Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015 "La sécurité des SI et la certification des établissements de santé" Sébastien LELOUP, Chef de service et Frédérique BLAREL, Chef de projet, Service certification des ES, HAS - Diaporama

1. Sécurité des Systèmes d’Information
et
certification des établissements de santécertification des établissements de santé
Sébastien LELOUP Chef du Service
Frédérique BLAREL Chef de projet
Service Certification des Établissements de Santé
Colloque sécurité des systèmes d’information dans les
établissements sanitaires et médico-sociaux
Mercredi 7 octobre 2015

2. Présentation
Outils et Méthodes HAS
La thématique Gestion du Système d’Information
du manuel de certification et les Eléments
2
du manuel de certification et les Eléments
d’Investigation Obligatoires
Illustrations
Sécurité des SI & certification des ES – 7 octobre 2015

3. Outils et méthodes HAS de la certification
des établissements de santé
Un manuel Des thématiques
Exemples : le dossier patient,
la Gestion des Systèmes d’Information,
le management de la prise en charge
médicamenteuse du patient…
Les Visites
Investigations sur place de professionnels de santé expérimentés
Les experts-visiteurs
Vérification systématique des Éléments d’Investigation Obligatoires
qui peuvent entrainer des situations à risque
Exemple d’EIO = l’existence d’un Plan de Reprise de l’Activité
et de procédures dégradées connues des professionnels
3Sécurité des SI & certification des ES – 7 octobre 2015

4. Certification & sécurité des SI
Thématique GSI : 2 critères du manuel
4Sécurité des SI & certification des ES – 7 octobre 2015

5. Thématique GSI :
10 Éléments d’Investigation Obligatoires
Sécurité des SI & certification des ES – 7 octobre 2015 5

6. Illustration : cas d’un CH de 900 lits
• 1 site principal et 14 extrahospitaliers
• Visite des experts-visiteurs
Lors des investigations, décision d’ajouter le critère 5b : sécurité du
système d’information au périmètre de la visite
• Décisions HAS
Réserve majeure sur le critère 5b : sécurité du SI
Réserve sur le critère 20a : démarche qualité de la prise en charge du médicament
Recommandation sur les critères :
- 14a : gestion du dossier patient
- 14b : accès du patient à son dossier
- 22a : demande d’examen et transmission des résultats
6Sécurité des SI & certification des ES – 7 octobre 2015

7. Illustration : cas d’un CH de 900 lits
après la visite en janvier 2009
Critère 5b : Sécurité du système d’information
Après visite : janvier 2009 Après mesure de suivi : juin 2010
La sécurité des données est organisée au niveau de
l'établissement avec la création récente et la
première réunion d'un comité de pilotage de la
sécurité informatique ainsi que la nomination d'un
La sécurité des
données est
organisée
(définition des
responsabilités,
formalisation et
diffusion des
procédures, etc.).
La sécurité des données est organisée au
niveau du service informatique, avec
définition des responsabilités ; il existe une
procédure relative à la vérification
quotidienne de l'intégrité des données.
Néanmoins, la gestion des droits d'accès
des différentes catégories
professionnelles à chaque logiciel n'est
pas complètement définie.
sécurité informatique ainsi que la nomination d'un
cadre de direction en qualité de responsable de
la sécurité des systèmes d'information.
L'établissement assure l'intégrité de la
production et du stockage des données, avec
définition des responsabilités : mise en œuvre
effective d'une deuxième salle machine ; procédures
de sauvegardes ; sécurité physique des locaux et
des installations techniques.
Il existe un dispositif de gestion des droits
d'accès par métier/profil d'utilisateur, mais la
procédure formalisée de gestion des
habilitations informatiques n'est pas finalisée et
la gestion des mots de passe est fonction de
chaque logiciel.
Sécurité des SI & certification des ES – 7 octobre 2015 7

8. Illustration : cas d’un CH de 900 lits
après la visite en janvier 2009
Critère 5b : Sécurité du système d’information
Après visite : janvier 2009 Après mesure de suivi : juin 2010
Il existe un plan de
reprise permettant
d'assurer la
continuité des
activités en cas de
panne
Il n'y a pas de plan de reprise permettant
d'assurer la continuité des activités en cas
de panne ; il n'y a pas d'astreinte
informatique.
Il existe un plan de reprise d'activité en cas de
panne. Celui-ci est cependant essentiellement
orienté vers la continuité des matériels
informatiques et des logiciels. Les procédures de
secours dans les services (modes dégradés)
sont formalisées dans quelques secteurs
seulement.
Sécurité des SI & certification des ES – 7 octobre 2015 8
panne seulement.
Il n'y a pas d'astreinte informatique.
Le dispositif de
sécurité du
système
d'information est
évalué et fait
l'objet d'actions
d'amélioration.
Les actions récemment entreprises pour
accroître la sécurité ont été évaluées
(exemple : évaluation ayant débouché sur
le projet de deuxième salle blanche au
service informatique). Un document intitulé
« Taux de disponibilité des applications »
est présenté mensuellement au comité de
direction. Néanmoins, le dispositif de
sécurité étant posé dans le schéma
directeur validé en septembre 2009, il
n'a pas fait l'objet d'une évaluation
d'ensemble.
Le dispositif de sécurité du système d'information a
fait l'objet d'un bilan récent complet confié à un
opérateur important du marché. Un document
intitulé « Taux de disponibilité des applications »
est présenté mensuellement au comité de
direction.
Des actions d'amélioration sont entreprises,
notamment pour le volet matériel, mais ne font pas
l'objet d'un programme structuré autour de
l'ensemble des problématiques soulevées.

9. Illustration : cas d’un CH de 900 lits
préparation de la visite V2014
Thématique GSI du Compte Qualité
Points d’amélioration identifiés par l’ES :
- Actualiser le schéma directeur du SIH
- Suivre les indicateurs de performance, fonctionnement, d’activité (dont ceux d’Hop. Numérique)
- Actualiser la procédure de fonctionnement en mode dégradé
- Formaliser la procédure de redémarrage du SIH
Sécurité des SI & certification des ES – 7 octobre 2015 9
Pour la visite
Pas d’ajout au périmètre de la thématique GSI mais focus sur le déploiement de l’informatisation
du dossier patient et du circuit du médicament
Décisions HAS
Pas de décisions sur les thématiques liées au SI

10. Autres illustrations observées en visite
• CH : Locaux en constructions mais pas adaptés au SIH
• ES adossé à un CH : DPA informatisé, utilisé par les
professionnels mais personne ne connait le SDSI ni le PRA
• Panne informatique en visite et la procédure dégradée n’a
pas fonctionnépas fonctionné
• Informaticien a envisagé une sauvegarde des données la
veille de la visite et plus rien pour la visite
• ES a calculé le temps d’exécution d’un PRA = 125 heures
• Qu’avez-vous mis en place pour assurer le continuité de la
prise en charge des patients ?
10Sécurité des SI & certification des ES – 7 octobre 2015

11. Merci de votre attentionMerci de votre attention
Sécurité des SI & certification des ES – 7 octobre 2015 11