ManagerSante.com®

Les enjeux de sécurité des Systèmes d’Information sont-ils des leviers pour le développement durable de nos Etablissements de Santé ? Réponse de Guillaume JEUNOT


N°1, Janvier 2019


Article publié  par notre nouvel expert, Guillaume JEUNOT (Responsable de la sécurité des Systèmes d’Information et Délégué à la protection des données chez le Groupement Hospitalier de Territoire (GHT) de Vendée). Membre de la SoFGRES (Société Française de la Gestion des Risques en Etablissement de Santé). Il est Diplômé d’un Master à l’Université de Toulouse en Biotechnologies et Bio-industries et formé en 2016 à l’Institut des Hautes Etudes de Défense Nationale (IHEDN, Établissement public, à dimension interministérielle, placé sous la tutelle du Premier ministre) à l’intelligence économique et stratégique.

* Un glossaire à la  fin de cet article


Alors que l’écologie apparaît comme une priorité, et en particulier sous la forme du développement durable, on peut s’interroger sur l’impact de la virtualisation sur nos systèmes d’information de santé.? En effet nul ne peut nier la place que prennent, et que prendront les architectures virtualisées, externalisées ou non, dans nos politiques de système d’information.

Les orientations de nos politiques de santé favorisent l’externalisation de notre hébergement de nos données de santé pour concentrer les ressources sur le cœur de métier de nos établissements.

L’HAS (1) rappelle la responsabilité environnementale de nos établissements.  Cette position a été affirmée lors du discours de la Ministre de la santé et des sports, prononcé le 27 octobre 2009 lors de la signature de la convention portant engagement des établissements de santé dans le cadre du Grenelle de l’environnement.

« La qualité des soins, …, ne doit pas être atteinte aux dépens de l’environnement » .  

Eléments de contexte pour comprendre?

Cette réalité de la virtualisation fait suite à deux générations majeures d’orientations stratégiques.

Ce sont les approches dites “mainframes” adossées à des organisations en silo et, celles que j’appelle “urbanisées” qui, à défaut d’ERP pouvant répondre à l’ensemble des besoins de nos établissements ou à une volonté du système d’information national, tendent à permettre l’interopérabilité.

Un besoin de stockage de la mémoire des Systèmes d’Information (SI) en constante augmentation depuis les années 60

Je n’étais pas né quand IBM a commencé à commercialiser sa série 360 dont la mémoire à progressée de 128 ko à sa sortie en 1965 à 4 096 ko en 1969. Les performances des ?microprocesseurs ont également explosé depuis 1971 pour passer de 0,06 MPIS (million d’instructions par seconde) à des valeurs supérieures à 147k de MPIS aujourd’hui. Plus proche de nous, la taille occupée par le système Windows, en version 98, est passée de 50 Mo pour atteindre ?14,7 Go environ? pour en version 10 en 64 bits. Beaucoup plus puissant, beaucoup plus gourmand pourrait être la conclusion de ces progressions.

Des données de plus en plus fiables et de qualité croissantes

Si on s’intéresse à la donnée, je me souviens de mon premier “ordinateur”, une MO5 avec extension de mémoire de 64 Ko en cartouche. Aujourd’hui, les dernières versions d’ordiphone supportent des cartes mémoires d’1 T. ?Si je bascule dans le monde professionnel, dans des structures significatives, nous sommes à l’échelle du Peta. Les images et les vidéos deviennent de très grandes qualités. Une image en UHD adopte une définition de 3 840 pixels par ligne pour 2 160 lignes, soit un total de 8,3 mégapixels.

Entre le stockage des données de production, les sauvegardes et les archives, les besoins de stockage explosent.

Un développement des réseaux et des nouveaux usages des données du SSI

A cette réplication de l’information structurelle à nos organisations viennent s’ajouter celle des données propagées notamment sur internet. ?Combien de sources différentes pour un même document, image ou vidéo ?

En santé, cette croissance est portée en autre par le développement des usages du Big-Data, de la multiplication des usages numériques (IOT, télémédecines)? et l’évolution des outils d’imagerie médicale (des nouvelles modalités permettent de scanner un corps humain entier en 30s, en proposant de la 4D!).

Vers le partage des données à l’échelle d’un territoire aujourd’hui

Ce qui est également important de souligner, c’est que cette évolution technologique de la virtualisation est concomitante avec l’apparition d’espaces de confiance supra-établissement. De l’échelle d’un service ou d’un établissement, nous passons à une dimension départementale, voire nationale. ?Ces nouveaux espaces, au delà de leurs dimensions techniques, portent une question de gouvernance, de maîtrise et de responsabilité.

Les périmètres sont tels, qu’il devient difficile d’en garantir, d’une part, une description fine que je qualifierais “d’opérationnelle” et, d’autre part, l’unilatéralité des responsabilités, notamment ?au sens du Règlement européen sur la Protection des Données (RGPD) (2).

Mais, comment gérer et piloter aujourd’hui ces données massives du SSI ??

La virtualisation et l’architecture en nuages plus globalement, soutenues par un marketing efficace, sont présentées comme étant “La Réponse”. ?On tend à nous faire croire à des possibilités infinies associées des services magiques comme les datalakes où tout dirigeant souhaiterait plonger (pour ma part, je constate qu’il ne faut pas plonger trop profond dans un lac car on tombe rapidement dans de la vase!) ?et à une sécurité dont le plus paranoïaque des responsables de la sécurité des systèmes d’information (RSSI)  pourrait rêver.

Peut-on maîtriser cette virtualisation exponentielle???

Hors, bien qu’effectivement immatérielle, la virtualisation s’appuie sur une incarnation physique que sont nos infrastructures, nos salles de serveurs et les data center, bien limitées quant à elles.

A nous laisser bercer par le chant des sirènes qu’est l’apparente facilité de ces technologies, prenons garde de ne pas faire l’économie de la mesure et d’explorer d’autres possibilités.

Vers une éthique plus éco-responsable des usages du SSI

Mais, comme nous le précise le chercheur Gerhard Fettweis (3), la consommation électrique du web atteindrait en 2030 la consommation mondiale de 2008 tous secteurs confondus.

Dans un futur proche, Internet deviendrait ainsi la première source mondiale de pollution. Quant au Parlement Européen, dans son rapport sur l’informatique en nuage de mai 2016 (4), il annonçait que la consommation énergétique totale des centres de données dans le monde entier (à la fois pour le nuage et les centres de données internes) passera de 95 milliards de kilowattheures en 2015 à plus de 140 milliards en 2020.

Ainsi, par le biais de ce constat de solutions énergivores, nous nous réveillons sur une réalité. Une réalité économique et écologique qui nous interpellent. Cette boîte noire, dont on ne voudrait pas voir la complexité, se cristallise par son impact sur l’environnement avec ce sujet d’actualité brûlant qu’est le réchauffement climatique.

Mais pourquoi cette boulimie d’énergie ? Est-ce seulement l’augmentation des besoins en nouveaux services ?

Alors, les enjeux de sécurité constituent-t-ils un levier d’Eco-responsabilité ?

Je pense qu’il est alors intéressant de souligner que le terme “économie” désigne étymologiquement «administration de la maison » (de oikos, maison, et nomos, gérer, administrer) et que “écologie” vient également du grec ancien (de oikos,maison, habitat et lógos discours), la science de la maison.

“On ne peut protéger que ce que l’on peut décrire” pourrait être un axiome de la SSI.

Dans ces montagnes d’applications, de forêts de codes et de mers de  données, il devient difficile, voir impossible, d’être en mesure de les cartographier, d’être en capacité de les décrire, pour pouvoir ?mettre en place les mesures de sécurité adaptées.

Le meilleur exemple justifiant de cette position est l’investissement qui doit être consenti pour la réalisation de tests acceptables lors  d’évolutions significatives du SI.

Il est alors intéressant de considérer les exigences  du RGPD comme une chance pour les établissements de santé d’aller de l’avant sur ces sujets.

Minimisation des données, privacy by design, exigence d’auditabilité sont autant d’outils dont les établissements peuvent s’emparer pour rechercher une rationalisation voir une plus grande efficience de leur SI.

Alors, « économie, écologie, sécurité » des SI, seraient-elles ce ternaire d’une nouvelle religion de la Sécurité des Systèmes d’Information (SSI) ?

?


Pour aller plus loin : 

(1) HAS : Contexte et enjeux du développement durable

(2) RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

(3) Biographie de Gerhard Fettweis

(4) L’informatique en nuage : Une vue d’ensemble des enjeux économiques et politiques


Petit glossaire  :

Big data : le terme “données massives”  désigne des ensembles de données devenus si volumineux qu’ils dépassent l’intuition et les capacités humaines d’analyse. Il met en oeuvre des solutions informatiques spécifiques à son traitement.

Datalake : Un lac de données (en anglais data lake) est une méthode de stockage des données utilisée par le big data.

ERP : Enterprise Resource Planning( ERP) ou progiciel de gestion intégré (PGI). Un ERP est une solution informatique qui cherche à répondre à l’ensemble des problématiques de gestion que rencontre l’entreprise dans ses différents services.

HAS : La Haute Autorité de santé (HAS) est une autorité publique indépendante à caractère scientifique, créée par la loi du 13 août 2004 relative à l’Assurance maladie. Elle assure trois missions: l’évaluation des produits de santé, produire des recommandations sur les bonnes pratiques et définit des mesures pour améliorer la qualité des soins.

Interopérabilité : l’interopérabilité des SI de divise en deux parties, la partie technique qui couvre le transport des flux et des services et la partie sémantiques qui portent les contenus métiers.

IOT : Internet des objets, ou IoT (Internet of Things). Il désigne la  communication entre nos biens dits physiques et leurs existences numériques.

Mainframe : Les mainframes sont historiquement associés à une informatique centralisée, plutôt que distribuée.

MPIS : Million d’Instructions par Seconde est une unité de mesure de la performances des ?microprocesseurs  

Privacy by design : Le concept de “Privacy by Design” a pour objectif de garantir que la protection de la vie privée soit intégrée au plus tôt lors de la conception de nouvelles applications.

RGPD : règlement européen sur la protection des données (RGPD) appliqué depuis le 25 mai 2018.

SSI : Système Sécurisé de l’Information

Urbanisé : l’urbanisation des systèmes d’information est une des méthodologies d’architecture d’entreprise. Ces concepts peuvent s’apparenter à ceux de l’urbanisation de l’habitat humain.

Virtualisation : La virtualisation consiste à exécuter sur une machine hôte dans un environnement isolé des systèmes d’exploitation ou des applications.

4D : Système gérant la hauteur, la largeur, la profondeur et permet la navigation dans le temps. En médecin on peut ainsi mieux étudier le déplacement des fluides dans le corps (notamment les médicaments repérables via un marqueur spécifique).


 


Nous remercions vivement le Guillaume JEUNOT (Responsable de la sécurité des Systèmes d’Information et Délégué à la protection des données chez le Groupement Hospitalier de Territoire (GHT) de Vendée), membre de la SoFGRES (Société Française de la Gestion des Risques en Etablissement de Santé), pour partager son expertise professionnelle pour nos fidèles lecteurs de www.managersante.com


Biographie de Guillaume JEUNOT :
Responsable de la sécurité des Systèmes d’Information et Délégué à la protection des données chez le Groupement Hospitalier de Territoire (GHT) de Vendée.
Diplômé d’un Master à l’Université de Toulouse en Biotechnologies et Bio-industries et formé en 2016 à l’Institut des Hautes Etudes de Défense Nationale (IHEDN, Établissement public, à dimension interministérielle, placé sous la tutelle du Premier ministre) à l’intelligence économique et stratégique.
Il anime la commission Santé & IE de l’association IE-IHEDN et le groupe de travail sur le Cyber et les administrations dans la commission cyber stratégie de l’UNION-IHEDN.
Il s’intéresse aujourd’hui aux différentes mutations des systèmes d’information de santé, qu’elles soient dans leurs gouvernances, leurs technologies ou leurs finalités.
Son expertise consiste à assurer et mettre en cohérence la sécurité des systèmes d’information, pour permettre la confiance, aussi bien intra que cyber, dans ses dimensions de conformité réglementaire et opérationnelle.
Il s’appuie sur les mécanismes de l’intelligence sociétale et stratégique pour privilégier une approche pragmatique dans l’analyse et favoriser l’intelligence collective.
Membre de la SoFGRES (Société Française de la Gestion des Risques en Etablissement de Santé), il intervient lors des congrès et colloques en qualité d’expert sur son domaine d’activité en lien avec les problématiques SIH des établissements de santé.


Et suivez l’actualité sur www.managersante.com, 

partenaire média digital 

Officiel du Salon Européen  Paris Healtcare Week 2019 

Paris-Porte de Versailles [#PHW19] du 21>23 Mai 2019


Vous aimez notre Site média ?

Cliquez sur les étoiles et votez :

Guillaume JEUNOT

Ancien Responsable de la sécurité des Systèmes d'Information et Délégué à la protection des données chez le Groupement Hospitalier de Territoire (GHT) de Vendée. Diplômé d'un Master à l'Université de Toulouse en Biotechnologies et Bio-industries et formé en 2016 à l'Institut des Hautes Etudes de Défense Nationale (IHEDN, Établissement public, à dimension interministérielle, placé sous la tutelle du Premier ministre) à l'intelligence économique et stratégique. Il anime la commission Santé & IE de l'association IE-IHEDN et le groupe de travail sur le Cyber et les administrations dans la commission cyber stratégie de l'UNION-IHEDN. Il s'intéresse aujourd'hui aux différentes mutations des systèmes d'information de santé, qu'elles soient dans leurs gouvernances, leurs technologies ou leurs finalités. Son expertise consiste à assurer et mettre en cohérence la sécurité des systèmes d'information, pour permettre la confiance, aussi bien intra que cyber, dans ses dimensions de conformité réglementaire et opérationnelle. Il s'appuie sur les mécanismes de l'intelligence sociétale et stratégique pour privilégier une approche pragmatique dans l'analyse et favoriser l’intelligence collective. Membre de la SoFGRES (Société Française de la Gestion des Risques en Etablissement de Santé), il intervient lors des congrès et colloques en qualité d'expert sur son domaine d'activité en lien avec les problématiques SIH des établissements de santé.

Quitter la version mobile