le centre hospitalier Henri Laborit soigne la sécurité de ses données

En 2009, le centre hospitalier Henri Laborit de Poitiers lance un appel d’offres pour un audit de la sécurité de son système d’information. C’est finalement le pôle consulting d’Orange Business Services, qui a été mandaté pour réaliser cette mission.

Pouvez-vous nous éclairer sur les besoins et les enjeux précis qui vous ont poussé à entreprendre un audit de votre système de sécurité des données ?

François Esculier, Responsable des Systèmes d'information du centre hospitalier Henri Laborit
Je suis arrivé au centre hospitalier il y a deux ans et demi en tant que responsable des systèmes d’information et à cette époque, le dernier audit en date remontait à 2002. Il ne correspondait donc plus du tout aux critères imposés par le décret de confidentialité des données de santé inclus dans le système de modernisation des services de santé. Or, dans le même temps, j’ai déposé un dossier pour le déploiement d'un système single sign on (SSO), d’authentification unique dans le cadre de l'appel à projets hôpital 2012. Ce projet a été retenu et il nous fallait donc impérativement réaliser un nouvel audit, impartial et objectif, pour établir l’état des lieux exacts de notre système de sécurité d’accès aux données. J’ai alors lancé un appel d’offres et j’ai également récupéré quelques cahiers des clauses techniques particulières (CCTP) au sein du collège des DSI de Poitou-Charentes dont je suis membre.

Sébastien Salladin, Consultant senior sécurité, Orange Consulting
Il s’agissait d’une prestation avec des spécificités particulières et critiques : des données sensibles (médicales), informations confidentielles au cœur d’un lieu ouvert où se côtoient personnel médical, personnel administratif, patients et visiteurs. La sécurité de l’information y est donc un enjeu important même si pour le personnel, le patient et sa santé constituent naturellement l’enjeu ultime ! Trois points majeurs à prendre en considération : la disponibilité des services informatiques, la confidentialité des données relatives aux patients et l’intégrité des données médicale et administrative.

Comment et pourquoi votre choix s’est-il porté sur Orange Business Services ?

François Esculier - Notre cahier des charges reposait sur quatre critères : financier (40 %), méthodologie (30 %), qualité des livrables (15 %) et références globales, hospitalières surtout (15 %). Après avoir étudié l’ensemble des réponses, nous avons retenu Orange Business Services pour deux raisons essentielles : la qualité de leurs livrables, qui sortaient vraiment du lot, et leurs références, notamment le fait qu’ils avaient travaillé pour l’ANAP (anciennement GMSIH). De plus, leur conduite du projet était très détaillée et nous savions donc exactement à quoi nous attendre.

Sébastien Salladin - Le monde de la santé évolue énormément à l’heure actuelle au travers de nombreuses réformes. Dans chaque région, des initiatives de sécurité sont lancées pour renforcer la confidentialité des données du patient et améliorer le parcours santé. Orange Consulting se positionne aujourd’hui comme un partenaire de choix pour accompagner ces initiatives régionales en mutualisant et en reproduisant en parallèle cette démarche d’audit dans plusieurs dizaines d’établissement.

Comment le projet s’est-il déroulé ?

J’étais en contact direct avec les équipes de consultants d’Orange, ce qui favorisait une bonne communication. Ils ont pris soin de bien expliquer à l’équipe technique leur méthode de travail et le planning pour les inclure dans le projet et les rassurer. Résultat, nous nous sommes tous sentis concernés. Deux audits ont été organisés : l’un, technique, afin d’établir depuis l’extérieur et l’intérieur de l’hôpital les possibilités d’intrusion dans notre système ; et l’autre, organisationnel, qui s’est réalisé pendant trois mois sous forme d’entretiens téléphoniques ou personnels avec l’ensemble des cadres de santé (DSI, DG, praticiens, directeurs fonctionnels…) pour déterminer un plan de gestion de crise. Puis, nous avons eu deux restitutions. La première comprend 500 pages et inclut un plan de reprise d’activité, un plan de continuité d’activité, une organisation en cas de crise, un guide des intrusions externes et internes et un guide des performances. La deuxième restitution s’est faite en amphi devant le conseil exécutif de l’établissement, le conseil de direction et les cadres administratifs, soit une centaine de personnes. Elle a mis en avant les enjeux de la sécurité informatique et les méthodes pour remédier aux failles observées. Cet audit était vraiment capital car, il y a quatre ans, la Haute Autorité de Santé (HAS) a rendu impératif l’audit de sécurité. J’ai donc pu leur procurer les livrables fournis et assurer que nous étions bien en règle.

Sébastien Salladin - Le projet s’est déroulé en trois étapes :
1re phase : cadrage et préparation de l’audit
> sensibiliser la direction aux risques de sécurité
établir l'état de maturité de la sécurité
2e phase : réalisation de l’audit
> audit organisationnel : analyser l’organisation, les politiques et les procédures de gestion de la sécurité de l’information
> audit physique : vérifier le niveau de protection des équipements et serveurs informatiques contre les risques d’incendie, d’inondation ou d’intrusion physique
> audit technique de configuration : vérifier la bonne configuration des paramètres de sécurité des serveurs pour se prémunir des risques d’infection virale et d’intrusion
> audit technique de vulnérabilité et d’intrusion :
- identifier les informations accessibles depuis le réseau informatique du CH (par exemple la chambre d’un patient) et vérifier leur protection,
notamment pour les données les plus sensibles.
- vérifier qu'aucune information sensible ne soit directement accessible depuis Internet.
3e phase : synthèse, restitution et plans d’actions
> une restitution managériale des résultats de l’audit aux instances de direction de l’établissement et une restitution détaillée à destination des équipes techniques en charge du SI
> élaboration d’un plan d’actions tactique et stratégique pluriannuel ; initialisation des chantiers politique de sécurité et du plan de continuité informatique.

Depuis cet audit, qu’est-ce qu’il y a de changé au sein du centre hospitalier ? Avez-vous déjà pris des mesures ?

Ce qui a changé principalement c’est la prise de conscience du besoin de sécurité en milieu hospitalier. Nous avons lancé certains projets parmi les plus simples et les plus urgents en fonction des 42 pages de recommandations remises par Orange. Au cœur des priorités : le changement de la politique des mots de passe, l’accès au système d'information par carte et la duplication de la salle de serveurs dans une salle blanche pour assurer la continuité d’activité en cas d’incident. Nous pensons traiter l’ensemble des failles d’ici juin 2011. Nous passons en effet d’une organisation empirique à une organisation industrialisée, ce qui prend du temps.

Sébastien Salladin - Les bénéfices se situent à deux niveaux : au niveau global transverse pour les directions et services métier, et au niveau technique à destination de la DSI.
> 1er facteur de réussite : sensibiliser tout le monde à la sécurité, adapter les outils pour ne pas leur compliquer la tâche et améliorer le contrôle d’accès aux données.
> 2e facteur de réussite : travailler en bonne intelligence avec la DSI et les directions métiers pour améliorer le niveau de sécurité du SI en identifiant des actions et solutions adaptées. Les résultats de l’audit ne doivent jamais être utilisés comme prétexte à des sanctions d'un ou plusieurs personnels.
> 3e facteur de réussite : engagement des directions, dépasser le frein du changement. L’audit constitue le point de départ d’une démarche de gestion et d’amélioration continue de la sécurité de l’information. Il convient de ne pas choquer ou brusquer en prenant le temps d’expliquer le bien-fondé des changements.

Que retenez-vous de cette collaboration ?

Je suis très satisfait de leur prestation autant pendant l’audit qu’après. Au-delà de la qualité de la mission, la composante humaine a été primordiale tout au long du projet et a énormément contribué à sa réussite Je suis d’ailleurs toujours en contact avec les consultants, via un club de RSSI C’est aussi l’occasion pour moi d’échanger et de me constituer un réseau dans le monde de la sécurité.

Sébastien Salladin - L’équipe projet est généralement constituée de consultants expérimentés et complémentaires en termes d’expertises, et ce afin de couvrir les différentes thématiques organisationnelles et techniques de gestion de la sécurité de l’information. De plus, les consultants doivent également être en mesure d’échanger avec les directions métiers pour comprendre leurs activités et leurs problématiques. L’échange et la communication est primordiale dans ce genre de projet. Une bonne communication est nécessaire pour démontrer du bien-fondé des résultats et des recommandations proposées dans le plan d'action.

Orange, une approche consulting axée sur le parcours de soins des patients

Blandine Fuzeau, Directeur associé Orange Consulting en charge de la santé - Notre approche est centrée sur le patient et sur son parcours de soins. C’est pourquoi nous intervenons auprès de l’ensemble des acteurs de l’écosystème de santé, tous partie prenante de ce parcours de soins : les laboratoires pharmaceutiques, les industries de la santé, les assurances et mutuelles, les établissements hospitaliers (public et privé) et le monde des tutelles.

Nous accompagnons nos clients dans la mise en place de parcours de santé efficients et sécurisés au niveau local, régional et national en prenant en compte le cadre réglementaire et économique. Pour ce faire, nous les aidons à déterminer en quoi les nouvelles technologies d’information et de communication peuvent contribuer à l’efficience et à la sécurisation de ces parcours et avec quel modèle économique pérenne. Nous les aidons ensuite à accompagner les utilisateurs sur l’évolution des processus et modalités de travail liés à l’introduction de ces technologies.
Les besoins d’échange d’information entre les différents acteurs du monde de la santé augmentent sans cesse en vue d’améliorer et de mieux coordonner la prise en charge du patient et d’éviter des coûts inutiles. La sécurisation de ces données échangées est plus que jamais critique quand l’environnement de travail devient un mode de collaboration étendue entre les différents acteurs du système de santé.

Dans le domaine de la sécurisation des échanges d’information, nous avons réalisé de nombreuses missions,notamment avec l’ANAP (anciennement GMSIH),qui permettent à nos clients de bénéficier de conseils et de retours d’expérience. C’est une manière très pragmatique pour accompagner nos clients dans la mise en place de la confidentialité des données patient imposées par la nouvelle loi Hôpital Patient Santé Territoire (HPST).

De manière plus globale, nous intervenons auprès de nos clients soit dans des phases d’étude amont (audit, étude de faisabilité, étude d’opportunité) soit au moment de la mise en place des projets en accompagnant les utilisateurs. Au-delà de la sécurité de l’information, nos autres domaines de compétences portent sur les infrastructures réseaux (optimisation des infrastructures, data center, performance applicative) ; la gestion de la relation client (parcours de soins, services en ligne, réseaux sociaux), la gouvernance des SI (urbanisation, cloud computing), et le green IT. Nous nous appuyons sur de nombreuses expertises (experts techniques, chercheurs, ergonomes, sociologues…) présentes au sein de notre groupe.