L'hôpital qui voulait être Hébergeur de données de santé

Partager

Pour héberger les données personnelles de santé d’un autre établissement, un hôpital doit obtenir l’agrément de l’ASIP* : un contrôle de 74 points de sécurité du système d’information. Pour s’y préparer, les Hôpitaux Champagne Sud ont fait appel à Orange Cyberdéfense et Orange HealthCare.

Eclairages/ Michaël De Block, vous êtes Directeur de l’information numérique pour les Hôpitaux Champagne Sud. Quel périmètre cela représente ?

Michaël De Block / Le groupement d’Hôpitaux Champagne Sud est issu de la création d’une direction commune de tous les hôpitaux publics de l’Aube autour du Centre Hospitalier de Troyes. En tant que Directeur de l’information numérique, je supervise les systèmes d’information de l’ensemble du groupement hospitalier : système informatique, outils et applications de télémédecine, robotique… Cela représente 4 000 utilisateurs et une centaine de logiciels hétérogènes, répartis sur des sites distants de plusieurs dizaines de kilomètres.

E./ Comment s’organise la gestion de l’information au sein du groupement hospitalier ?

MDB / Les établissements sont informatisés pour la gestion administrative des patients et pour les résultats d’analyses ou d’examens, eux-mêmes reliés aux dossiers patients. Par ailleurs, un portail sécurisé ville-hôpital permet de partager les données patients avec les professionnels de santé de tout le territoire des HCS.

Avant le regroupement, chaque hôpital utilisait son logiciel. Pour pallier l’hétérogénéité du SI, une plateforme de rapprochement d’identité a été déployée : elle permet le partage des informations patient à partir de leur Identifiant National de Santé.

« Notre vision de la sécurité se focalisait sur les aspects techniques. Orange Cyberdéfense a fait la différence sur les aspects organisationnels, qui représentent pas moins de la moitié des 74 points de contrôle à valider pour obtenir l’agrément de l’ASIP ! »
Michaël De Block, Directeur de l’Information Numérique des Hôpitaux Champagne Sud

E./ Dans ce contexte, la gestion de la confidentialité des données patient n’est-elle pas difficile ?

MDB / Au contraire ! L’informatisation instaure des procédures plus encadrées. Le Programme Hôpital Numérique demande par exemple de nommer des correspondants Informatique et Liberté, définir une politique de gestion du Dossier Patient Informatisé et de gestion du SI, il exige que chaque utilisateur signe une charte informatique…

L’accès aux données est par ailleurs soumis à des habilitations individuelles en fonction du rôle de l’utilisateur : 200 profils différents avec des droits d’accès spécifiques ont été définis. Tous les accès sont tracés, et si un soignant consulte le dossier d’un patient qui ne dépend pas de son service, nous sommes alertés.

E./ À quel moment avez-vous fait appel à Orange Healthcare et Orange Cyberdefense ?

MDB / Nous cherchions à obtenir l’agrément « hébergeur des données de santé », et pour cela nous devions prouver que notre data center est totalement sécurisé, ainsi que les échanges entre sites et avec les médecins de ville. Orange Cyberdefense nous a aidés à nous mettre en conformité avec les exigences de l’ASIP. Orange Healthcare nous a fait bénéficier de son expertise en matière de systèmes de santé, avec une compréhension très fine de nos enjeux.

E./ Que vous a apporté leur approche ?

MDB / Orange a fait la différence sur les aspects organisationnels, qui représentent pas moins de la moitié des 74 points de contrôle à valider pour obtenir l’agrément de l’ASIP ! Cette collaboration nous a fait comprendre que notre vision de la sécurité se focalisait sur les aspects techniques mais en délaissait d’autres, comme le risque de « piratage social » : un intrus se fait passer pour un informaticien et demande ses codes d’accès à un soignant sous prétexte de dépannage.

Beaucoup de choses ont été remises à plat grâce à cela : protection des accès, badges d’identification, fin des accès génériques – par exemple pour les intérimaires…

Je pense plus largement que cela nous a permis également de crédibiliser notre action auprès des professionnels de santé hors de l’hôpital, qui nous font confiance pour assurer la sécurité et la pérennité des données médicales.

E./ Quelles sont vos prochaines étapes d’hôpital connecté à présent ?

MDB / Nous allons développer les services aux patients, avec des solutions de robotique, un système de géolocalisation des patients, une solution de Big Data qui nous aidera à entrer dans l’ère de la médecine prédictive… Beaucoup de choses au programme, donc !
 

Les Hôpitaux Champagne Sud en chiffres :

  • 2 630 lits
  • 3 753 personnels non-médicaux
  • 344 personnels médicaux
  • 489 344 prises en charge
  • 530 157 journées d’hospitalisation
  • 41,6 millions d’euros de dépenses d’investissement
  • 333,5 millions d’euros de budget total

*ASIP = Agence des Systèmes d’information partagés de Santé

Pour aller plus loin

>> Big Data, Smart Security
>> Tous concernés par la cybersécurité