La confiance en santé numérique : l’accélération est nécessaire !

21 oct. 2019 - 11:37,

Communiqué

- Sébastien Deon, Adista
      
  • La santé, un contexte anxiogène

Dans un contexte de vieillissement de la population, de l’allongement de l’espérance de vie et du nombre croissant de malades atteints de pathologies chroniques, un des enjeux de notre société est d’améliorer le quotidien des malades tout en réduisant les dépenses de santé.

Pour y arriver, en complément des traitements curatifs, il est nécessaire de fournir des dispositifs médicaux préventifs et prédictifs.

Ces dispositifs nécessairement intelligents et communicants génèrent et génèreront une masse de données de santé de toutes formes qu’il faudra être en mesure de capter, transporter, stocker, faire circuler, analyser, protéger et restituer de façon fiable.

La fiabilité de ces mécanismes, aussi relative soit-elle, n’est permise que par un ensemble cohérent et supervisé de mesures visibles au travers de politiques, processus, plans, procédures et autres instructions en tout genre : gouvernance, politique de sécurité de système d’information, transport, communication, sauvegarde, hébergement, datacenter, habilitations, …, au seul service du système d’information de santé.

  •  Un système d’information de santé hyper-connecté, hyper-exposé, …, donc hyper-menacé

En effet, dans l'ère du tout numérique et des menaces du cyberespace, de l’externalisation des systèmes d’information de santé vers le cloud privé et/ou public, de l’explosion du volume de données produites et des lourds enjeux de production de soins de santé liés à leur statut, les établissements de santé sont actuellement soumis à une nécessité accrue de protection de leur patrimoine informationnel. Leurs frontières sont devenues plus floues dans cet environnement hyper connecté, et l’exposition croissante de leurs systèmes d’information a considérablement augmenté la surface d’attaque. 

La cyber-sécurité, mal nécessaire hier, obligation aujourd’hui, et probablement commodité demain (ne parle-t-on pas de security by design à tout bout de champ ?), doit être prescrite à tout type d’établissement mais pas nécessairement avec la même posologie et le même suivi ; par exemple, si des activités critiques en bloc opératoire d’un CHRU doivent être protégées avec des mesures sécuritaires strictes et à l’état de l’art, un système de télévision en Ehpad nécessitera des moyens sécuritaires moindres : deux poids, deux mesures face à l’enjeu.

Si la criticité de l’activité dicte le traitement adéquat, la qualité du « cyberologue », véritable prescripteur en cyber-sécurité, garantit la confiance et le résultat du traitement.

Mais encore faut-il que cette prescription s’inscrive dans un cadre clair et précis, gage de coordination pluridisciplinaire concertée et d’efficience médico-économique pour toutes les parties prenantes (professionnels de santé, patients, personnels administratifs, aidants, famille, pouvoirs publics, …). 

  • La stratégie « Ma Santé 2022 » et le Programme HOP’EN : deux dispositifs énergivores en numérique

Si « Ma Santé 2022 », d’une façon générale, propose une stratégie de transformation du système de santé français afin de garantir une meilleure prévention et un accès à des soins de qualité, le numérique constitue un de ses 5 chantiers prioritaires avec notamment la conception des espaces numériques personnels et le déploiement de bouquets de services aux professionnels de santé.

C’est dans ce cadre que la DGOS a lancé le programme HOP’EN (2019-2022) qui définit un plan de développement et de modernisation des systèmes d’information hospitaliers. Un ensemble d’indicateurs à atteindre permet de mesurer le degré de maturité numérique (par exemple, partager des résultats d’imagerie sous forme électronique, développer le dossier patient informatisé (DPI), utiliser un service de messagerie sécurisée intégrée à l’espace MS Santé (MSS), réaliser un test de sécurité informatique, …) ; l’atteinte de ces indicateurs donnant lieu à des subventions financières.

Ce programme destiné au monde sanitaire est donc un formidable accélérateur de développement et de modernisation numérique des systèmes d’information hospitaliers. Son adaptation future et nécessaire au monde médico-social, social et libéral permettra à tous les acteurs de santé de disposer de système d’information fiable avec les patients (et leur parcours) au cœur du dispositif.

  •  La maîtrise de la donnée de santé passe par une aide artificielle

La production de données de santé explose et les chiffres* à eux seuls donnent le vertige : dans le monde, en 2020, son volume atteindra 2,3 milliards de giga-octets (à titre de comparaison, un document bureautique d’une page pèse 18 Kilo-octets) pour être multiplié par 50 à l’horizon 2050 et le nombre d’objets connectés sera de l’ordre de 80 milliards. En France, les applications de santé recensées par la Haute Autorité de Santé étaient au nombre de 50 000 en 2016 (300 000 dans le monde).

Le traitement des données de santé ainsi produites en France comme dans le monde entier constitue un enjeu majeur pour la sécurité sanitaire et contribue à l’amélioration de notre système de soin. Elles offrent des possibilités énormes pour la recherche médicale et peuvent modifier considérablement nos méthodes de soins : mesure de l’efficience des traitements, réduction des dépenses de santé, baisse du nombre d’hospitalisations, développement des dispositifs de prévention, précision du suivi et meilleure compréhension des maladies chroniques, prédiction des épidémies par analyse des maladies des patients, anticipation de production de médicaments, extension et généralisation de la pharmacovigilance, …

Disposer d’une somme astronomique de données de santé n’est pas une fin en soi, c’est le traitement qui est au centre des débats. Il est évident que sans aide externe et sans outillage de type intelligence artificielle, l’être humain ne saura réaliser le traitement des Big Data de santé. 

  • Un besoin d’accompagnement technologique par des experts

De par la technicité des moyens nécessaires pour assurer cette transformation numérique sécurisée, les établissements de santé ne sont pas toujours en mesure de la satisfaire par leurs propres moyens.

D’une façon générale, il est communément admis d’externaliser les processus qui fonctionnent depuis plusieurs années et de sous-traiter des prestations nouvelles qui se transformeront rapidement en transfert de compétences par la suite.

La mise en œuvre d’un système de sécurité opéré à 360° avec des mesures de protection comme la protection périmétrique avec des firewalls, la protection antivirale des postes de travail, serveurs et autres devices connectés, la protection des accès à privilèges à base de bastion, les scans de vulnérabilités, les tests d’intrusion, les mise à jour des systèmes d’exploitation, le chiffrement des bases de données, la sécurité des liens télécoms, la mesure de la sécurité applicative, la tenue d’une cartographie IT, la supervision en temps réel des événements de sécurité, … sont autant de domaines à couvrir que seule une équipe IT interne à une structure de santé ne peut pas assurer. En effet, d’autres tâches à valeur ajoutée semblent être plus pertinentes : assistance aux utilisateurs, maîtrise d’ouvrage/maîtrise d’œuvre pour le pilotage de projets métier, chefferie de projet, suivi prestataire, revue des indicateurs du programme HOP’EN, …

De la même manière, la mise en œuvre d’une stratégie « cloud first » ne doit pas s’improviser. En tirant partie du cloud privé ou public, l’établissement de santé fait à nouveau le choix de se concentrer sur son métier tout en bénéficiant de garantie sur la disponibilité, l’intégrité, la confidentialité et la traçabilité des systèmes et données externalisées.

Le recours inévitable à des services de cloud public (Microsoft Azure, AWS, Google, …) de type IaaS, PaaS et/ou SaaS permet de disposer d’une nouvelle façon de consommer du numérique : accès à un portail en libre accès depuis un simple accès Web, facturation à la demande, scalabilité (création rapide de ressources IT), élasticité des ressources (adaptation automatique à une variation de besoin), disponibilité de métriques sur la consommation. Ces caractéristiques permettent souplesse tactique et agilité pour innover en e-santé, pour traiter massivement les Big Data, pour lancer des POC en IA sur une étude clinique, pour faire des tests de migration d’applications, et également pour faire de l’hébergement de DPI, GAM et autres GED, modernisation applicative ou encore développement d’application native « cloud public ».

Adista, accélérateur de confiance en santé numérique

Pour les structures de santé, le recours à des services sécurisés d’externalisation de données de santé associés apparaît de plus en plus comme un acte stratégique majeur tant sur le plan du transfert de responsabilité que sur celui de la maîtrise des coûts financiers.

La vision d’Adista en matière de système d’information de santé repose sur sa plateforme de santé multi-services Oppidom© déclinées en 4 domaines :

  1. Connectivité avec son offre Oppidom-Connect permettant de fournir des réseaux de communication sécurisés au service de la protection des flux de santé. Ces réseaux sont fournis par l’intermédiaire de connexions multi-technologies (Fibre, SDSL, ADSL, 4G, Satellite) via des VPNs MPLS ou sur Internet ; la qualité de service étant assurée par des mécanismes logiciels sophistiqués comme le SD-WAN. Oppidom-Connect est un réseau fiable d’autoroutes pour véhiculer les flux d’information métier
  1. Hébergement HDS avec ses offres de cloud privé Oppidom-IaaS et Oppidom-PaaS, son offre de Cloud Public Oppidom-Azure* et son offre de sauvegarde opérée ou externalisée en Cloud Privé Oppidom-Backup*. Ces offres s’inscrivent dans le cadre réglementaire français des agréments et certifications HDS. Toutes ces offres sont produites dans un ensemble de bunkers pour héberger, stocker, traiter et sauvegarder les énormes volumes de données
  1. Service e-Santé avec son offre Oppidom Drive&Share permettant l’échange et le partage de données de santé : messagerie MS Santé interconnectée au système Microsoft O365, coffre-fort patient, proxy DMP pour l’accès aux services du DMP, drive, visio-conférence. Plusieurs dispositifs d’authentification forte viennent en complément afin d’être en parfaite conformité avec la PGSSI-S. L’offre Oppidom-Protect s’inscrit elle dans le champ de la cyber-sécurité est permet de fournir un service de protection active (protection des systèmes et infrastructures locaux basés sur des services de firewalling, d’anti-virus comportementale, d’anti-spam, de filtrage web, de logs et de traçabilité) 
  1. Audit et conseil avec son offre Oppidom-Explore permettant de cartographier les actifs du système d’information des sols, de fournir un état des lieux des différents plans d’occupation des sols (infrastructure, applicatif, fonctionnel, processus), de fournir un registre de traitement afin d’être en conformité vis-à-vis du RGPD

Les équipes d’Adista sont pluridisciplinaires et interviennent dans toute la gestion du cycle de vie des services (conception, juridique, développement, intégration SI, delivery, exploitation, supervision, commercialisation, ADV, suivi compte client).

*ces offres sont déclinées à destination des adhérents de la Centrale d’Achat de l’Informatique Hospitalière (CAIH) dans le cadre de son marché de « Prestations, Services et fournitures relatives à l’Hébergement de Données de Santé (HDS) » de juillet 2019 avec deux notifications de lots pour Adista : lot n°2 de « Cloud Public : IAAS/PAAS/Supervision applicative » et lot n°4 de « Backup opéré ou externalisé en Cloud Privé ». 

Adista présente ces 2 offres :

N’hésitez pas à vous inscrire !

Par Sébastien Deon, Directeur des Offres Cloud & e-Santé chez Adista 


*Sources : Etude du think tank « LIR Imaginons la santé », HAS, E&Y, Idate

Avez-vous apprécié ce contenu ?

A lire également.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

Contact

Nos marques

Logo DSIHLogo Thema Radiologie