Bérengère Poletti
Question N° 65233 au Ministère de la Santé
Question soumise le 1er décembre 2009
Mme Bérengère Poletti attire l'attention de Mme la ministre de la santé et des sports sur les problématiques du piratage informatique des hôpitaux. Alors que les hôpitaux investissent massivement dans les services informatiques, la sécurité de ces systèmes est devenue un sujet sensible. Pour preuve, les dernières assises de la sécurité et des systèmes d'information qui se sont tenues en octobre dernier à Monaco, ont pour la première fois décidé de constituer un pôle santé pour étudier la question. L'informatisation constitue un avantage considérable pour la santé, notamment pour la prise en charge thérapeutique. Cependant, elle s'expose à des risques importants de piratage, comme l'a montré le virus Conficker qui a paralysé plusieurs hôpitaux il y a quelques mois. La sécurité informatique n'a vraisemblablement pas été une priorité pour les établissements médicaux. Cependant, avec les perspectives du dossier médical personnel (DMP) et le développement de la télésanté, la sécurisation des systèmes d'information hospitalier (SIH) doit être une priorité. Plusieurs expérimentations sont en cours dans plusieurs hôpitaux pour développer des solutions à la fois plus sûres et aussi mieux adaptées aux activités et aux personnels. Aussi, elle souhaiterait connaître l'état de ces recherches et les solutions qu'elle entend donner à cette problématique.
Réponse émise le 30 mars 2010
La sécurité des systèmes d'information est une préoccupation majeure du ministère chargé de la santé, qui, conscient des enjeux, a pris en compte ce sujet particulièrement sensible dans la loi du 21 juillet 2009 portant réforme de l'hôpital et relative aux patients, à la santé et aux territoires. Avec le développement de l'e-santé, de la télémédecine et la nécessité d'assurer la continuité de service tout en préservant la confidentialité des données médicales personnelles, il convient de maîtriser les vulnérabilités des systèmes d'information dans le monde médical. Les récentes assises de la sécurité et des systèmes d'information ont reçu le patronage et un soutien effectif du ministère au travers de : la participation aux comités de pilotage de cet évènement ; la contribution lors de la définition du programme dédié à la thématique « santé » ; l'intervention de représentants du ministère ou d'organismes sous tutelle lors des conférences publiques. De nombreuses actions sont menées actuellement auprès des acteurs de la santé pour mettre en exergue l'exigence de sécurisation des systèmes d'information et la nécessité de trouver des solutions en harmonie avec les pratiques médicales. Avec les agences régionales de l'hospitalisation, le ministère a lancé des sessions de sensibilisation aux risques liés à l'intégration grandissante de l'informatique dans les actes médicaux. Cette démarche sera poursuivie avec la mise en place des agences régionales de santé. Le besoin de sécurité pour le dossier médical personnel (DMP), afin d'assurer la confidentialité des données, est primordial. Des textes précisant les conditions de sa mise en oeuvre, tels que le décret confidentialité et le décret portant sur les conditions d'hébergement et la labellisation des offres, sont en cours de rédaction. Le cadre réglementaire et les exigences de sécurité sont étudiés en collaboration avec l'Agence nationale de sécurité des systèmes d'information (ANSSI). Cette approche constitue un gage de traitement adéquat du sujet et la manifestation de la volonté du ministère de traiter ce sujet en adoptant les meilleures pratiques, qui se traduiront notamment par la production de référentiels. Les agences régionales de santé créées par la loi du 21 juillet 2009 portant réforme de l'hôpital et relative aux patients, à la santé et aux territoires, l'Agence nationale d'appui à la performance des établissements de santé et médico-sociaux (ANAP) et l'Agence des systèmes d'information partagés de santé (ASIP), en charge des nouvelles offres de soins, comme la télémédecine ou l'e-santé, favorisent l'interopérabilité et la sécurité des données par la création de référentiels. Concernant les expérimentations en cours, des solutions sont à l'étude visant à améliorer le niveau de sécurité, tout en s'intégrant plus naturellement dans les pratiques courantes des professionnels de santé. C'est en particulier le cas de l'expérimentation de la carte des professionnels de santé (CPS). Un groupe de travail, associant des professionnels hospitaliers, a été constitué pour traiter le sujet de la sécurisation des équipements connectés aux systèmes d'information hospitaliers (SIH). Le document portant sur les exigences de sécurité, auxquelles ils devront répondre, est en cours de finalisation et sera soumis, à l'Agence nationale de sécurité des systèmes d'information. L'objectif de ce document est de se prémunir des attaques telles que celles des virus Confiker.
Aucun commentaire n'a encore été formulé sur cette question.