Sécurité de l’hébergement des données de santé : l’AP-HM premier établissement public en France à obtenir l’agrément ISO 27001

La Direction des Services Numériques de l’AP-HM, vient d’être certifiée ISO 27001 pour le management de la sécurité de son hébergement de données de santé. Cette certification vient récompenser une coopération synergique entre des services conscients des enjeux pour les patients, les médecins et les systèmes.

Trajectoire

C’est le fruit de plusieurs années de construction (certification ISO 9001 depuis 2005 recentrée sur les processus ITIL (Information Technology Infrastructure Library)  de l’ISO 20000 en 2014, ainsi que deux agréments d’hébergement de données de santé (HDS) – ASIP/CNIL sur la même période).  La certification 27001 marque l’anticipation des contextes des systèmes d’information de santé. En effet, l’agrément HDS évolue vers cette norme tout comme la certification HAS (2014) qui situe une gestion par les risques et une maîtrise de sa sécurité informatique au cœur des responsabilités des établissements de santé.

Sur la photo :
Philippe MAYER, Directeur des Systèmes d’Information
et Philippe TOURRON, Responsables de la Sécurité des Systèmes d’Information

La qualité comme objectif

Une certification n’étant pas une fin en soi, la démarche d’amélioration continue qui l’accompagne est gage de confiance pour les patients, les professionnels de santé et les établissements de santé hébergés. Ainsi tous les cadres réglementaires convergent aujourd’hui vers cette norme : HAS, certification des comptes, politiques de sécurité de l’Etat, Ministère des Affaires sociales et de la Santé, ASIP, agrément HDS ou RGS. Par ailleurs, dans le contexte actuel de cyber-menaces permanentes de plus en plus ciblées sur les données de santé et le développement de la e-santé, elle permet de construire et de faire évoluer un modèle de sécurité adapté aux besoins des professionnels de santé et des patients.

Au plan pratique

Si ce modèle comporte bien évidemment des composants techniques indispensables, il repose en grande partie sur des équipes capables d’anticiper, de réagir rapidement aux attaques et aux évolutions en s’appuyant sur des documents solides ainsi qu’une implication à tous les niveaux de décisions. C’est cette capacité d’organisation et de management de la sécurité des systèmes d’information que consacre cette certification autour du RSSI (Responsable de la sécurité des systèmes d’information) avec l’appui indispensable du DSI.

L’ISO27001 est un accélérateur des grands chantiers SIH à venir

La sécurité souvent considérée comme une contrainte ou un centre de coût est aujourd’hui une source d’opportunités avec la mobilité au sens large, la dématérialisation, la signature électronique, l’accès du SI aux patients et aux professionnels de santé. Dans ce contexte d’ouverture, nous avons besoin d’une rigueur d’autant plus importante, qui nous a conduit à suivre cette démarche de certification ISO 27001 (management de la sécurité) intégrant une part importante d’audit de fonctionnement et de conformité.

Enfin, le défi permanent qui fait la spécificité des établissements de santé est la diversité des applications et des éditeurs d’applications. Cette diversité importante s’accompagne d’un niveau de sécurité des applications très hétérogène. La continuité, l’intégrité des données, la confidentialité, les habilitations, la sécurité dans le développement et les changements de version sont de réels enjeux. Nous utilisons plusieurs centaines d’applications différentes provenant d’éditeurs très nombreux. Elles affectent le périmètre du SIH « classique », les périmètres concernant le biomédical ou la gestion technique. Cela demande donc un effort considérable à entreprendre au niveau des éditeurs pour obtenir un socle minimal en termes de sécurité et de confidentialité dans les applications. C’est un enjeu extrêmement important pour l’avenir qui pourra peut-être là aussi passer par un label sécurité des logiciels qui a été initié par l’ANAP mais aussi par une intégration sécurisée telle que nous essayons progressivement de mettre en place avec une « bulle ou une capsule HDS » objet de notre certification, garantissant l’accès avec authentification forte (CPS/OTP), une résilience et une sauvegarde intégrées et une capacité de réaction en cas d’incident minimisant les impacts. Toutes les applications ne sont pas éligibles à ce mode, mais le périmètre de notre certification permet un levier en terme d’organisation et de technique pour amener progressivement nos applications vers ce niveau de sécurité. Le contexte actuel de cyber-menaces graves nous amène donc à gérer nos risques en temps réel avec une anticipation de type préventif et un entrainement nous permettant d’organiser la protection et la continuité des services.

L’intégration à la Direction des Services Numériques 

L’AP-HM depuis 3 ans mène une évolution majeure de son système d’information dans des délais extrêmement courts. Le DPI (Dossier Patient Informatique) est très largement déployé (dossier patient, dossier de soin, Rendez-vous, Blocs, Urgences). Une évolution significative de son architecture technique, en lien avec la certification, doit se poursuivre en 2017. L’ouverture vers la ville via la Messagerie Sécurisée de Santé est en cours. Un portail patients-praticiens rapprochant la structure des acteurs externes est inscrite dans l’ordre naturel des choses.  La gestion de dossiers tel que FIDES, PESV2, une refonte complète du cadre d’interopérabilité avec une volonté marquée de maîtriser   les solutions y compris la sécurité sont impactées.

L’agrément ISO 27001 obtenu par l’AP-HM, s’il ne constitue qu’une étape, conforte notre ambition et la qualité de notre engagement sur le chemin de la qualité et de la sécurité. Bien plus qu’un marqueur technique, il honore la coopération des professionnels au service de l’essentiel : soigner des patients dans les meilleures conditions d’efficacité possibles.