Il n'est de secret pour personne qu'au Moyen Âge, personne ne mourrait dans un accident d'avion ni de la route. L'apparition d'une technologie entraîne celle de risques nouveaux, et la nature humaine tend à s'emparer de ce moyen tout neuf sans forcément en évaluer les risques a priori. Pendant longtemps, l'informatique dans la santé se résumait au triptyque Paye/Facturation/Mandatement. L'impact d'un incident de sécurité système d'information (SI) était relativement limité : au pire, un mandatement à refaire, une erreur de facturation. Rien d'irréversible et ce qui souciait le plus les directions générales était un retard de la paye de leurs agents (risque social) mais les contre-mesures étaient connues de tous : rejouer en urgence les payes du mois précédent. Avec l'arrivée d'Internet à la fin des années quatre-vingt-dix, les DSI ont pris conscience du risque de piratage et d'intrusion, mais pendant les dix années qui ont suivi, la sécurité informatique a été uniquement l'affaire de techniciens : on parlait alors d'antivirus, de pare-feu, de proxy, etc.
Changement de braquet
Avec l'informatisation de la prescription médicamenteuse, l'enjeu n'est plus le même : un dysfonctionnement du SI impacte directement la sécurité du patient, et à la différence de la facturation qui peut être refaite, une erreur de délivrance de médicaments peut rapidement avoir des conséquences définitives. Le principal problème de la mort, c'est qu'elle est irréversible. Faire dépendre un processus métier d'un outil devrait logiquement conduire le responsable à se poser naturellement la question de ce qui se passerait en cas de panne de l'outil en question, mais force est de constater que ce questionnement arrive de facto a posteriori plutôt qu'a priori dans trop de cas.
La sécurité dans l'esprit
Le pire n'est pas de courir un risque quel qu'il soit, le pire ce sont les risques que l'on court sans le savoir. Paradoxalement, les professionnels de santé sont parfaitement acculturés à la notion de risque résiduel au sein de leur propre activité (le soin), mais ne l'appliquent pas de façon naturelle à ce qui est en train de devenir leur outil principal : les systèmes d’information. Il y a donc un enjeu absolument majeur – et indissociable de la lame de fond qu'est l'informatisation de l'unité de soins - : l'évaluation d'un nouveau risque, celui relatif aux systèmes d’information. Rien de nouveau sous le soleil, la démarche est connue depuis des lustres : évaluation des risques « qui empêche de dormir », liste des contre-mesures techniques et organisationnelles (les fameuses procédures dégradées métier), exercices en réel, formation des utilisateurs, etc.
Parmi ces enjeux, si la technique tient une bonne place, beaucoup de responsables sécurité des systèmes d’information (RSSI) butent en ce moment sur la formation et l'acculturation des utilisateurs. Plus personne ne remet en cause la nécessité de faire des exercices d'évacuation incendie, mais le même concept évoqué dans le SI soulève l'opposition des professionnels : pas le temps, pas que ça à faire, pas notre métier. C'est pourtant la prochaine marche à franchir.
L’humain, dernier rempart
EBIOS, ISO 27000, ISO 2000 : le monde du risque foisonne d'outils et de méthode pour prendre le problème du risque SI par le bon bout. Il reste à espérer que ces démarches soient entreprises avant un gros clash : il a fallu l'accident d'Epinal et ses morts pour que les pouvoirs publics prennent conscience que les dysfonctionnements informatiques aussi pouvaient tuer.
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature