Publicité en cours de chargement...

Publicité en cours de chargement...

Management des SI de santé : le paradigme de la tulipe

16 mai 2023 - 11:42,
Tribune - Cédric Cartau
Vous ne connaissez certainement pas Pieter Wynants. Il organisa pourtant un important dîner chez lui le dimanche 1er février. Dîner au cours duquel étaient présents, parmi de nombreux invités de la ville, non seulement son cousin, mais aussi Geertruyt Schoudt, une riche veuve, ainsi que Jacob De Block, un teinturier.  

Que leurs noms ne vous disent rien n’a rien de surprenant : le dîner en question a bien eu lieu le 1er février, mais en 1637. Le cousin en question tenta de vendre un lot de tulipes à ladite veuve, alors que troisième personnage proposa de garantir la transaction en cas de variation du cours du lot de tulipes. On était alors en pleine « tulipomania », première bulle spéculative connue. Les archives attestent l’authenticité de la transaction et, deux jours plus tard, le 3 février donc, le premier krach de l’histoire se produisit. La tulipe perdit entre 95 % et 99 % de sa valeur. On en était alors aux prémices des marchés à terme, et si la veuve y laissa des plumes, le teinturier ne s’acquitta jamais de son obligation[1].

Ce qu’enseigne cette affaire, c’est que pas mal de systèmes se construisent sur le socle de la confiance, à défaut de laquelle ils sont pas mal à s’effondrer. Tulipes, immobilier, subprimes, bitcoins ne valent que par l’espoir qu’un quidam au prochain coin de rue sera prêt à y mettre ses subsides, espérant lui-même trouver un autre quidam disposé à faire de même. Il est aisé de brocarder les bulles spéculatives et les acteurs qui gravitent autour de ces moments de folie parfaitement illustrés dans le tableau de Jan Bruegel Satire de la tulipomanie (dans lequel les spéculateurs sont dépeints sous les traits de singes, tout de même), mais les experts SI et cyber feraient bien de se demander en quoi la confiance – ou son absence – facilite ou ralentit le déploiement des systèmes d’information. Et pas seulement concernant le volet cyber.

Demander à des professionnels de santé, dont certains affectionnent encore le papier, de rentrer toutes les données médicales de l’ensemble de leurs patients dans un logiciel au motif de fluidifier la prise en charge médicale (ce qui est vrai) et de faciliter les transmissions (ce qui est encore vrai) sans s’assurer que le DPI est suffisamment sécurisé en termes de disponibilité est le meilleur moyen de se mettre à dos le corps médical à la première panne longue, et ce pour de nombreuses années.

Prétendre que les accès au DPI sont sécurisés (au sens où seul celui qui est légitime à consulter un dossier patient le peut réellement) et dans le même temps ne jamais le contrôler, ni sanctionner, ni déclarer les atteintes à la confidentialité, est le meilleur moyen de se mettre les patients à dos – dont certains sont aussi des agents de l’établissement de santé, et si vous ne saviez pas pourquoi les agents d’un CH se font souvent hospitaliser dans une structure autre que la leur, maintenant vous le savez.

Nous pourrions multiplier les exemples, à tous les niveaux du modèle OSI : prétendre que le réseau est entièrement redondé sans avoir de schéma à jour ni l’avoir testé, prétendre que les datacenters sont redondés mais ne pas avoir d’appréciation formelle des risques ni de tests de bascule (OVH et surtout Google, qui essuie en ce moment des pannes de datacenter à répétition, pourront vous en toucher deux mots), prétendre que les matrices d’habilitation au DPI ou au logiciel RH sont nickel, mais ne pas avoir de document à jour ni de contrôle par échantillonnage, etc.

La confiance s’appuie globalement sur quatre piliers, qui n’ont jamais varié : la documentation (à jour), les tests, les audits (de différente nature, internes ou externes, il faudrait un chapitre entier pour développer ce sujet) et la déclaration d’incidents. Ces quatre items ont un point commun : ils participent à la transparence générale du processus. Le lecteur attentif me fera remarquer qu’il manque les indicateurs (mais on peut les ranger dans la catégorie des audits). Et le lecteur encore plus attentif me fera remarquer, à juste titre, que la dépénalisation du signalement des incidents est un facteur majeur de la transparence : si vous vous prenez un coup de règle sur les doigts à chaque fois que vous signalez qu’un machin s’est vautré ne va pas vous amuser longtemps, finira par ulcérer votre direction générale, à juste titre, et engendrera l’exact contraire de la transparence : le prudent rangement sous le tapis.

Sauf quand le dysfonctionnement est trop voyant pour être caché (à cause d’une attaque ransomware, par exemple), force est de constater qu’au seul critère de la confiance l’ensemble de l’écosystème est largement perfectible (admirez la litote). Entre ceux qui se prennent des paires de baffes pour avoir sagement déclaré l’incident qu’il ne fallait pas, ceux qui voient des incidents graves (genre perte de données médicales, suivez l’actualité récente) commis par des acteurs du marché à qui personne ne dit rien, ceux qui naviguent dans une totale opacité sans aucune remarque de qui que ce soit, force est de constater que l’on est sociétalement très perfectible.

La finance (depuis les tulipes), l’aviation civile, la gestion des entreprises : tous ces secteurs sont passés à un moment donné au filtre de la transparence. Parce qu’il n’y a pas d’alternative et que c’est un très bon axe d’analyse, le genre de question à poser à la réunion de cadrage d’une prestation d’audit à tous les acteurs présents : à quel point avez-vous confiance dans le processus qui va être audité ?


[1]   Authentique, l’anecdote est décrite par Christian Cavagneux dans Une brève histoire des crises financières.


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le projet eNovA-Path : une plateforme de numérisation et d’échange des données d’anatomopathologie au service des patients en Nouvelle-Aquitaine

Le projet eNovA-Path : une plateforme de numérisation et d’échange des données d’anatomopathologie au service des patients en Nouvelle-Aquitaine

01 juil. 2025 - 00:42,

Actualité

- Propos recueillis par Pauline Nicolas

La création d’une plateforme digitale en anatomopathologie entre les trois CHU de Nouvelle-Aquitaine afin d’améliorer la prise en charge des patients et faciliter l’accès aux expertises entre différents établissements de santé reflète l’ambition et les objectifs du projet eNovA-Path qui se déploie a...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Un nouveau Comex pour le Conseil du numérique en santé

Un nouveau Comex pour le Conseil du numérique en santé

30 juin 2025 - 23:46,

Actualité

- Damien Dubois, DSIH

Le 24 juin, le 13e Conseil du numérique en santé a réuni l’ensemble des parties prenantes en la matière, dans la perspective notamment de l’Espace européen des données de santé.

Illustration Le Groupe Softway Medical accueille Bpifrance à son capital

Le Groupe Softway Medical accueille Bpifrance à son capital

30 juin 2025 - 21:20,

Communiqué

- Le Groupe Softway Medical

Le Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée de Bpifrance, la Banque publique d’investissemen...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.