Bernard Carayon
Question N° 66567 au Ministère de la Santé
Question soumise le 15 décembre 2009
M. Bernard Carayon attire l'attention de Mme la ministre de la santé et des sports sur les problématiques du piratage informatique des hôpitaux. Alors que les hôpitaux investissent massivement dans les services informatiques, la sécurité de ces systèmes est devenue un sujet sensible. Les dernières assises de la sécurité et des systèmes d'information qui se sont tenues en octobre dernier à Monaco, ont pour la première fois décidé de constituer un pôle santé pour étudier cette question. L'informatisation constitue un avantage considérable pour la santé, notamment pour la prise en charge thérapeutique. Cependant, elle s'expose à des risques importants de piratage, comme l'a montré le virus conficker qui a déjà paralysé plusieurs hôpitaux. La sécurité informatique n'a vraisemblablement pas été une priorité pour les établissements médicaux. Cependant, avec les perspectives du dossier médical personnel (DMP) et le développement de la télésanté, la sécurisation des systèmes d'information hospitalier (SIH) doit être une priorité. Plusieurs expérimentations sont en cours dans plusieurs hôpitaux pour développer des solutions à la fois plus sûres et aussi mieux adaptées aux activités et aux personnels. Aussi, il souhaiterait connaître l'état de ces recherches et les solutions qu'elle entend donner à cette problématique.
Réponse émise le 16 novembre 2010
La sécurité des systèmes d'information est une préoccupation majeure du ministère chargé de la santé qui, conscient des enjeux, a pris en compte ce sujet particulièrement sensible dans la loi du 21 juillet 2009 portant réforme de l'hôpital et relative aux patients, à la santé et aux territoires. Avec le développement de l'e-santé, de la télémédecine et la nécessité d'assurer la continuité de service tout en préservant la confidentialité des données médicales personnelles, il convient de maîtriser les vulnérabilités des systèmes d'information dans le monde médical. Les récentes assises de la sécurité et des systèmes d'information ont reçu le patronage et un soutien effectif du ministère au travers de : la participation aux comités de pilotage de cet évènement ; la contribution lors de la définition du programme dédié à la thématique « santé » ; l'intervention de représentants du ministère ou d'organismes sous tutelle lors des conférences publiques. De nombreuses actions sont menées actuellement auprès des acteurs de la santé pour mettre en exergue l'exigence de sécurisation des systèmes d'information et la nécessité de trouver des solutions en harmonie avec les pratiques médicales. Avec les agences régionales de l'hospitalisation, le ministère a lancé des sessions de sensibilisation aux risques liés à l'intégration grandissante de l'informatique dans les actes médicaux. Cette démarche sera poursuivie avec la mise en place des agences régionales de santé. Le besoin de sécurité pour le dossier médical personnel (DMP), afin d'assurer la confidentialité des données, est primordial. Des textes précisant les conditions de sa mise en oeuvre, tels que le décret confidentialité et le décret portant sur les conditions d'hébergement et la labellisation des offres, sont en cours de rédaction. Le cadre réglementaire et les exigences de sécurité sont étudiés en collaboration avec l'Agence nationale de sécurité des systèmes d'information (ANSSI). Cette approche constitue un gage de traitement adéquat du sujet et la manifestation de la volonté du ministère de traiter ce sujet en adoptant les meilleures pratiques, qui se traduiront notamment par la production de référentiels. Les agences régionales de santé créées par la loi du 21 juillet 2009 portant réforme de l'hôpital et relative aux patients, à la santé et aux territoires, l'Agence nationale d'appui à la performance des établissements de santé et médicosociaux (ANAP) et l'Agence des systèmes d'information partagés de santé (ASIP), élaborent des référentiels pour favoriser l'interopérabilité et garantir la sécurité des systèmes d'information. Concernant les expérimentations en cours, des solutions sont à l'étude visant à améliorer le niveau de sécurité, tout en s'intégrant plus naturellement dans les pratiques courantes des professionnels de santé. C'est en particulier le cas de l'expérimentation de la carte des professionnels de santé (CPS). Un groupe de travail regroupant des responsables sécurité des systèmes d'information de CHR/CHU et d'ingénieurs biomédicaux a bien produit un document qui est diffusé auprès des responsables sécurité des systèmes d'information des hôpitaux qui eux même en assurent la promotion auprès des professionnels de santé menant des marchés d'acquisition. Ce document a aussi été soumis à l'agence de sécurité des systèmes d'information qui a apprécié sa pertinence. Il est depuis peu porté à la connaissance de syndicats d'éditeurs et de constructeurs pour favoriser son appropriation.
Aucun commentaire n'a encore été formulé sur cette question.