La mise en place de « référents logiciels » comme première étape d’une mutation des DSI hospitalières

Par Boris SIMONIN : Adjoint Directeur du Système d’Information – [email protected]  

Corentin RINGOT : Elève fonctionnaire – [email protected]  

Kevin ATTAL : Elève fonctionnaire – [email protected]  

En 2021, les hôpitaux français ont subi 730 cyber-attaques (Kerkour, 2022). Selon l’Agence du numérique en santé (ASN), le nombre de ces incidents est en forte croissance avec un doublement de leurs occurrences entre 2020 et 2021. En parallèle, entre le développement du « jumeau numérique » (Farthouat, 2022), l’accroissement des entrepôts de données (Vitard, 2019), la multiplication des logiciels métiers voir même le lancement des premiers hôpitaux dans le métaverse (Caudron, 2022), l’informatique inonde l’hôpital. 

Dans ce contexte, le numérique devient un enjeu croissant en matière de gestion d’un hôpital en France. Cette tendance est telle que tout un volet du plan de relance est dédié au sujet. Le plan d’investissement dans le numérique en santé prévoit d’investir massivement pour « moderniser, faciliter l’interopérabilité, la réversibilité, la convergence et la sécurité des système d’informations » (Ministère de l’Économie, 2020) 

De ce fait, il est nécessaire que les établissements de santé définissent une véritable stratégie qui permette à leur direction des systèmes d’information (DSI) de disposer des ressources nécessaires pour répondre à ces nouveaux défis. 

La conception de la stratégie de la DSI apparaît d’autant plus importante que le numérique est au coeur de la pratique de l’ensemble des agents des services hospitaliers, qu’ils soient professionnels de santé, soignants ou administratifs. Dès lors, les modes d’organisation de cette direction doivent être repensés afin d’offrir plus de sécurité et d’augmenter la compétence des agents qui sont les premiers et parfois les seuls utilisateurs des logiciels métiers. 

Pour autant, dans un contexte de directions multiples et de ressources contraintes, la mise en oeuvre d’une stratégie ambitieuse pour les DSI hospitalières est parfois complexe. Partant de ces constats, il est possible d’imaginer initier cette transformation par la mise en place de « référents logiciels » extérieurs à la DSI. 

La nécessité de diffuser la culture numérique à l’hôpital 

Les DSI des hôpitaux se sont souvent construites à l’écart des autres directions et services hospitaliers. Cette organisation permet d’imaginer deux objectifs : leur garantir une autonomie et une indépendance dans leurs actions. Dans de nombreux cas, ce positionnement a finalement eu l’effet inverse. En effet, ils ont progressivement été mis dans une position de prestataire de service devant évoluer au gré des demandes des autres directions et rendant difficile la construction d’une stratégie globale et indépendante. 

Pourtant, les enjeux informatiques sont de plus en prégnants dans les hôpitaux et nécessiteraient d’augmenter le rôle des DSI. A titre d’exemple, une direction forte aurait plus de facilités pour mettre en place une stratégie concernant la gestion de ses ressources ou la sécurisation et le stockage des données. De même, cette dynamique est essentielle pour construire une architecture et des liens entre les logiciels informatiques robustes ou pour développer efficacement des systèmes de télécommunications permettant des échanges sécurisés entre les professionnels, les patients et les partenaires du territoires (notamment dans la logique de décloisonnement ville-hôpital). 

Le référent logiciel, première pierre d’une refondation des DSI hospitalières 

Partant des constats précédents, il est possible d’envisager la mise en place d’un « référent logiciel » comme première pierre à l’édifice chargé de renverser la tendance de « quasi subordination » de certaines DSI aux autres directions. 

Ce dispositif conduirait à nommer des référents dans chaque pôle ou service de l’hôpital et de les former sur les logiciels utilisés dans les services associés. Ces référents logiciels auraient ainsi un rôle de formation, d’information et de conseil auprès des agents des services. Ils seraient capables de débloquer les agents dans leur pratique ou encore de conseiller les directions des achats des hôpitaux dans les remplacements de logiciels et accompagner la DSI lors de ses interventions. 

En rapprochant ainsi la compétence informatique logiciel des acteurs de terrain, les agents disposeront d’un interlocuteur direct au sein de leur service ou de leur pôle. Ce dispositif permettrait un gain de temps aussi bien du côté des agents que du côté de la DSI. Cette tendance serait d’autant plus marquée que le référent logiciel serait un véritable utilisateur du logiciel. En effet, à l’heure actuelle, les DSI sont souvent contactées pour résoudre des problèmes sur des logiciels qu’ils n’utilisent pas au quotidien, voire jamais. Un référent qui est de surcroît utilisateur apparaît plus cohérent à tous les niveaux. Cela permettrait de sortir de la logique selon laquelle la DSI serait un « prestataire » chargé de répondre à toutes les demandes de ses « clients ». En effet, théoriquement, ils ne devraient être responsables que de la partie mise en place et non de l’utilisation dudit dispositif. De la même manière qu’on ne demanderait pas à un ingénieur travaux de paramétrer l’IRM qu’il a installé, il devrait être naturel qu’un ingénieur informatique ne soit pas mobilisé pour expliquer le fonctionnement des logiciels métiers aux professionnels qui, eux, voient l’application de ces outils et ont les compétences associées. Enfin, il arrive très régulièrement que des logiciels soient installés à l’hôpital et qu’ils arrêtent d’être utilisés dès le départ de la personne motrice sur le sujet. Cela induit une perte d’argent, de temps et de motivation. Cette tendance est liée au fait que la personne motrice n’est pas identifiée comme personne référente logiciel. Elle est d’abord aide-soignant, infirmier, médecin ou autre. De ce fait, le poste est remplacé sans prendre en compte la perte de compétence liée au logiciel. Identifier un référent logiciel permet donc d’éviter cette difficulté. 

La mise en place de ce référent pourrait prendre différentes formes selon les services et les établissements. S’il est d’abord nécessaire de s’appuyer sur l’organisation de chaque établissement et sur les appétences des agents, nous proposons de confier ce rôle aux assistants médico-administratifs (AMA) lorsqu’il n’y a pas de volontaire. En effet, contrairement aux infirmiers ou aux aides-soignants qui travaillent souvent en horaires variables, les AMA possèdent la plupart du temps des horaires fixes tout en étant au contact direct du terrain. De cette manière, ils pourraient être positionnées en personne ressource tout en limitant les risques de discontinuité. De plus, dans la perspective d’un repositionnement progressif d’une partie de leurs activités du fait de l’émergence de nouveaux outils numériques, être référent logiciel leur permettrait de monter en compétence et d’avoir une place encore plus importante dans les établissements. 

Pour aller plus loin, la possibilité d’adjoindre un référent sécurité logicielle 

Face à la recrudescence des attaques informatiques, le gouvernement français a déjà effectué le choix de renforcer la lutte contre la cybercriminalité dans le système de santé. Dans ce prisme, il a récemment adopté des mesures marquantes comme l’obligation faite aux hôpitaux d’avoir 5 à 10% de leur budget informatique qui soit dédié la cybersécurité pour bénéficier des aides du plan de numérisation des établissements de santé. Dans la même tendance, le Gouvernement a prévu d’intégrer un nombre croissant d’hôpitaux à la lise des opérateurs de service essentiels (OSE) (Ministère des finances, 2021) ce qui les soumet, de facto, à des obligations renforcées en matière de sécurité qui sont prévues dans le cadre de la directive NIS (Network and information system security) (Adam, 2021). 

Dès lors, les établissements de santé doivent se préparer à traduire cette prérogative d’un point de vue opérationnel et imaginer se préparer aux attaques informatiques de la même manière qu’ils le font pour faire face aux incendies. Les attaques informatiques sont en effet très fréquentes et peuvent avoir des conséquences non moins négligeables qu’un incendie. Cette prérogative est d’autant plus nécessaire que les modes « dégradés » des logiciels métiers, quand ils existent, sont peu maitrisés par les agents. A tel point, que certains ne soupçonnent même pas l’existence de ces modes dégradés. Cette méconnaissance induit aussi une seconde difficulté : la qualité du mode dégradé n’est souvent pas conforme avec les attendus des agents puisqu’elle n’est souvent pas vérifiée tant qu’elle n’a pas à être mise en oeuvre. Les mises à jour des logiciels peuvent aussi impacter la qualité des modes dégradés. 

Pour toutes ces raisons, il importe qu’une personne soit responsable de la vérification et du suivi de ces outils d’urgence. 

De la même façon qu’il existe des référents incendies dans chaque service, le référent sécurité logicielle serait une personne chargée pour la mise en place des procédures dégradées en cas d’attaque informatique. A terme, il est même possible d’envisager organiser des exercices d’urgence informatique, sur le modèle des exercices d’urgences incendies avec les référents sécurité logicielle. 

S’agissant de l’identité de la personne destinées à être désignée référent sécurité logicielle, le plus naturel serait de nommer les mêmes personnes que celles qui auront été nommées référents logiciels. Pour autant, chaque établissement est différent et devra adapter, le cas échéant, ses pratiques.

En définitive, il importe de repenser la place de la DSI au sein de nos établissements publics de santé. Face aux contraintes organisationnelles et aux ressources limitées de l’hôpital, la transformation de la DSI doit se faire progressivement et procéder par petites évolutions pour avoir un impact sur la durée. Dans cet esprit, mettre en place des référents logiciels apparaît comme une première étape qui peut permettre de changer le fonctionnement de la DSI et ses rapports avec les services. 

Bibliographie 

ADAM, L. (2021), « Sécurité des hôpitaux : Le gouvernement joue de la carotte et du bâton », ZDnet.fr 

CAUDRON, T. (2022), « Le premier hopital en metaverse », Futura Tech 

KERKOUR, T. (2022), « Les cyberattaques contre les établissements ont doublé en 2021 », Le Figaro 

MINISTERE DE L’ECONOMIE (2020), « Plan d’investissement dans le numérique en santé », economie.gouv.fr 

MINISTERE DE L’ECONOMIE (2021), « Sécurité des réseaux informatiques des établissements de santé : le Gouvernement renforce sa stratégie », Communiqué de presse Olivier Véran et Cédric O 

VITARD, A. (2019), « Pour soutenir la recherche clinique, l’hôpital Foch ouvrira son propre entrepôt de données de santé en janvier », L’Usine digitale