Tribune de Philippe TOURRON (AP-HM) : "L’ASIP Santé élabore des réponses concrètes aux problèmes de sécurité"

Points de vue | 08 juill. 2014
Philippe TOURRON est Responsable de la sécurité des systèmes d'information à la Direction des Services Numériques au sein de l’Assistance Publique Hôpitaux de Marseille (AP-HM). Il s’exprime sur l’importance des standards de sécurité des systèmes d’information de santé et le rôle que joue l’ASIP Santé dans leur définition et leur mise en œuvre.


Pouvez-vous nous présenter brièvement le principe des standards de sécurité concernant les systèmes d’information de santé ?


En matière de sécurité des systèmes d’information de santé plusieurs types de standards généralistes s’appliquent.
Tout d’abord, au niveau de l’État, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) produit un certain nombre de référentiels dont des guides de bonnes pratiques. Elle définit ainsi un cadre qui s’appuie sur des standards internationaux de la famille ISO 2700x et vise à maîtriser les risques que tout type de structure est susceptible d’encourir. Ces standards sont relayés sous forme d’une politique ministérielle de sécurité des systèmes d’information qui nous donne un cadre de référence pour mieux identifier nos risques, les évaluer et ensuite prendre les mesures adaptées. La loi informatique et libertés est aussi un cadre majeur pour la protection des données de santé.


De plus, le référentiel général de sécurité (RGS), qui impose à toutes les administrations d’homologuer leurs systèmes d’information dès lors qu’ils sont destinés à d’autres administrations ou qu’ils sont en relation avec les citoyens, montre la volonté de l’État de faire remonter les décisions concernant la sécurité au plus haut niveau de gouvernance.

Ensuite, et c’est là que l’ASIP Santé joue un rôle primordial, il s’agit d’adapter ces standards à la problématique des données de santé..



Quel est le rôle de l’ASIP Santé dans la définition des standards de sécurité pour les systèmes d’information de santé ?


L’ASIP Santé adapte le cadre général des standards de sécurité au périmètre de la santé. Son rôle est important car l’application sur le terrain est complexe.

Tous les acteurs de la santé ne sont pas de taille équivalente et ne disposent pas de moyens identiques pour analyser les risques et élaborer des mesures de sécurité adaptées. Les démarches et la politique générale de sécurité de l’ASIP Santé permettent de traduire ce cadre, mais aussi les obligations légales et réglementaires, dans les différents domaines à sécuriser. Tout ne peut être réalisé en même temps. L’idée est donc d’apporter des réponses en procédant par paliers.

Globalement, le rôle de l’ASIP Santé est d’apporter des réponses pratiques, y compris en termes de solutions techniques, pour améliorer la sécurité. Par exemple, l’agence pilote et déploie un système de messagerie sécurisée sur lequel les établissements vont pouvoir s’appuyer. C’est la concrétisation d’un volet très important de la sécurité dans les échanges de données de santé. Or, c’est un chantier complexe car il met en jeu un grand nombre d’acteurs techniques (dans les établissements de santé et chez les éditeurs de solutions) et métiers (tous les professionnels de santé).




Concrètement, dans quels projets utilisez-vous ces travaux à l’AP-HM ?


Nous travaillons sur trois des chantiers majeurs de l’ASIP Santé : la messagerie sécurisée, l’agrément en matière d’hébergement des données de santé et, enfin, l’utilisation de la carte de professionnel de santé (CPS) pour l’authentification de nos utilisateurs.

Ainsi, nous souhaitons mettre en place, à court terme, la messagerie sécurisée pour nos utilisateurs de manière à ce que celle-ci devienne une véritable interface de communication simplifiée.
Par ailleurs, nous avons déjà obtenu un agrément pour l’hébergement d’une application « dossier patient de spécialités ». Nous avons plusieurs autres procédures d’agrément en cours car c’est un bon moyen d’optimiser nos infrastructures en proposant des services à d’autres établissements.
Enfin, depuis plusieurs mois, nous mettons en œuvre les développements de l’ASIP Santé concernant l’utilisation de la CPS pour l’authentification de nos utilisateurs. Aujourd’hui nous sommes en phase de finalisation. Nous pourrons ainsi authentifier les clients hébergés, mais aussi nos propres utilisateurs, qu’il s’agisse de professionnels de santé ou de professionnels de l’établissement tels que les ingénieurs qui administrent nos systèmes informatiques (avec une carte CPE). .



Qu’attendez-vous de l’ASIP Santé dans les prochains mois ?

Nous attendons de l’ASIP Santé l’apport de réponses concrètes en matière de sécurité au travers d’outils et de guides permettant de gagner du temps dans les déploiements de solutions sécurisées. L’idée est que l’ASIP Santé propose des solutions concrètes, techniques, et nous accompagne dans leur mise en œuvre sur le « terrain ».


L’Assistance Publique Hôpitaux de Marseille (AP-HM) en bref…
L’Assistance Publique - Hôpitaux de Marseille regroupe 4 hôpitaux et 3500 lits ce qui en fait le centre hospitalier le plus important de la région Provence - Alpes - Côte d'Azur. Elle compte plus de 14 000 salariés et près de 1900 médecins. Au total, l’AP-HM dispose d’environ 9 000 postes de travail et son service informatique est composé d’une centaine de collaborateurs.