cedric-cartauLes systèmes d’information de santé sont toujours plus complexes, toujours plus étendus, toujours plus sensibles. Que l’on en juge : entre la glorieuse époque des « 3 legacy » (à savoir, dans les années 1970 et 80, la gestion du personnel, la facturation et la gestion financière), et les systèmes d’imagerie médicale d’aujourd’hui (avec reconstruction 3D, dématérialisation du film, transmission automatique à un dossier patient informatisé, le tout connecté à la prescription, la saisie des actes et la facturation au fil de l’eau), peu de comparaisons sont possibles.

Du risque vital du SIH…

Ainsi, tout comme dans d’autres domaines des secteurs industriel ou tertiaire, les systèmes d’information investissent à grande vitesse tous les pans de l’activité d’un établissement de santé, le rendant d’autant plus dépendant de leur bon fonctionnement. Toute atteinte à la disponibilité, à l’intégrité ou à la confidentialité de l’informatique peut entraîner des conséquences irréversibles pour le patient.

Des équipes informatiques « pilotes »

La maîtrise de ces systèmes ne peut plus être possible par les seules équipes informatiques internes. Elles se transforment progressivement d’«exécutants » en « pilotes ». Si il y a 20 ans un seul ingénieur pouvait maîtriser toute la chaîne technique, du serveur au réseau en passant par les sauvegardes, le poste de travail et l’application, il doit aujourd’hui faire appel à des compétences diverses, aussi bien internes qu’externes. La seule migration d’un environnement de virtualisation (qui est souvent clusterisé et abrite des applications sensibles) nécessite, même dans les établissements de taille importante, l’appel de compétences de consultants experts de ce domaine. Les équipes internes d’une DSI ont souvent un excellent niveau pour maintenir ce type d’environnement très technique, mais une opération de migration est de nature suffisamment sensible pour ne pas négliger l’apport d’une expertise pointue.

De l’intelligence collective

Dans le domaine du conseil également, quelle DSI (direction des systèmes d’information) peut aujourd’hui se targuer de disposer en interne d’un spécialiste ITIL (ou ISO 20 000), d’un spécialiste ISO 27 000, d’un autre spécialiste COBIT, etc. ? Même les grands CHU, disposant d’un responsable sécurité système d’information à plein temps, font appel à des experts extérieurs pour les accompagner dans ces démarches. Parce qu’un regard extérieur n’est jamais mauvais. Parce que l’on est plus intelligent à plusieurs que tout seul. Et parce que quelques jours de consultants peuvent éviter des errements et des pertes financières conséquentes.

Pré-requis Hôpital Numérique

Pour peu qu’elles soient utilisées à bon escient et de façon pertinente, l’appel à des ressources externes, qu’il s’agisse de consultants ou d’ingénieurs, est aujourd’hui indispensable à chaque DSI et chaque équipe. Notamment dans le domaine de la sécurité, on constate souvent que les audits sont trop rares, et quand ils existent ils sont trop longs et trop techniques. L’appel à des compétences pointues, sur des missions courtes, maîtrisées par la DSI et fréquemment renouvelées, est aujourd’hui un incontournable de ce domaine, ô combien stratégique depuis les dernières publications de la Haute Autorité de Santé sur les pré-requis hôpital numérique.

L’auteur de cet article est Cédric CARTAU – Responsable Sécurité des Systèmes d’Information au CHU de NANTES.

Envie de réagir ? Postez votre commentaire !

A propos de l’auteur – Cédric CARTAU

Dans son dernier ouvrage, Cédric Cartau balaye le pilotage d’une DSI pour tous les décideurs, les présidents de CME, les cadres, et les informaticiens eux-mêmes, en contact permanent avec l’informatique et souhaitant comprendre le fonctionnement de cet étrange objet qu’est la DSI d’un établissement de santé. Un premier ouvrage, paru en 2012, traite quant à lui de la sécurité des systèmes d’information sous l’angle managérial : les projets, les enjeux, les coûts.

cedric-cartau-ouvrages

Responsable Sécurité des Systèmes d’Information au CHU de NANTES, Cédric Cartau a publié « La sécurité du système d’information des établissements de santé » aux éditions Presses de l’EHESP ainsi que le «Guide pratique du système d’information ». Il est chargé de cours à l’Ecole des Hautes Etudes en Santé Publique (EHESP) et réalise également, de façon ponctuelle, des audits de sécurité pour le compte d’établissements publics ou privés dans différents secteurs d’activité. Il est enfin chroniqueur dans DSIH magazine.