Le programme Hôpital Numérique prévoyait que tous les hôpitaux français, quel que soit leur statut ou leur taille, seraient dotés d'une politique de sécurité informatique au 1er janvier 2018. Ce n'est pas le cas. Constat dressé par l'Atlas des Systèmes d'information hospitalier 2018, publié par la DGOS, Direction générale de l'offre de soins, du ministère des solidarités et de la santé. Au total, 93% des établissements se disent dotés d'une politique de sécurité. C'est trois points de plus qu'en 2017, mais en dessous de l'objectif.
L'autre point demandé c'est la nomination d'un référent sécurité, 96% des établissements en disposent, mais seulement 80% des établissements publics. Le plus souvent, dans 50% des cas, il est à temps partiel, mutualisé dans 30% des cas entre plusieurs hôpitaux. Dans 7% des cas, ce référent est à temps complet, il s'agit des Centres hospitaliers régionaux. Dernier cas, celui de l'externalisation de la fonction sécurité, elle concerne 12% des établissements hospitaliers.
La sécurité « by design » peu pratiquée
La connaissance des risques est également en progression. Une cartographie des risques existe dans 92% des cas, dans 64% elle date de moins d'un an, preuve que le sujet a fortement progressé. Elle doit être améliorée souligne le rapport, que ce soit son actualisation ou l'inventaire des matériels et des logiciels. Dans la majorité des établissements cette cartographie est intégrée dans une gestion globale des risques. Ils sont 80% à réaliser des tests de restauration des sauvegardes au moins une fois par an. En revanche, la sécurité « by design », son introduction préalable avant toute nouvelle application, n'est pratiquée systématiquement que par 28% des hôpitaux. De même, la prise en compte systématique d'une analyse de risque avant toute introduction d'une nouvelle appli ou d'un nouvel équipement biomédical, n'est assurée que par 28% des hôpitaux.
La sécurité passe évidemment par l'utilisateur. Les établissements semblent à jour en termes d'inventaires de leurs ressources matérielles et logicielles, réalisées respectivement à 92 et 89%. Le WiFi est accessible pour les patients dans la moitié des établissements. Il l'est à 90% pour le personnel médical et soignant, de manière à accélérer et sécuriser les prises en charge des malades. L'accès à distance est nettement moins favorisé : dans 67% des cas pour les personnels médicaux et soignants, dans 33% des cas pour les professionnels de santé libéraux, dans 3% des cas seulement pour les patients.
En revanche, les revues de comptes d'accès aux systèmes d'information hospitaliers, les droits d'accès et le traçage des actions utilisateurs sont généralisées. Plus de la moitié des établissements, 63%, réalisent une revue des comptes au moins une fois par an, plus de la moitié, 55%, le font pour le droits d'accès. Dans 97% des établissements les actions utilisateurs (accès, lecture, écriture), sont traçées. Et les établissements ont fortement augmenté leur adhésion à la messagerie sécurisée, MS Santé, mise au point pour la profession, 1030 hôpitaux l'utilisent contre 860 l'an passé pour des échanges sur des comptes rendus opératoires, des résultats d'analyse, ou des indications de médecins.
Commentaire