Vous êtes dans : Accueil > dsi >
Dans une première partie(1), nous avons examiné les deux grandes familles de politique d’habilitation dans les accès à un DPI d’établissement de santé. Nous en avons conclu que la seule méthode viable à terme au sein d’un GHT était celle du contrôle a posteriori. Dans une deuxième partie(2), nous avons décrit les trois conditions pour aller vers ce mode de gestion : concertation entre les CME, systèmes homogènes de sanctions au sein de tous les établissements du GHT et généralisation de l’analyse des traces d’accès. Dans une troisième partie(3), nous avons décrit les grands principes du système de contrôle d’accès aux données patients. Intéressons-nous maintenant à la question des accès aux données des administrateurs qui, à une époque pas si lointaine, faisait pas mal fantasmer dans les chaumières (j’ai connu des diplodocus qui refusaient de saisir des données dans un logiciel métier au prétexte que le DBA(4) y avait accès en direct en saisissant des requêtes SQL).
Dans une première partie(1), nous avons examiné les deux grandes familles de politique d’habilitation dans les accès à un DPI d’établissement de santé. Nous en avons conclu que la seule méthode viable à terme au sein d’un GHT était celle du contrôle a posteriori. Dans une deuxième partie(2), nous avons décrit les trois conditions pour s’acheminer vers ce mode de gestion : concertation entre les CME, systèmes homogènes de sanctions au sein de tous les établissements du GHT et généralisation de l’analyse des traces d’accès.
La conférence annuelle de l’Asip Santé a été l’occasion de questionner les grands défis de l’e-santé et de la transformation numérique, mais aussi de montrer, sondages à l’appui, que le grand public est plus ouvert aux nouvelles technologies de santé que les professionnels.
La reconnaissance vocale au curseur de Nuance équipe les praticiens de l’Hôpital européen de Marseille pour permettre une meilleure tenue du DPI, produire les lettres de liaison à J-0 et aider l’établissement à absorber la croissance de son activité, de plus de 45 % depuis son ouverture en 2013. Choix stratégique pour la DSI de l’hôpital, Dragon Medical Direct de Nuance a déjà permis des gains d’efficience, notamment dans le service des urgences, qui a gagné 25 % en temps de prise en charge des patients.
La question de la politique d’habilitation des accès à un DPI d’établissement a fait couler beaucoup d’encre, dès que les premiers plans nationaux d’informatisation ont démarré au milieu des années 2000 : plan Hôpital 2007, puis 2011, etc. Tant que chaque service d’un hôpital était informatisé par un progiciel vertical de spécialité, la question ne se posait pas : dès lors que les DPI transversaux ont déboulé, il a bien fallu réfléchir à une politique générale, et pas seulement à l’accès des cardiologues aux dossiers des patients hospitalisés en cardiologie. Il y a, globalement, deux façons de répondre à ce besoin.
L’Association FORMATICSanté confirme son positionnement en proposant ce nouvel évènement de référence au cœur d’un sujet d’actualité. Des représentants institutionnels, des experts en e-santé et e-formation, des professionnels de santé partageront leur point de vue et leurs expériences et des prestataires du secteur de la e-santé et de la e-formation vous présenteront des solutions innovantes.
Il n’y a pas que les fleuves et les rivières qui débordent en ces temps diluviens. Nos espaces disques aussi peinent à contenir la pluie ininterrompue des données numériques.
On commence l’année à fond à fond à fond. Meltdown et Spectre ont alimenté la presse spécialisée toute la semaine – et ce n’est certainement pas terminé. Voir à ce sujet l’excellent podcast du Comptoir Sécu(1), qui propose une synthèse de très bon niveau, et que l’on peut le résumer de la sorte.
Dans le cadre professionnel, les technologies numériques et le partage des données ou des informations constituent une réalité. Leur bon usage et leur sécurisation sont primordiaux. Comme en 2016, les établissements hospitaliers de Saintonge(1) et de Saint-Jean-d’Angély(2) se sont mobilisés pour répondre aux besoins de formation aux bons usages des technologies numériques dans le respect du secret professionnel qui en découle et améliorer ainsi la sécurité de leur système informatique. Les professionnels saintongeais et angériens (personnel médical, non médical et représentants des usagers) ont été conviés à une session de sensibilisation sur le sujet.
Là tout de même, j’avoue que de mémoire de Cédric on n’avait pas connu un tel début d’année, un vrai feu d’artifice. Je vous laisse juge.
Succédant à la sensibilisation(1) et au RGPD(2), le troisième thème abordé lors de ce colloque SSI co-organisé par la DGOS, la DSSIS, le service du HFDS et l’ASIP Santé, fut la mise en œuvre des démarches nationales de prévention des incidents SSI.
Prenez deux RSSI, branchez-les sur la question de la méthode de l’appréciation des risques, et il y a de fortes chances que le lendemain à la même heure ils soient encore en train de s’écharper sur la question de savoir quelle est la meilleure. Petit historique.
Depuis quelques mois, le sujet « RGPD » sature la bande passante des canaux d’information des DSI et des RSSI de santé. Son application en mai 2018 (c’est bientôt), ses 99 articles et 173 considérants (c’est épais), les montants des amendes pour non-conformité (élevés) et l’ampleur du travail estimé (important) font partie des sources d’angoisse générées.
Certains d’entre vous ont peut-être déjà eu l’occasion de visiter cet édifice incroyable, situé à Hauterives dans la Drôme : le Palais idéal de Ferdinand Cheval (1). Inclassable et mélangeant des thématiques aussi variées qu’improbables (église gothique, manoir féodal, temple hindou, mosquée, etc.), il est l’œuvre d’une vie et défie encore aujourd’hui les lois de la construction, au point que les experts continuent de s’interroger sur la manière dont certaines pièces ont été assemblées pour réussir à tenir ainsi…
Après Bordeaux, Strasbourg, Lille, Lyon, Nantes, La Réunion, Montpellier, Marseille, La Martinique et Dijon, la campagne #FASN continue son tour des régions françaises et organise sa prochaine étape régionale - 36 Heures Chrono IDF - le 14 décembre à l’UIC-P Paris pour accélérer le développement de la filière e-santé et le déploiement de projets innovants.
Tout comme le congrès national de la sécurité des SI de santé organisé par l’APSSIS dans cette très belle ville qu’est Le Mans, le colloque SSI Santé du 14 avenue Duquesne à Paris est devenu un rendez-vous annuel à ne pas manquer pour tous les acteurs du secteur.
Ça y est, pas mal de GHT ont déjà démarré les travaux de convergence de leur SI… Bon, OK, je reformule, pas mal de GHT ont déjà démarré les travaux de réflexion sur ce qui va devoir converger ou pas, et dans quel ordre. Bon, OK, OK, je reformule encore : pas mal de GHT ont commencé les réunions des DSI, ça vous va ?
Dans un récent article(1), Ticsanté relate une étude récemment réalisée par Frédéric Kletz, enseignant-chercheur à Mines ParisTech, et présentée à un colloque de l’Anap. Sans entrer dans les détails de l’article, notons que le bilan dressé est mitigé en termes de gains pour les organisations et d’adhésion des utilisateurs, en particulier du corps médical (en tout cas ceux qui ont été interrogés par l’étude). L’article est court, le rapport de l’étude certainement bien plus long, et nous ne pouvons donc que faire des suppositions sur les points évoqués, ces précautions oratoires étant importantes afin de ne pas dévaloriser le travail réalisé.
Convaincue que les professionnels de santé doivent poursuivre un processus dynamique d’acculturation aux technologies numériques en constante évolution, l’équipe de DSIH lance son activité de formation avec d’ores et déjà deux modules proposés : « Stratégie des SI de Santé » et « ISO/IEC 27001 Lead Implementer ».
Témoigner dans une tribune de DSIH.fr a pour principal intérêt de recueillir les réactions des lecteurs, industriels et professionnels des systèmes d’information de santé, afin de s’enrichir des avis et des idées qui permettent de faire avancer les réflexions, dans un domaine où il n’existe pas encore de guide de bonnes pratiques (en attendant les précieux guides de l’Anap) et où les contextes locaux sont tous très différents.
Dans le cadre des groupements hospitaliers de territoire, la DSI doit réorganiser les systèmes d’information afin d’optimiser la stratégie souhaitée sur le territoire. Gestion des données patients, échanges confidentiels, accès aux informations à sécuriser… sont autant de sujets à préparer.
En avril dernier, en plein congrès de l’Apssis, je commettais déjà un premier article(1) sur le sujet expliquant que l’obtention de l’agrément HDS nouvelle mouture (qui sera effectif en 2018) coûterait au bas mot deux à trois fois plus cher que l’obtention de l’ancienne version, ce qui faisait déjà une sacrée note.
La 10e étape régionale de la campagne « Faire avancer la santé numérique » (#FASN) a réuni 190 décideurs de l’e-santé en Bourgogne-Franche-Comté pour mettre en lumière les grands programmes régionaux impactant l’organisation territoriale des soins et les initiatives d’innovation portées par les acteurs du terrain.
Le Mans accueillera les 3, 4 et 5 avril 2018 le déjà 6e Congrès national de la sécurité des SI de santé (#CNSSIS2018) pour un marathon de 24 heures de conférences, tables rondes, séquences interactives et 12 heures de Networking selon les objectifs habituels assignés à l’événement : densité, qualité et liberté de ton.
Le sujet s’étire en longueur, mais à force de creuser on se rend compte que certains aspects sont plus compliqués que prévu.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un second volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Nous avons conclu dans un dernier volet(4) sur les difficultés inhérentes à cette démarche. Il est maintenant temps de nous lâcher un peu sur ce qui est, très clairement, une entreprise d’intox généralisée chez pas mal de fournisseurs : l’esbroufe autour du RGPD, ce que cela implique et les outils pour devenir conforme.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Il nous reste à conclure sur les difficultés de la démarche.
Etablissement support du GHT de Bourgogne méridionale, le CHU de Mâcon subissait régulièrement des attaques de crypto-ransomware. "Leur impact était limité grâce à nos sauvegardes, mais ces malware ont entraîné des arrêts de production durant plusieurs heures - la pharmacie notamment - générant des dysfonctionnements dans les protocoles et l'usage des médicaments", souligne Jean-Christophe Tamboloni, Directeur du Système d'Information.
InterSystems, dont la technologie de gestion des dossiers patients informatisés (DPI) a été déployée par davantage d’hôpitaux que toute autre technologie concurrente au cours des quatre dernières années, est aujourd’hui un acteur majeur du secteur de la santé dans le monde.
3, 4 et 5 avril 2018 : voilà les dates du 6e Congrès national de la sécurité des SI de santé !
Le magazine ticsanté relate cela dans ses colonnes(1), et le jugement est particulièrement intéressant.
Dans ma précédente prose(1), je me suis livré à l’analyse du durcissement du ton des autorités US vis-à-vis de l’éditeur d’antivirus russe Kaspersky. Certains commentaires postés sur LinkedIn m’ont fait remarquer à juste titre – et je les en remercie – qu’il existait des éditeurs européens, par exemple Bitdefender. J’en profite d’ailleurs pour préciser que le consortium Hexatrust est constitué d’éditeurs français d’excellent niveau officiant dans le domaine de la sécurité, comme ITrust et bien d’autres.
Quatrième édition très attendue du Cyber@Hack le 21 septembre prochain. Au programme : de l’innovation, de l’échange et de la découverte. Entretien avec Marion Godefroy, Marketing and Communication Manager chez Itrust.
Après les grandes annonces (les SI de GHT sont convergents sous 3 à 5 ans, une gageure) on voit enfin s’élever la voie de la raison, en l’occurrence lors de l’université d’été de la FHF (1! qui réclame de la souplesse dans l’élaboration des SDSI et leur mise en œuvre ? C’est bien.
On ne cesse de le répéter, mais les vacances, comme les week-ends et les jours fériés sont des moments privilégiés pour lancer de nouvelles attaques ! Moins de personnel en général, moins de monde à la DSI, donc moins de surveillance et moins de techniciens sur place pour jouer les pompiers en cas d’incident. Par conséquent, beaucoup plus d’impact !
Réponses d'Eduard Meelhuysen, VP Ventes EMEA de Bitglass
Spécialement conçue pour les professionnels de santé – DA, DSI, RSI, RSSI, référents, médecins DIM et chefs de projets –, la nouvelle formation de l’APSSIS a été délivrée trois fois, à Paris, Nantes et Bordeaux, réunissant à chaque session une dizaine d’établissements publics et de structures de santé privées. La formation sera délivrée à Dinard, en partenariat avec DSIH magazine, les 11, 12 et 13 septembre 2017.
Pour les vacances, ou plutôt pour ceux qui ont la chance d’en avoir… Mais aussi pour les autres (il n’y a pas de raisons), je vous propose un petit tour d’horizon des sujets d’actualité que j’ai trouvé intéressants en ce premier mois d’été.
Même si le numerus clausus est en augmentation depuis quelques années déjà, les besoins restent supérieurs au nombre de médecins, ce qui fait qu’ils sont aujourd’hui, toujours en position de force (c’est la loi de l’offre et de la demande). Même si le nombre de médecins en France n’a jamais été aussi important, et qu’il devrait encore fortement augmenter dans les années à venir, cette situation n’est pas prête de changer selon la DREES (1). L’avenir nous le dira.
Courrier International publie cette semaine un très intéressant dossier sur la lutte antivirale à l’échelon planétaire, faisant suite aux deux alertes majeures Wannacry et Petya. Rappelons que le principe de l’hebdomadaire n’est pas de défendre un point de vue mais de présenter un panel relativement large des points de vue internationaux sur chaque sujet.
Spécialement conçue pour les professionnels de santé – DA, DSI, RSI, RSSI, référents, médecins DIM et chefs de projets –, la nouvelle formation de l’APSSIS a été délivrée trois fois, à Paris, Nantes et Bordeaux, réunissant à chaque session une dizaine d’établissements publics et de structures de santé privées. Le taux de satisfaction global mesuré est supérieur à 19/20, chacun appréciant le contenu, la dynamique, la qualité des documents proposés et l’interaction entre les participants, dont le nombre est volontairement limité.
À travers cette chronique faisant à la fois la synthèse des 5 précédents, Michaël De Block, directeur de l’information numérique des Hôpitaux de Champagne Sud, qui pilote le chantier SI pour le GHT de l’Aube et du Sézannais, met en relief une facette du métier de DSI qu’on connaît moins bien et qui fait partie intégrante de ses fonctions (surtout depuis la mise en place des GHT) : la recherche de financements.
Une alerte virale est en cours – une de plus – et l’ensemble des RSSI hospitaliers (et des autres secteurs bien entendu) sont en alerte, échangent régulièrement sur l’état d’avancement, les points de vigilance (1), les patches et vulnérabilité, etc.
Si le département du cantal est en alerte à cause des orages, c’est une bonne partie des RSSI et DSI de la planète qui retiennent leur souffle à l’heure qu’il est.
Le système de licencing d’Oracle est perçu comme un véritable cauchemar pour une majorité de nos DSI. Avec la généralisation de la virtualisation de machines, Oracle a su trouver un système de licencing lucratif et souvent considéré comme inaccessible pour la plupart de nos établissements de santé.
Dans le monde de la santé, en matière de sécurité des SI – au sens très large du terme –, il s’est passé plus de choses durant les deux dernières années que dans les 20 qui ont précédé.
À partir du 1er octobre 2017, les établissements de santé devront déclarer les incidents de sécurité SI. Et c’est une bonne chose. Lors de la Paris Healthcare Week, le directeur de l’Asip Santé, Michel Gagneux, a détaillé le dispositif et sa mise en œuvre, qui font suite à l’article 110 de la loi du 26 janvier 2016. Pas mal d’articles ont récemment été écrits sur le sujet, et notamment celui de ticsante [1] et, bien entendu, ceux de DSIH [2].
Les plus lus