Comprendre les risques
liés aux Systèmes d’Information
La réalisation d’une cartographie des risques liés à son système d’information est attendue pour tout établissement de santé, permettant d’identifier les failles et de définir toutes les actions nécessaires pour parvenir à un niveau de risque résiduel qui puisse être accepté en toute connaissance de cause. Aussi, une approche basée sur l’évaluation des risques humains, techniques et réglementaires est indispensable pour garantir une gestion efficace des systèmes informatisés. Cet article explore les grands types de risques et propose des stratégies pour les modérer.
Sécurité des Systèmes d’Information en Santé – définition et enjeux
Dans le secteur de la santé, les systèmes d’information (SI) occupent une place centrale et stratégique. Un système d’information se caractérise par l’usage des technologies numériques au service de l’organisation pour faciliter chaque étape clé des processus mis en œuvre, des études pré cliniques et cliniques, en passant par la production de médicaments ou de dispositif médicaux, à la collecte de données patients. Il devient, de ce fait, porteur de risques nouveaux.
Pour rappel, un risque peut être définit comme un évènement redouté en raison de différentes menaces (causes), et pour lequel on doit estimer son niveau de gravité en fonction des impacts (conséquences) combiné à la possibilité que cet évènement se réalise.
Risques liés au facteur humain
L’humain est le facteur le plus aléatoire et les erreurs qui en découlent ne doivent pas être minimisées. Elles ont pour conséquence des impacts majeurs sur la sécurité et l’intégrité des données et des systèmes d’information.
Causes et Impacts des risques liés au facteur humain
Ces erreurs peuvent être liées à des manipulations inadéquates des données, de l’inconscience, un manque de formation ou une négligence dans l’application des protocoles de sécurité de la part des utilisateurs. Avec l’évolution des technologies, les compétences nécessaires peuvent manquer en interne que ce soit pour choisir des solutions appropriées ou pour effectuer des tâches de gestion et de maintenance informatique.
Et on ne peut plus ignorer les actions délibérées et malveillantes qui poursuivent des buts lucratifs ou idéologiques au travers de cyberattaques variées. L’ANSSI (Agence Nationale de la Sécurité du Système d’Information) a publié un rapport sur la hausse des incidents et signalements de 2.87% en 2020 à 11.4% en 2023.
Dans le secteur pharmaceutique et des dispositifs médicaux, ces erreurs peuvent entraîner des conséquences opérationnelles et juridiques graves, telles que des interruptions dans la production, une perte d’intégrité des données conduisant à des décisions de libération ou des diagnostics médicaux erronés, ou des fuites de données confidentielles.
Comment se prémunir des risques liés au facteur humain ?
Formation continue
Sensibiliser et former régulièrement le personnel aux bonnes pratiques de gestion des systèmes d’information, aux exigences réglementaires, aux risques spécifiques d’intégrité des données et assurer la mise à niveau des administrateurs concernés par les évolutions des technologies.
Culture de la qualité
Promouvoir une culture organisationnelle où la qualité et la sécurité des données sont prioritaires.
Utilisation de technologies avancées
L’utilisation de technologies avancées, telles que l’intelligence artificielle pour aider à identifier les intrusions ou les anomalies ou la blockchain pour garantir la sécurité et traçabilité des échanges de données.
Gestion des accès
Mettre en place des contrôles stricts sur les droits d’accès aux systèmes et aux réseaux pour éviter les manipulations non autorisées et les actes malveillants.
Risques techniques des Systèmes d’Information
Causes et Impact des risques techniques
Ces incidents peuvent être liés à des défauts du matériel, des défauts dans le développement du logiciel, ou encore à l’environnement et à des incompatibilités d’outils. L’innovation technologique, bien qu’essentielle pour rester compétitif peut introduire de nouveaux risques.
Ces risques peuvent perturber les processus critiques, comme la production de médicaments ou la gestion des essais cliniques, ou l’utilisation de dispositifs médicaux connectés ; entraînant des retards, des pertes financières, des impacts sur la qualité des produits voir des impacts directs sur la santé des patients.
Comment se prémunir des risques techniques ?
Analyser rigoureusement les défauts potentiels de compatibilité ou de sécurité.
Normes et protocoles
Adopter des normes reconnues et suivre des protocoles de sécurité stricts pour faciliter l’intégration et l’interopérabilité.
Maintenance préventive
Mettre en place un programme de maintenance régulier pour réduire les pannes imprévues.
Redondance des systèmes
Prévoir des systèmes de secours pour assurer la continuité des opérations en cas de défaillance.
Tests réguliers
Qualifier son infrastructure, tester le processus de sauvegarde et restauration, et effectuer des tests de performance et de résilience pour identifier et corriger les faiblesses des systèmes.
Plans de continuité et reprise après sinistre
Élaborer des plans robustes garantissant le maintien des services critiques en cas de défaillance, afin de minimiser l’impact des interruptions.
Sécurité des contrats avec des tiers
Inclure des clauses de sécurité et de conformité pour protéger les données partagées.
Ces mesures permettent de renforcer la fiabilité, la sécurité et la résilience des systèmes, en limitant les risques liés aux pannes, aux cyberattaques ou aux erreurs humaines. Une approche proactive est essentielle pour assurer la pérennité des opérations et la protection des données sensibles.
Risques juridiques des Systèmes d’Information
Les entreprises des sciences de la vie sont soumises à des réglementations strictes régulièrement mises à jour par des organismes nationaux ou supranationaux. On peut par exemple citer le RGPD (règlement général sur la protection des données personnelles) ou l’ISO 14971 (gestion des risques pour les dispositifs médicaux), ISO 27001 (gestion de la sécurité de l’information), et le 21 CFR Part 11 (enregistrements et signatures électroniques en transverse des GxP pour la FDA) qui mettent en lumière des attentes réglementaires spécifiques.
Causes et Impact des risques juridiques
Le non-respect des dispositions légales peut être lié à une incompréhension ou méconnaissances des textes réglementaires variés et d’application variable selon les contextes internationaux, à un manque d’outil de traçabilité ou de signature numérique, et découvert lors d’audits ou d’inspections. Des plaintes de patients peuvent également mettre en lumière des non-conformités dans l’utilisation de systèmes d’information et des données générées.
Une non-conformité peut entraîner des sanctions financières, des pertes de certification ou des atteintes à la réputation de l’entreprise, voir une interdiction complète de production et de vente d’un produit. L’intégrité des données et la traçabilité sont essentielles pour prouver la conformité lors des audits.
Les Lettres de mise en demeure et les informations sur les rappels de l’ANSM ou les Warning letters de la FDA permettent ainsi d’identifier différents exemples d’impacts non négligeables sur la santé des patients, comme par exemple, des rappels massifs sur des appareils de surveillance cardiaque pour non-respect des règles de cybersécurité et défaut de validation logicielle, ou encore des rappels de lots ayant été libérés sur la base de données analytiques falsifiées via des systèmes informatisés insuffisamment validés. Les couts logistiques, juridiques et perte de marché se chiffrent en plusieurs dizaines de millions de dollars.
Comment se prémunir des risques juridiques ?
- Audit de conformité : Réaliser des audits réguliers pour vérifier que les systèmes respectent les normes et réglementations en vigueur.
- Définir les plans d’actions de mise en conformité
- Documentation rigoureuse : Maintenir une documentation complète et à jour sur les processus et les contrôles mis en place.
- Supervision juridique : Collaborer avec des experts juridiques pour anticiper et répondre aux évolutions réglementaires.
Conclusion
Les risques liés aux systèmes d’information dans le secteur de la santé sont nombreux. Ne pas les maitriser peut entrainer des dommages sur la santé du patient et sur le respect de sa vie privée. Quelle que soit l’origine du problème survenu, l’entreprise aura possiblement à subir des sanctions des autorités de santé, des pertes financières, un arrêt temporaire de ses opérations, des pertes de données et des dommages à son image.
Les risques bien que variés et en constante évolution peuvent être gérés efficacement grâce à des stratégies proactives. Parmi elles, les politiques de cybersécurité, de validation des systèmes, d’éducation des personnels et de politiques de continuité après un accident ou une attaque.
En comprenant et en modérant tous ces risques, en maintenant des normes de sécurité élevées, les décideurs peuvent continuer d’investir dans les technologies émergentes pour améliorer la qualité de leurs produits.
Efor Group partenaire de confiance
Nous accompagnons sur :
- Réalisation d’audit de conformité des installations et des systèmes d’Information
- Définition et mise en place de méthodologie d’analyse de risques adaptées au contexte / management des risques informatiques.
- Réalisation de cartographie de risques et analyses des processus
- Réalisation des Analyses de criticité et analyse de risques des différents SI de l’entreprise et la Validation des systèmes associés.
- Définition et rédaction des Plan de Continuité d’Activité (BCP) et Plan de recouvrement après Désastre (DRP)
- Définition de plan de formation et réalisation des Formations à l’intégrité des données (Data Integrity) adaptées aux contextes.