Publicité en cours de chargement...
Signalement des incidents SI, le rapport annuel de l’Asip
Le premier point qui frappe, c’est le nombre d’incidents signalés : sur un an glissant (d’octobre 2017 à septembre 2018), il est fait mention de 319 signalements. Même si le total semble, à première vue, élevé, il est en fait insignifiant. La France compte plus de 1 000 structures de santé publiques (sans compter les cliniques privées et les PSPH), ce qui fait donc en moyenne un signalement par an pour un établissement sur trois, autant dire rien. Sur un CHU, on peut dire qu’il se produit en moyenne au moins un incident par mois qui relèverait d’une déclaration (panne importante de l’infrastructure, coupure d’un lien télécom, attaque virale circonscrite, bug logiciel métier, etc.), ce qui fait donc 12 x 31 = 372 signalements pour ces seuls établissements. Si l’on ajoute dans la corbeille les structures de soins importantes hors CHU, on devrait, au bas mot, arriver à tripler ce chiffre, et en englobant l’ensemble des établissements, il faudrait au minimum le décupler.
Est-ce le raisonnement qui est tenu par les rédacteurs du rapport lorsqu’ils affirment (page 9) qu’à peine 20 % des incidents sont déclarés ? Il serait bon de connaître leur mode de calcul et de disposer d’une petite liste d’exemples concrets dans les grands domaines d’incidents précédemment cités, afin que les responsables puissent améliorer la qualification qui doit donner lieu, ou non, à une déclaration. Il serait ainsi peut-être possible d’expliquer pourquoi (figure 6, page 13) les régions les moins peuplées ne sont pas celles qui déclarent le moins d’incidents.
L’autre point important concerne la répartition des types d’impact sur les données (figure 10, page 16). L’atteinte à l’intégrité des données (qui, dans le monde de la santé, entraîne malheureusement et fréquemment des conséquences irréversibles sur les soins) ne représente « que » 17 % des cas. On s’interroge en revanche sur les 33 % identifiés comme n’ayant aucun impact – si tel est le cas, en quoi sont-ils des incidents ?
En figure 11, page suivante, on constate un pic dans les incidents d’origine malveillante à l’été 2018. J’espère que c’est juste l’effet « grandes vacances » et que la courbe va retomber, sinon il y a des raisons de s’inquiéter : les cryptolockers sont la hantise de tout RSSI dans la mesure où il n’existe malheureusement que très peu de contre-mesures.
Avec les figures 13 et 14 (page 18), on n’est pas étonné par le fait que, pour la partie des incidents d’origine non malveillante, on trouve les pannes de réseau et d’infrastructure (on s’y attendait), mais, selon mon expérience personnelle, les dysfonctionnements dus à des erreurs de manipulation par les équipes IT sont beaucoup plus importants en pourcentage : cela sent à plein nez le déni de déclaration. Enfin, parmi les incidents les plus graves analysés, on note tout de même le blocage pendant plusieurs jours de deux structures de santé à la suite d’une attaque virale.
Si le dispositif de signalement des incidents SI est incomplet, il est indispensable pour au moins deux raisons. La première, c’est qu’il permet de sortir du déni : certains pensent à tort que, « dans la santé, l’informatique va bien et ne tombe jamais en panne ». Avec le déploiement de logiciels critiques – par exemple dans le domaine de la prescription –, ne pas mesurer les incidents s’apparente à développer le réseau routier sans mettre en place Bison Futé. La seconde, c’est qu’il permet d’enclencher le cercle vertueux de l’amélioration continue, mais nécessite absolument la dépénalisation des incidents de sécurité SI. Si un établissement qui signale un incident – dû par exemple à une mauvaise manipulation ou à une protection périmétrique défaillante – se fait tirer les oreilles, la réaction sera immédiate : l’établissement en question ne signalera plus rien et préférera mettre la poussière sous le tapis. Comme le souligne Christian Morel [2], la dépénalisation des signalements des incidents de vol a été l’un des principaux facteurs d’amélioration de la sécurité dans l’aviation civile.
[1] http://esante.gouv.fr/sites/default/files/asset/document/asip
_acss_rapport_public_observatoire_signalements_issis_v18.pdf
[2] Les Décisions absurdes, Gallimard, 2002, ouvrage réédité en 2014.
Avez-vous apprécié ce contenu ?
A lire également.

Naissance de SoFIA-Santé : une société savante francophone dédiée à l’intelligence artificielle en santé
23 juin 2025 - 11:53,
Brève
- DSIHLa Société Francophone de l’Intelligence Artificielle en Santé (SoFIA-Santé) annonce officiellement sa création. Cette nouvelle société savante a pour ambition de devenir un acteur de référence dans le développement éthique, responsable et scientifique de l’intelligence artificielle (IA) dans le dom...

Semaine de la QVCT 2025 : Les entreprises se bougent pour la prévention du cancer : plus de 70 organisations engagées dans le Challenge CAC
23 juin 2025 - 11:19,
Communiqué
À l’occasion de la Semaine de la Qualité de Vie et des Conditions de Travail (QVCT), Dépist&vous et les Entreprises contre le Cancer – GEFLUC France & IDF saluent l’engagement de plus de 70 entreprises et institutions ayant rejoint la première édition du Challenge CAC – Companies Against Cancer.

CareLib : une innovation co-construite au service du soin à l’EHPAD Les Charmilles
23 juin 2025 - 10:49,
Actualité
- Maellie Vezien, DSIHEn EHPAD, un résident chute en moyenne 1,7 fois par an, contre 0,65 à domicile. Un chiffre qui en dit long sur l’urgence de pouvoir détecter rapidement ces incidents et offrir un moyen simple et fiable d’appeler un soignant, peu importe l’endroit où se trouve le résident.

Changer de solution SIH : méthode, engagement et vision d’usage pour réussir le déploiement
16 juin 2025 - 22:32,
Tribune
-Changer de DPI, de SIRH ou d’outil logistique n’est plus un simple projet technique. Dans un contexte hospitalier sous tension, réussir le changement et le déploiement d’une solution SIH impose une approche rigoureuse, coconstruite et profondément orientée utilisateurs. Objectiver les choix, sécuris...