Une Politique Sécurité validée

     Une Analyse de Risques

     Une Charte de Bonne Utilisation des Ressources
      Informatiques, avec déclinaison spécifique pour le Dossier
      patient

     Une Charte d’Accès Internet

     Un Article du Règlement Intérieur

     A améliorer: la formalisation de la prise de connaissance
      des chartes, obligation de
      signature/communication/information récurrente
Démarche Sécurité
Composants Techniques
    Sécurisation Réseau Etendu:
         Cluster de Firewalls,
         Filtrage des ports et des protocoles,
         Authentification des accès internet et contrôle durée
         Segmentation usages (téléphonie, data)
    Sécurisation Navigation Internet:
         Antivirus
         Filtrage des applications, des sites,
         Traçabilité et historisation
    Sécurisation Messagerie
         Antivirus (2) et antispams
         Traçabilité des connexions SMTP
    Antivirus serveur et postes
    Contrôles d’accès (profils applicatifs, gestion des mots de
     passe, déconnexions, procédure de télémaintenance)
Sécurité et Gestion de Projet

 Spécifications d’un nouveau projet
     Gestion des utilisateurs et droits d’accès

     Conditions de la télémaintenance

     Prérequis techniques d’installation

          En phase de progression pour le biomédical,

          et la gestion technique des bâtiments.

 Analyse de risques de déploiement DPPI
     Avec une catégorie de risques « Confidentialité »

     ~10 risques identifiés
Audits et Contrôles

 Audits :
     Dans le cadre du projet de certification
     Audit sécurité en 2010

 Incidents Sécurité :
     Suivi spécifique des incidents de sécurité
     3,5% des FEIs depuis 01/01/2013

 Analyse de l’utilisation d’internet
     Audit des traces d’accès Internet, dans le cadre d’utilisation
      abusive des ressources informatiques
Audits et Contrôles

 Audit de confidentialité :

     Mise en place d’une procédure de non-divulgation de présence
      au cours d’une hospitalisation
        25 demandes de patients faites de Janvier à Avril 2014

     Suivi des accès aux dossiers médicaux, de laboratoire et de
      radiologie, conformément au décret confidentialité
      n° 2007-960 du 15 mai 2007
        14 dossiers de suivi et analyse des accès aux informations

         médicales de patients dits « sensibles » en 2014
Eléments Financiers
 Ressources Humaines :
     10% consultant sécurité: négocié annuellement
     Responsable Secteur Qualité, RSI, Ingénieur Infrastructure

 Pour les nouveaux projets :
     400 K€ investissement,
        soit 3,5% budget,

        soit 12% hors DPPI et hors NHO

     10 K€ fonctionnement,
        soit 0,6% budget

 Faire face aux challenges, pas uniquement par
  l’investissement : formations, audits,
  sensibilisations, etc.
Evolutions et Challenges
 Applications externalisées:
     Site Internet
     Plateformes avec données établissements
 Téléphonie sur IP et Visio
 Ouverture du SIH : professionnels et patients
 Mobilité et BYOD
 Attente des utilisateurs versus règles de
  sécurité:
     Processus de connexion
     Accès Internet de plus en plus critique
     Lacunes fonctionnelles des logiciels métiers constituent une
      difficulté pour l’adhésion aux règles de sécurité
Claire Rousseau, Directrice des soins du CH Henri Ey

CONTRÔLE DES ACCÈS AU DPI
RETOURS D’EXPÉRIENCE
DES DIRECTEURS
Contrôler les accès au dossier patient
informatisé

   « Partager l’information pour

mieux soigner, contrôler les accès

        pour mieux cadrer »
Contexte : le projet Cariatides
 Un projet ambitieux visant à résoudre un problème de transmission
  d’informations inter et intra service mis en avant lors d’un audit du
  dossier papier en 2009 : l’objectif étant une informatisation totale
  de l’ensemble des métiers et spécialités constituant le dossier patient en
  18 mois avec un maximum de partage d’information.

 Ainsi, le dossier patient informatisé couvre l’ensemble des métiers et la
  plus grande partie des processus de soin sur l’ensemble des services :

- Médecins : Observations, prescription médicamenteuse, résultats de
  laboratoire, agenda.
- Infirmiers : Observations, transmissions ciblées, constantes,
  planification des soins, distribution du médicament etc.
- Psychologues, éducateurs, assistantes sociales, animateurs, assistantes
  médico administratives, admissions, DIM.

  Aujourd’hui, le dossier papier est quasiment vide
Quelques chiffres
  Au CH Henri EY, 801 personnes sont des utilisateurs
   nominatifs de l’informatique dont 626 accèdent au
   Dossier Patient Informatisé.
  En moyenne 321 personnes différentes se connectent
   au DPI chaque jour.
  En 2013, ont étés saisis par les professionnels de
   santé :
       254 402 actes ou rendez vous ambulatoires.
       107 053 observations.
       31 557 ordonnances.
       130 605 transmissions ciblées

  Ainsi, sur une année, le nombre de consultations d’une
   information du dossier patient se chiffre à 1 585 365
   accès.
Un large partage d’information sous
contrôle du DIM

 Les médecins, avec l’ensemble des autres
  professionnels de santé, ont décidé d’une
  ouverture maximum des droits d’accès au
  dossier pour certaines professions (Médecin,
  Infirmier, Psychologues, Assistantes Sociale,
  Secrétaire médicale) et des droits plus restreints
  à l’unité pour d’autres (AS , étudiants).
 Le choix a été fait de partager un maximum
  d’informations entre professionnels de différents
  horizons.
 Ce choix est discuté systématiquement à chaque
  COPIL DPUI (4 fois par an) au travers d’une
  revue de droits.
CH Henri EY Contrôle des accès au DPI
Problématique : une « mauvaise » pratique
courante
   Extrait rapport audit sécurité des SI du 20
    janvier au 22 mai 2012 :
       « Accès aux ressources :
       Les 2/3 des agents audités utilisant Cariatides
        consultent les dossiers de patients qui ne sont pas dans
        leur unité, et souvent pour des raisons inadaptées. (…)
       71,8% des agents concernés disent avoir conscience
        des risques encourus par le fait de consulter un dossier
        lorsque l'on intervient pas dans la prise en charge.
        Pourcentage plus faible que celui définissant la
        conscience des risques encourus lors de prêt de carte,
        d'ouverture de session pour un collègue, ou utilisation
        de la session d'un collègue (85,2%). »
CH Henri EY Contrôle des accès au DPI
 Généralement bienveillante …
     Extrait rapport audit sécurité des SI du 20 janvier au
      22 mai 2012 :
          « (…) les dossiers doivent être consultés uniquement lorsque
           l'on intervient dans la prise en charge.
          Toute autre recherche d'information concernant :
          – d'anciens patients,
          – de suivis potentiels,
          – d'ascendants ou de descendants d'un patient
          –…
          doivent être faites auprès des équipes concernées. »

… mais potentiellement malsaine
     « J’ai trouvé une nourrice pour mon enfant, a-t-elle déjà
      consulté dans l’établissement ? »
Action : organisation de sessions
d’information

 Une démarche conjointe de 3 acteurs avec des
  rôles propres :
     Le Service Informatique : Comment le système trace-t-il
      les accès ?

     Le Département d’Information Médicale : Comment et à
      quelle occasion ces traces sont elles exploitées ?

     La Direction des Soins : Quels sont les droits et devoirs des
      professionnels de santé et quels sont les risques encourus?
Le Service Informatique
 Comment le système trace-t-il les accès ?
     Les traces sont opposables : En effet, les accès sont
      uniquement nominatifs et par carte CPS (Pas de code
      générique).

     Cariatides trace la totalité des accès : Qui consulte Quoi
      et Quand.

     Le DIM possède un outils simple de consultation : Le
      service informatique a développé un outil permettant de
      consulter les traces pour un patient et/ou un agent.

   Le service informatique fournit les moyens de tracer et
  de consulter les accès au DPI, en aucun cas il ne répond
   aux sollicitations d’exploitation de ces traces, cela doit
           rester du rôle exclusif du médecin DIM.
Le DIM

 Comment et à quelle occasion ces traces sont
  elles exploitées ?
     Information des agents : Une note d’information est
      diffusée en préalable des journées d’informations.

     Deux procédures de contrôle :

          A l’initiative d’une personne : Un médecin ou un cadre
           face à une situation particulière sollicite le DIM pour une
           surveillance des accès.

          De façon aléatoire : Le DIM effectue un contrôle qualité
           2 fois par an en tirant au sort 20 dossiers patient pour
           chacun des 27 services de l’établissement . Un contrôle
           des accès a été ajouté à cet audit.
CH Henri EY Contrôle des accès au DPI
CH Henri EY Contrôle des accès au DPI
         Consultation des accès.
La Direction des Soins
 Quels sont les droits et devoirs des
  professionnels de santé et quels sont les
  risques encourus ?
     Quand puis-je consulter le DPI ?
        Mêmes règles que pour un dossier papier, uniquement

         au moment de la prise en charge du patient.
        Cependant, se présentent certains cas de figures pour

         lesquels une marge de tolérance est nécessaire : Exemple,
         consultation du dossier en vue d’une possible admission.
     Quelles sont les conséquences institutionnelles en cas
      de manquement ?
        Rapport circonstancié suivi d’un rappel à l’ordre voire,

         selon la gravité des faits, des sanctions disciplinaires
     Quels sont les risques juridiques ?
        15 000 € d’amende et un an d’emprisonnement :

         Article L1110-4 du code de la santé publique
Jean-François Goglin, correspondant SI de la FEHAP

TABLE RONDE
RETOURS D’EXPÉRIENCE
DES DIRECTEURS
Colloque Sécurité de l’information en ES
                       le 13 mai 2014 à Blois

Jean-François Goglin– Conseiller national SIS FEHAP

        Système d’Information de Santé – JF GOGLIN   151
Présentation de la FEHAP

Un modèle de gestion privé non lucratif
  Ni actionnaires ni profits.
  Des valeurs communes axées sur la solidarité et l’intérêt
  collectif.
  200 000 professionnels salariés.
  Plus de 200 000 lits et places.
  Un parc d’environ 60 000 postes de travail.
  Plus de 200 métiers concernés.
               Système d’Information de Santé – JF GOGLIN              2
Les adhérents de la FEHAP

Système d’Information de Santé – JF GOGLIN           3
La sécurité doit être prise
     dans son ensemble au sein
     d’une vision globale du SIS.

Système d’Information de Santé – JF GOGLIN   154
Le parcours de vie, architecte du SIS
          La vie n’est pas un long workflow tranquille…

                                                                          SSR                                                         SSR

                                                        HAD                                                     HAD

                                                    SSIAD                                                     SSIAD

           Domicile   Médecin    Domicile                                 Hôpital            Domicile                                 Hôpital
Hôpital                                           Médecin                                                    Médecin
                      traitant                    traitant                                                   traitant
                                                              Structure                                                   Structure
                                                              Handicap                                                    Handicap

                                                                                                                     Structure
                                                                                                                  Personnes Agées

          Naissance                                 Jeunesse et                                                Vieillesse     Le parcours
                                                    âge adulte                                                                de vie

            Légende :                       Sanitaire                        Médico-social                         Ville & domicile

                                       Système d’Information de Santé – JF GOGLIN ; M LABROUSSE ; P KELDER                                      155
Un changement de paradigme

Le parcours de vie est trans-territorial.
Le parcours de vie est trans-organisationnel.
Le parcours de vie est stratégique.
Le parcours de vie est un iceberg dont la face
immergée s’appelle le « quantified self » ou
l’automesure.
La sécurité est présente partout.

                                                      Chacun des maillons de ce
                                                      parcours de vie présente
                                                      des vulnérabilités du point
                                                      de    vue    du     système
                                                      d’information de santé.

         Système d’Information de Santé – JF GOGLIN                                 156
Un changement de paradigme

Le parcours de vie est le pivot permettant de
passer d’un monde de prises en charges
cloisonnées à un monde de santé et de bien-être
individualisé et humain servi par un système
d’information digital au service du citoyen-
usager-patient.

         Système d’Information de Santé – JF GOGLIN   157
Du parcours de vie au SIS

                                             Au cours de son existence, le citoyen-
                                             patient évolue au sein de son
                                             parcours de vie.
                                             Au sein du parcours de vie, il va
                                             rencontrer un ou plusieurs parcours
                                             de soins, lesquels feront l’objet d’une
                                             prise en charge réalisée au sein d’un
                                             ou plusieurs établissements.
                                             Concernant le Système d’Information
                                             de Santé de l’établissement concerné,
                                             pour le parcours de soins considéré,
                                             seules certaines applications seront
                                             utilisées à l’instant t.
                                             Ces applications sont référencées et
                                             cartographiées dans un modèle
                                             descriptif organisé, appelé carte
                                             urbanisée de l’établissement. Cette
                                             carte des applications du système
                                             d’information de l’établissement est la
                                             boussole       de     son  responsable
                                             informatique.

Système d’Information de Santé – JF GOGLIN                                       158
Un SIS différent par type d’établissement.

Modèle urbanisé type du SSR (source FEHAP) :

        Système d’Information de Santé – JF GOGLIN   159
Focus sur la faible qualité
                    logicielle et ses
             conséquences sur le
                             terrain.

Système d’Information de Santé – JF GOGLIN   160
L’insécurité liée à la faible qualité logicielle

 Le constat :
  Beaucoup d’observations.
  Beaucoup de déclarations.
  Beaucoup d’intentions…

 Et peu d’action!!!!

C’est la vocation de la FEHAP d’être dans l’action pour ses
adhérents et auprès d’eux.
Attention, les nombreux acronymes utilisés dans le monde de la
sécurité sont incompréhensibles pour le profane.

La sécurité doit être globale, efficace, et… simple à comprendre
pour le décideur.

              Système d’Information de Santé – JF GOGLIN           161
L’insécurité liée à la faible qualité logicielle

La complexité des logiciels ne cesse d’augmenter
… et souvent le nombre de bugs aussi….
Nous observons que certains logiciels, ne font
plus l’objet d’évolutions et leurs bugs restent en
souffrance pendant des semaines ou même des
mois.
Parfois la maintenance s’arrête… (exemple
Windows XP).
D’autres s’avèrent inexploitables du fait de temps
de réponses trop longs créant un très fort
mécontentement des utilisateurs, voire des
contentieux avec les éditeurs concernés.
Le nombre de patchs et de correctifs explose chez
certains éditeurs.

          Système d’Information de Santé – JF GOGLIN   162
L’insécurité liée à la faible qualité logicielle

Quelques bugs significatifs :
 Suite à une mauvaise conception du logiciel, le poids du
  patient est différent d’un dossier de spécialité à l’autre
  induisant de possibles erreurs de calcul de l’Indice de
  Masse Corporelle.

 La nouvelle version d‘une application médicale, dont la
  prescription connectée à un pousse seringue électrique a
  été insuffisamment testée, est mise en production sur
  plusieurs sites et ne fonctionne pas correctement, créant
  un risque patient détecté in extremis par un établissement
  client.

            Système d’Information de Santé – JF GOGLIN         163
L’insécurité liée à la faible qualité logicielle

Quelques bugs significatifs :
 Ailleurs, un service clinique reçoit du laboratoire un
  résultat d’analyse d’une ponction lombaire, alors que le
  patient concerné n’a pas subi de ponction de ce type ,
  démontrant ainsi une mauvaise interopérabilité entre
  deux logiciels et induisant un risque patient. En
  conséquence, et faute de confiance dans le système, le
  projet, pourtant finalisé a été arrêté et le logiciel mis au
  rebut, induisant pour l’établissement une perte de
  centaines de milliers d’euros du fait que l’investissement
  initial a été perdu et qu’il a fallu ensuite réinvestir dans
  une nouvelle solution.

            Système d’Information de Santé – JF GOGLIN           164
L’insécurité liée à la faible qualité logicielle

Les conséquences de cette non-qualité :
   L’émergence de risques patients susceptibles de provoquer le
    décès du patient.
   Une sécurité des données insuffisante.
   La perte de confiance dans le système pouvant aboutir à un
    rejet.
   Des erreurs de «casting» dans le choix de solutions
    informatiques.
   Des contentieux avec les éditeurs.
   Des retards dans les projets.
   Un taux de disponibilité des logiciels qui chute du fait des
    programmes correctifs, nécessitant l’arrêt de l’application à
    mettre à jour, créant à chaque fois le mécontentement des
    utilisateurs. Cette indisponibilité va à l’encontre des exigences
    formulées par la DGOS dans le cadre des prérequis du
    programme Hôpital Numérique (notamment les indicateurs P2.2
    et P2.3).
   Un important coût de non productivité pour l’établissement.
   Une mauvaise image de marque de certains éditeurs.
              Système d’Information de Santé – JF GOGLIN                165
L’insécurité liée à la faible qualité logicielle

Combien coûte un bug informatique bloquant ou
susceptible d’introduire un risque patient ?
                                                      Le coût estimé, pour un
                                                      établissement de santé de
                                                      400 lits, de la non-
                                                      productivité   liée à la
                                                      correction d’un bug est de
                                                      32000 €.

                                                      Le coût national annuel
                                                      estimé     de     la      non
                                                      productivité              des
                                                      établissements liée à la
                                                      correction des bugs avoisine
                                                      le demi-milliard d’euros.

         Système d’Information de Santé – JF GOGLIN                               166
Quant aux données…

Le 12 mai, le FBI a lancé une alerte concernant la
démultiplication des attaques et des vols
concernant les dossiers patients.
Ces données ont une valeur marchande avec une
valorisation    très   intéressante    pour   les
cybercriminels.

Ces attaques sont très préoccupantes pour les
petits établissements qui disposent de faibles
moyens sécuritaires et de très peu d’expertise.
Accompagner les petits établissements constitue un enjeu majeur
notamment pour la puissance publique qui doit s’emparer du 6e
risque, constitué de la dépendance aux technologies.

             Système d’Information de Santé – JF GOGLIN                167
Passer à l’action :
                Quelques actions de la
                 FEHAP concernant la
                              sécurité.

Système d’Information de Santé – JF GOGLIN   168
Quelques actions de la FEHAP
Comité de Pilotage Hôpital Numérique.
Membre de la Commission nationale Open Data en santé.
Travaux d’urbanisation faisant l’objet de dépôts auprès de
l’INPI (projet « baromètre des éditeurs »).
Participation aux travaux de la PGSSI.
Participation aux travaux de labellisation des logiciels
« Hôpital Numérique ».
Participation aux travaux de l’ASIP Santé.
Participation aux travaux de l’ANAP.
Journées thématiques concernant la sécurité.
Participation à l’élaboration de la nouvelle charte BP6 de
LESSIS (nouvelle version).
Création de l’observatoire de la gouvernance des projets
informatiques avec LESSIS et l’ASINPAH.
Rédaction de cahiers des charges types (externalisation de
son SIS,…).

            Système d’Information de Santé – JF GOGLIN       169
Conclusion

Système d’Information de Santé – JF GOGLIN ; M LABROUSSE ; P KELDER   170
Conclusion

La sécurité est un problème global.
La sécurité est une dimension du 6e risque.
Tous les maillons de la chaîne doivent être
examinés et analysés.
Mais les vulnérabilités viennent aussi de l’intérieur,
ce sont souvent les plus imprévisibles.
La première action passe par un changement de
culture et donc par un accompagnement des
établissements de santé. Cet accompagnement
doit être réalisé par tous les acteurs (puissance
publique, fédérations, industriels,…).

           Système d’Information de Santé – JF GOGLIN ; M LABROUSSE ; P KELDER                171
Merci pour votre attention.

                                              Questions/réponses

                Jean-François Goglin – Conseiller SIS
                jeanfrancois.goglin@fehap.fr
                tel : 06 62 79 27 81

Système d’Information de Santé – JF GOGLIN ; M LABROUSSE ; P KELDER   172
Vous pouvez aussi lire
DIAPOSITIVES SUIVANTES ... Annuler