Comment rendre les systèmes d’information d’un hôpital plus résilients et plus durables, afin d’assurer la continuité des activités essentielles même en cas d’incident grave ou de panne générale du réseau ? Les Hôpitaux universitaires de Genève (HUG) y travaillent quotidiennement. Comprendre la menace, protéger ce qui est important, former les collaborateurs, s’entourer de l’expertise nécessaire, préparer des plans de continuité et s’entraîner sur ceux-ci. Cette « recette » a été détaillée par David Cavin, chef du service des applications IT au sein de l’hôpital genevois, lors de la Swiss Digital Conference, organisée à fin janvier au Swiss Digital Center de Sierre.

Les HUG sont le premier hôpital de Suisse en terme de volume d’activités. L’institution est présente sur neuf sites et dispose de 30 lieux de soin. Plus 1,2 million de consultations ambulatoires y sont réalisées chaque année, auxquelles viennent s’ajouter 250’000 urgences. Pas moins de 13’000 personnes travaillent sur site et elles utilisent environ 600 applications informatiques différentes. La Direction des systèmes d’information regroupe ainsi 220 spécialistes IT pour gérer cette complexité.

« De par la loi, nous avons l’obligation d’héberger les données dans nos propres centres de données. Des développements internes sont faits, par exemple pour le dossier patient informatisé », souligne David Cavin. Un système d’information pour les ressources humaines est aussi développé en interne aux HUG. « Ce qui fait des HUG un éditeur de logiciels. Nous faisons bénéficier cette solution à d’autres hôpitaux de Suisse aussi ».

Avec des solutions cloud, la gestion serait confiée à des experts ailleurs dans le monde. « La sécurité et la disponibilité des services sont certainement meilleures qu’une solution développée en interne. Mais c’est inaccessible si un site physique doit être isolé et cela n’est pas toujours compatible avec la législation. Avec une solution locale, nous avons un meilleur contrôle du cycle de vie des applications informatiques ».

Comprendre la menace avant d’agir
« Le risque technique est au centre. Mais nous avons clairement aussi un risque réputationnel, lorsque des fuites de données sortent de l’hôpital ». Le risque juridique, en lien avec les données médicales n’est également pas à sous-estimer, tout comme le risque humain, notamment lors d’une potentielle mauvaise prise en charge des patients. « Nous essayons d’atténuer toute cette graduation de risques », selon David Cavin. Avant d’essayer d’être résilient au niveau des systèmes d’information, il est important, d’abord, d’analyser et de comprendre la menace, puis prévenir, se protéger et surveiller.

« Nous avons mis en place un Security Operation Center, qui est mutualisé avec d’autres acteurs. Celui-ci, en activité 24 heures sur 24, surveille et prévient les tentatives d’intrusion dans nos systèmes ». Le matériel biomédical est très pointu au niveau hardware, mais peu efficace au niveau software. « Certaines machines fonctionnent ainsi toujours sur un système Windows XP, une version qui n’est plus mise à jour. Du coup, ces appareils concentrent une large source de dangers ». Les HUG doivent également veiller à entretenir et mettre à jour leurs logiciels, qui sont souvent connectés à des librairies de données du monde entier.

L’ouverture des données vers l’extérieur, une menace
L’ouverture croissante du système d’information hospitalier est également une menace. « À l’époque, nous fonctionnions uniquement à l’interne. Maintenant, cela s’ouvre vers l’extérieur via les patients, les réseaux de soins régionaux ou les collaborateurs. De plus en plus de services sont exposés sur internet ». Et ces services sont utilisés par une large diversité d’utilisateurs. « Chacun consomme plus ou moins des services digitaux, avec des niveaux de sensibilisation aux risques très hétérogènes. C’est donc très complexe à gérer ».

En cas de souci, les HUG disposent de procédures standardisées, prêtes à appliquer. « On a imaginé tous les scénarios possibles et préparé les check-lists ». L’éventualité de s’isoler de l’extérieur est aussi envisagée. Nous faisons des tests pour voir quelles sont les dépendances. « Il faut donc accepter de perdre certaines fonctionnalités en cas de coupure avec le monde connecté ». Les HUG exercent régulièrement leurs plans de continuité informatique et des modes dégradés sont mis en place.

Continuer à tout prix à soigner les patients
« En cas d’incident informatique grave, le but est de continuer à soigner les patients sans outil informatique. Les soignants doivent apprendre à travailler différemment, parfois avec un stylo ». Le système de sauvegarde des HUG permet de mettre à disposition en local les 500 derniers documents de chaque patient hospitalisé sur le moment. « Nous avons une série d’ordinateurs hors réseaux, avec des PC de réserve également. C’est ainsi que l’on imagine pouvoir survivre quelques jours sans informatique », souligne David Cavin.

Les HUG disposent bien entendu d’un plan de reprise de leurs activités. « Ici, il est essentiel d’avoir des sauvegardes à mettre en place et une cartographie à jour du système. D’une fois que le système est restauré, il faut le redémarrer, dans un ordre bien précis. Le tout en communiquant le plus clairement possible vers l’externe et l’interne ».

Propos recueillis le 27 janvier 2023, lors de la Swiss Digital Conférence de Sierre