Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015 "Mise en oeuvre d'une PSSI dans un établissement spécialisé" - Gilles CEBE, PH, DIM, Centre hospitalier du Mas Careiron à Uzès Diaporama

1. Je suis praticien hospitalier responsable du
département d‘information médicale de
l’établissement.
A Uzès, nous avons fait de la PSSI, comme M. Jourdain
faisait de la prose, sans le savoir vraiment.
En préambule je voudrai dire que, sans le responsable
du service informatique, Mme Varin, professionnelle audu service informatique, Mme Varin, professionnelle au
fait des problèmes d’organisation d’un Si et de sécurité,
nous aurions été bien en peine de construire une
sécurité de notre SI fiable.
1

2. Etablissement de taille moyenne (ou petite), et dont la
répartition géographique des structures a forcément généré
des problèmes pour notre projet.
Il faut 1h30 pour rejoindre les structures les plus éloignées du
CH, et le réseau internet dont nous sommes tributaires a
longtemps été très lent et peu fiable.
Les structures médico-sociales partagent le même SI et le
même logiciel DPI.même logiciel DPI.
2

3. L’explosion de l’utilisation du SI se voit dans ces quelques
chiffres, de même que les choix d’architecture du réseau, qui
correspondent à l’arrivée du responsable informatique de
notre structure.
Le « voisinage réseau » touchait sa limite (des données très
confidentielles étaient accessibles en quelques clics de souris).
Nous sommes en phase d’installation de deux salles en miroir
permettant un plan de reprise d’activité à 0 minutes sur unepermettant un plan de reprise d’activité à 0 minutes sur une
problématique informatique.
La jonction RPV est doublée sur les deux sites d’hospitalisation
temps plein
3

4. Dès mon arrivée dans l’établissement, j’ai été désigné « chef
de projet » dossier patient et j’ai conduit le passage du papier
au DPI.
Aujourd’hui, le DPI n’est pratiquement plus contesté.
L’organisation de la saisie fait que la plupart des soignants font
du RIM Psy sans le savoir.
4

5. Les risques vus par le chef de projet sont ceux inhérents à un
fonctionnement humain. Un hôpital fonctionne bien mieux
sans patient, un système d’information aussi…
Les exemples récents de sorties d’informations confidentielles
montrent que ce sont le plus souvent des personnes
autorisées à l’accès à ces données qui sont à l’origine de la
fuite (Wikileaks)
Nous avons donc distingué trois grands domaines de risque.Nous avons donc distingué trois grands domaines de risque.
5

6. Le risque majeur, c’est l’utilisateur. En psychiatrie, la rigueur
que demande l’utilisation d’un DPI était bien loin de la
préoccupation de l’ensemble des équipes soignantes. Et le
risque est toujours présent, évidemment… Même si le niveau
de connaissance en informatique a considérablement évolué.
Dans les débuts, nous devions expliquer comment allumer
l’ordinateur ou l’utilisation de la souris. Aujourd’hui, ce sont
les utilisateurs qui nous en remontrent…les utilisateurs qui nous en remontrent…
Les risques « cartons jaunes » existent encore. Nous en
reparlerons plus loin.
Les risques « cartons rouges » ne se sont jamais produits (mais
pourraient l’être), à la foi par culture du secret des soignants
et par l’adoption de solutions techniques.
6

7. Le site n’avait pas (et n’a toujours pas) d’astreinte du service
informatique, malgré des alertes répétées, et ce avant même
la mise en place du projet. D’où une grande défiance dans le SI
qui a été très difficile à faire céder en raison de pannes les WE.
Les exemples de sites (souvent imposants : CHU, CHG) où
l’accès aux dossiers est sans limite à partir du moment où vous
faites partie de l’effectif soignant est un point qui a été abordé
très en amont de la mise en place du dossier. Il s’agissait d’untrès en amont de la mise en place du dossier. Il s’agissait d’un
point de blocage consensuel. L’impression de confier le
dossier à une nébuleuse mal définie, aux accès mal maîtrisés
ou maîtrisés par d’autres que les soignants est encore un point
qui mérite es explications.
7

8. Les conséquences du manque de confiance, de la difficulté de
lecture sur écran, de l’éclatement de l’information dans un
DPI, ont induit une explosion des impressions dont
l’organisation a longtemps été mal maîtrisée.
La destruction du papier se heurte à la culture de l’archivage
et il est très difficile de l’obtenir.
Les procédures de broyage puis destruction tracée et
centralisée ne sont pas comprisescentralisée ne sont pas comprises
Les broyeurs utilisés ont la fâcheuse manie de se bloquer au
delà de 3 feuilles regroupées, à chaque trombone ou agrafe
oubliés. Sur le plan matériel, le broyeur reste le point faible de
la chaîne de sécurisation de l’information.
8

9. Ce travail a été réalisé en amont du choix du logiciel avec un
groupe de professionnels qui a construit le cahier des charges
et reçu les éditeurs pour la présentation de leur solution.
9

10. Le passage par le logiciel est donc « obligé » pratiquement en
permanence et en temps réel.
Les droits de chaque utilisateurs sont fixés en amont par le
service informatique (droits d’accès à tel ou tel applicatif, dont
le dossier du patient) et les droits dans le DPI sont fixés par
l’administrateur du logiciel, avec l’appuis d’un comité de
l’information médicale, sous commission de la CME.
Les interfaces bi directionnelles en création et modification deLes interfaces bi directionnelles en création et modification de
l’identité et des mouvements a enfin rendu ce sujet apaisé
après un long temps de gestion d’erreurs et de conflits.
Le principe d’une seule connexion par utilisateur est fixé dès le
départ du projet. La question du SSO s’est régulièrement
reposée. Pour l’instant et sans outil d’authentification forte,
nous n’avons pas souhaité le mettre en place.
10

11. Ces principes entraînent un travail quotidien du DIM dans la
gestion des droits d’accès puisqu’à chaque arrivée ou départ, y
compris des stagiaires, à chaque mutation, les droits des
utilisateurs sont créés ou revus.
Evidemment, les droits sont plus ou moins étendus selon vos
fonctions. Les droits des aides-soignants sont beaucoup plus
restreints que les droits des médecins.
Le blocage de la prescription a longtemps fait débat (pourLe blocage de la prescription a longtemps fait débat (pour
utiliser un euphémisme) mais j’ai tenu bon.
La saisie de l’admission, en raison de l’accessibilité au dossier
liée à cette dernière, s’est largement reporté du Bureau des
Entrées aux services soignants.
11

12. Il reste bien entendu pleins de points « à améliorer » dans le
vocable de la qualité. Sur les éléments de risque repérés en
amont, voilà où nous en sommes.
12

13. Le prêt de codes a fortement diminué mais il existe encore. Il est
souvent lié au deuxième point : un infirmier s’assied devant l’écran et
reprend la cession laissée ouverte par son collègue.
Cette pratique augmente quand le DIM n’est pas suffisamment présent
pour donner ou redonner des identifiants aux nouveaux arrivants ou à
ceux qui ont perdu leur mot de passe.
Quant aux dossiers « parallèles », même s’ils sont de moins en moins
utilisés, ils existent encore.
L’information que les fichiers stockés dans « mes documents » ne sontL’information que les fichiers stockés dans « mes documents » ne sont
ni sécurisés (ce qui est partiellement faux) ni sauvegardés (ce qui est
vrai) a fait beaucoup pour améliorer les pratiques.
Il reste cependant en usage de créer le document non à partir du
logiciel DPI mais directement à partir du traitement de texte puis
intégré secondairement dans le dossier patient. Le fichier source reste
souvent ici ou là, sans contrôle ni classement sécurisé…
13

14. La consultation des dossiers est transparente : dès que
s’affiche les données administratives, votre nom et fonction
apparaissent pour tous les utilisateurs.
La sortie d’un dossier sensible par édition puis diffusion
externe reste une possibilité, malgré les barrières posées.
La diminution des droits d’impression a été réalisée
récemment et sans annonce publicitaire. Elle est passée
totalement inaperçue.totalement inaperçue.
Le blocage du copier-coller ne gêne que les secrétaires mais
empêche la diffusion des écrits des psychologues (par
exemple) sans leur aval, sur des fiches de liaison IDE par
exemple.
14

15. L’amélioration très nette du fonctionnement du SI a fait disparaître
beaucoup de pratiques déviantes. Elle a apporté une telle confiance
dans le DPI que la diminution des impressions est maintenant possible.
La confiance dans le blocage des identités sous alias est venue à partir
de « surprises » : l’admission d’un patient à identité protégée a
entraîné la création d’un doublon. Les demandes étant faibles et le
risque infime.
La fermeture des droits d’accès est régulièrement remise en cause car
elle gêne les soignants. Le comité d’information médicale réitère
régulièrement son opposition à l’élargissement des droits.
Le traitement de texte du DPI est maintenant celui utilisé par
l’ensemble des agents (libre office©). Cela rend le travail des
secrétaires plus simple mais n’a pas encore eu un effet sensible sur les
pratiques décrites plus haut.
15

16. Je vous remercie et je suis à votre disposition pour le débat à
suivre.
Dr Gilles Cèbe
Praticien Hospitalier
CH Le Mas Careiron
30700 UZES
16