Un guide de la sécurité des Systèmes d’Information de santé des établissements de santé a été publié par la Direction Générale de l’Offre de Soins (DGOS) a publié, courant du mois de novembre 2013 (1).
La confidentialité et l’intégrité des données sensibles, ainsi que la continuité des soins doivent en effet constituer les préoccupations majeures des établissements de santé en termes de sécurité du SI.
Le guide s’intègre à la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) dont le corpus documentaire continue donc à s’étoffer. La PGSSI-S, déjà constituée de quelques documents pivots (principes fondateurs, référentiels thématiques de sécurité, guides pratiques et juridiques) est en effet en cours d’élaboration.
Le guide de la DGOS a cependant vocation à constituer un outil autonome et pratique qui décrit la démarche de sécurité des systèmes d’information de santé à mettre en œuvre aux établissements de santé et contient des recommandations pratiques. Il participe à la fourniture, aux Directions des établissements de santé (DG, Président de la Commission Médicale d’Etablissement, Directeur des soins, DSI, etc.), tant publics que privés, des clés pratiques en vue de la sécurité des SI et de l’initialisation de démarches pérennes.
Les points clés de la démarche de sécurité des systèmes d’information de santé s’articulent autour des 10 fiches pratiques suivantes :
– les enjeux de la sécurité de l’information pour l’établissement de santé. Les risques internes ou externes qui pèsent sur l’établissement sont, à cette occasion, mis en évidence ;
– la maîtrise de la sécurité du système d’information. L’intégrité, la confidentialité des informations médicales ainsi que la continuité des soins sont placées au cœur des objectifs de l’établissement ;
– la définition de la sécurité du système d’information dans les établissements de santé. La mise en œuvre d’un plan de sauvegarde ainsi que d’un plan de reprise et de continuité de l’activité sont présentés comme incontournable ;
– la direction : acteur important de la démarche de sécurité ;
– les pré-requis : un diagnostic et une gouvernance sécurité ;
– la sécurité avant d’autres projets : le bon arbitrage ;
– les facteurs clés de succès de la démarche ;
– la communication : un levier essentiel ;
– la documentation sécurité : un minimum, constitué notamment d’une cartographie des risques, d’une politique de sécurité du système d’information et d’une charte d’utilisation du système d’information et de télécommunication, est nécessaire ;
– les coûts de la sécurité.
Marguerite Brac de La Perrière
Lexing Droit Santé numérique
(1) Guide pour les Directeurs d’établissement de santé, DGOS, nov. 2013.