La sécurité numérique, mère de toutes les batailles

Par Vincent TRELY, Directeur associé WELIOM

Encore faut-il que ce système fonctionne et soit fiable. Et pour réaliser cette promesse, outre les qualités de l’éditeur et la correcte formation des utilisateurs, c’est sa sécurité dans sa globalité qui permettra un usage approprié, optimisé et en confiance de ce système d’information. Sans sécurité, point de sérénité ! Cette sécurité comporte 3 volets majeurs : la disponibilité, l’intégrité et la confidentialité, auxquels on peut ajouter des mécanismes de traçabilité.

Assurer la disponibilité du SI, c’est mettre en œuvre toutes les mesures nécessaires pour qu’il ne s’arrête jamais, à l’exception de courtes phases de maintenance planifiées. C’est du ressort de la technique, qui dispose des technologies et des méthodes nécessaires à ce fonctionnement permanent : doublement des salles informatiques et des serveurs, mécanismes de bascule rapide d’une architecture à l’autre en cas de défaillance, plan de sauvegarde régulier et régulièrement testé, outils de sécurité en charge de contrer les attaques éventuelles, redondance électrique… Des « stress tests » peuvent venir compléter le dispositif, organisés avec et pour les utilisateurs, afin de les préparer à savoir travailler, le cas échéant, sans informatique. C’est ce que l’on nomme les procédures dégradées, ou le plan de continuité des activités.

L’intégrité du SI, c’est sa capacité, en fonctionnement normal, à ne produire que des exactitudes, assurant ainsi la confiance des usagers, mais aussi et surtout la sécurité des patients. Cette intégrité est pour large partie du ressort de l’éditeur, qui doit avoir réalisé des batteries de tests pour s’assurer que son outil ne fait ni ne dit de bêtises, et que lorsqu’une prescription médicamenteuse se calcule automatiquement à partir d’un poids, le résultat soit toujours exact. Elle est aussi du ressort des équipes techniques, qui doivent s’assurer du bon fonctionnement des interfaces et de l’ensemble de la couche technique en support des progiciels métiers. Souvent, les professionnels vous diront, avec sagesse, qu’ils préfèrent un système hors service plutôt qu’un système qui semble fonctionner mais dont le comportement est inadéquat, voire qui renvoie de l’information erronée. Imaginons un avion qui transmettrait au pilote une fausse donnée sur son altitude, au moment crucial de l’atterrissage.

La confidentialité, troisième grand pilier de la sécurité numérique, est plus complexe. Elle dépend de nombreux paramètres techniques et humains. Le(s) logiciel(s) intègrent nativement un certain nombre de mécanismes de confidentialité, telles la gestion des comptes, des droits, des rôles, de l’authentification, autant de fonctions qui permettent à chaque professionnel de santé de n’accéder qu’aux fonctions et aux données qui le concernent, et parfois des mécanismes d’alertes en cas de mauvais usages. Les équipes techniques ont également leur rôle à jouer, en maîtrisant leur annuaire central (le fameux Active Directory), ou mieux, leur IAM, afin d’orienter les bons utilisateurs vers les bonnes machines et de superviser l’ensemble. Enfin, les utilisateurs ont également leurs responsabilités, définies au sein des chartes et des PSSI : disposer de mots de passe solides et conformes, ne pas les prêter ou les coller sur des post-it, accepter la mise en veille automatique des ordinateurs au bout d’un temps donné d’inutilisation, et assurer une veille active sur le fonctionnement de leurs outils.

Le RSSI est l’ordonnateur de ces grandes mesures, en lien avec l’ensemble des parties prenantes, éditeurs, utilisateurs, équipes techniques. Il est de sa responsabilité de s’assurer qu’en permanence, le fameux triptyque « disponibilité, intégrité, confidentialité » est respecté et opérationnel dans chaque ensemble du système d’information.

WELIOM et ses équipes accompagnent les RSSI dans ces tâches parfois laborieuses et qui nécessitent technique, méthode et pédagogie. Accompagnement à la prise de poste, médiations avec les métiers, production de notes de synthèse pédagogiques, challenge des éditeurs font partie de nos prestations régulières et offrent aux RSSI une sécurisation de leur rôle sécuritaire !

A propos de Weliom 

Avec plus de 10 ans d’expérience, 45 consultant(e)s experts santé réparti(e)s sur l’ensemble du territoire, plus de 300 structures accompagnées et plus de 1000 projets réalisés, le cabinet de conseil WELIOM est le partenaire privilégié de tous les acteurs de la santé pour les accompagner dans leur transformation numérique, de la stratégie à la réalisation, en intégrant l’ensemble des enjeux économiques, réglementaires, sociétaux et médicaux. www.weliom.fr 
Contact : 02 51 80 05 33 ou [email protected]