Nos publications

L’actualité semble prometteuse pour le carnet de vaccination numérique (nouvelle terminologie du carnet de vaccination électronique) qui offre désormais de nouvelles fonctionnalités ?

« Le carnet de vaccination électronique (CVE) bénéficie aujourd’hui d'une nouvelle architecture. Il est désormais désigné en France par le terme de carnet de vaccination numérique (CVN). Les composantes sous-jacentes de l’offre SYADEM (la nomenclature unifiée des vaccins NUVA, le système d’aide à la décision vaccinale SADV) ont été massivement refondues depuis 2020, notamment à l’occasion de leur transposition pour le carnet de vaccination électronique national du Luxembourg. En France, la nouvelle version a été lancée en décembre 2022. Sa nomenclature NUVA (Nomenclature unifiée des vaccins) a rejoint le serveur national des terminologies, et son système d’aide à la décision est sur le point d’être exposé dans Mon Espace Santé sous la dénomination mentor.mesvaccins.net. »

Quelles leçons tirer de la crise sanitaire ?

« L’urgence de la crise sanitaire a permis des avancées importantes et pragmatiques à grande échelle, comme par exemple l’extension des compétences vaccinales de plusieurs professions de santé. Les outils de SYADEM, qu’il s’agisse de la coordination du parcours vaccinal ou de l’aide à la décision, permettent d’accompagner ces évolutions. »

Avez-vous un message important à faire passer auprès de la population ?
« Le message important a déjà été passé mondialement : les maladies infectieuses sont toujours là, n’épargnent personne, et la vaccination est la plus efficace des réponses. »

Depuis que vous connaissez Doshas Consulting, comment voyez-vous l'évolution du cabinet ?
« Nous avons connu le cabinet par l’intermédiaire de SYADEM, une entreprise d'édition de logiciels spécialisée dans l'aide au diagnostic médical et ses applications dans le domaine de la prévention. C’était dans le cadre du projet Pascaline et de Territoire de Soins Numérique (TSN) pour l’accompagnement de la mise en place CVE. Depuis cette époque, la progression est impressionnante. Doshas Consulting est désormais un acteur central de l’écosystème ! »

• Jean-Louis Koeck est fondateur de MesVaccins.net

• François Kaag est fondateur de Cardynal 

Quel souvenir gardez-vous de votre première rencontre avec Didier Ambroise ? 

« J’ai connu Didier Ambroise en 2017, dans le sillage des expérimentations dites «Territoires de soins numériques (TNS) » pilotées par la Direction Générale de l'Offre de Soins (DGOS) dans sept régions. Nos échanges ont porté principalement sur les objets connectés. Les résultats de TSN ont été riches d’enseignement, notamment en démontrant qu’il y avait encore une longue marche à faire pour que les professionnels de santé et les patients adoptent les outils numériques. »

Depuis Territoire de Soins Numérique (TSN), avez-vous le sentiment que Doshas Consulting contribue, dans ses engagements et ses missions, à défendre un numérique en santé au service des patients, dans un cadre éthique et respectueux des données de santé ?

« A l’époque de TSN, j’ai conduit une mission pour le Conseil National de l’Ordre des Médecins (CNOM) et j’ai pu constater que tous les acteurs institutionnels et professionnels étaient particulièrement sensibles au respect du cadre juridique, législatif ou réglementaires. J’avais aussi fait observer que les aspects déontologiques étaient importants et qu’il fallait lire le code dans ses applications au monde numérique comme un moteur et non un frein, si on se référait aux bases éthiques sur lesquelles ce texte réglementaire se justifie. J’observe aujourd’hui que la Délégation ministérielle au Numérique en Santé (DNS) comporte une cellule éthique en ce sens et que ses travaux, auxquels je participe cette fois entant que président de l’Agence du Numérique en Santé (ANS) figurent dans un cadre de référentiels qui deviendront opposables. C’est de l’éthique au concret si je puis dire. Naturellement, je me réjouis que des sociétés comme Doshas consulting défendent aussi ces orientations. »

En mai 2018, nous vous consacrions un Parcours intitulé « Médecine et numérique : entre fascination et appréhension ». Que vous inspire-t-il aujourd'hui ?

« Que je n’ai pas changé d’avis. Ce texte de 2018 reste d’actualité et démontre que tout changement durable nécessite du temps long. Les innovations vont aujourd’hui très vite, mais leur appropriation réelle demande du temps face à la force des habitudes. Il ne faut pas désespérer de cela. J’avoue cependant ressentir parfois la tentation de ne plus cultiver que mon jardin… »

Quelle est votre vision de notre système de santé pour demain ?

« Le système de santé sera piloté grâce au traitement massif des data en temps réel. Bien entendu, cela ne veut pas dire que ce seront les machines qui décideront mais elles alimenteront les réflexions et les choix politiques. Numérique et démocratie en santé ne sont pas antinomiques. Dans ce système, les professionnels de santé pourront tous se consacrer au cœur de leurs métiers, à savoir accompagner et soigner les personnes avec compétence, dévouement et humanisme. Des coopérations structurées entre les professionnels intervenant dans le système de santé sont indispensables pour la qualité, la sécurité des soins et les prises en charge médico-sociales. Les moyens apportés par l’intelligence artificielle dans l’exercice des métiers vont en modifier les contenus et les contours.

Tout cela va demander de déployer une information claire, loyale, humble et appropriée à destination de tous les citoyens. Les enjeux de cohésion sociale sont considérables, d’où la nécessité de donner un cap clair, le partager et avancer ensuite avec détermination.

Pour parvenir à naviguer en haute mer, affronter des vents turbulents et arriver à bon port, il faudra disposer d’une boussole, de phares et de balises. C’est un nouveau mode qui s’ouvre devant nous. Il est compréhensible qu’il suscite à la fois des espoirs motivants, des appréhensions, des inquiétudes et même des rejets. »

Que diriez-vous de l’évolution de Doshas Consulting ?

 « Qu’il faut qu’elle continue » 

Comment la France est-elle parvenue à impulser sa perception du numérique en santé pendant la présidence du Conseil de l’Union européenne ?

« La France a souhaité traduire en actions constructives et visibles sa volonté de contribuer au futur espace européen de données de santé (EHDS, European Health Data Space). La Commission européenne et les autres Etats membres ont suivi ces propositions pragmatiques et nous ont permis d’atteindre les résultats escomptés, voire même de les dépasser pendant ces 6 mois. Un calendrier événementiel ambitieux (25 événements dédiés au numérique en santé en 6 mois) a été déroulé, une ampleur inédite pour le numérique en santé, sans équivalent sous aucune présidence ! Nos collègues européens y ont activement contribué, partageant le constat du manque de visibilité sur les enjeux du numérique en santé en Europe. »

L’éthique tient une place importante dans la perception française des données de santé. Qu’en est-il au niveau européen ?

« Nous avons tout d’abord mené une étude européenne sur le numérique en santé en Europe¹, disponible sur le site de l’ANS, pour avoir la « photo à date » de la maturité atteinte. En effet, les feuilles de route nationales des Etats membres ont été accélérées suite à la pandémie. Un des objectifs a été de comprendre la place de l’éthique dans ces feuilles de route nationales comme dans la base réglementaire européenne existante. Un constat est clair : le volet sur l’éco-responsabilité est encore à développer.

Plus largement, les Etats membres et la Commission, dès le début de la présidence française, ont partagé le constat de la nécessité d’avoir trois piliers pour déployer le numérique en santé et l’espace européen de données de santé : l’interopérabilité, la sécurité et l’éthique. Si les deux premiers sont pris en compte dans les travaux européens de longue date (à l’instar du règlement cyber qui s’applique aussi à la santé), le cadre éthique européen pour le numérique en santé n’avait jamais été formalisé. Il s’était révélé cependant essentiel lors de la création récente du « passe sanitaire européen (EU DCC) », dont le succès tient en partie à son cadre éthique, traduit par une achitecture technique qui y répond.

Formaliser ce cadre éthique et le communiquer au citoyen étaient donc important pour préparer un espace européen de données de santé qui allait nécéssairement susciter des questions d’ordre éthique. Cette démarche a aussi été un engagement des Etats membres et de la Commission européenne, qui a repris ce cadre dans sa proposition de règlement. »

Les résultats complets de l’étude sont à retrouver : https://esante.gouv.fr/media/8149

Cette démarche préparait l’espace européen de données de santé. Où en est-on exactement ?

« L’espace européen de données de santé est le premier espace européen de données mis en œuvre pour répondre à la vision d’une Europe des data. Pour la santé, c’est crucial. La pandémie nous l’a rappelé, tant pour la prise en charge du patient, pour la recherche, l’innovation que pour la politique publique. Cet espace européen de données de santé existe déjà en partie. Il vise à donner de nouveaux services aux citoyens et aux professionnels de santé.

Lors de la prise en charge d’un patient étranger d’un autre pays de l’UE, et avec son consentement, un professionnel de santé pourra ainsi avoir accès, dans sa langue, aux données de santé du patient. Ce programme, MaSanté@UE ou MyHealth@EU, est aujourd’hui volontaire. Onze pays, dont la France depuis juillet 2021, en sont déjà parties prenantes. Ils ont déployé des premiers cas d’usage opérationnels. Demain, le règlement sur l’espace européen de données de santé le rendra obligatoire pour mailler les systèmes de santé et réutiliser les données. L’instruction de ce projet de règlement a démarré en fin de présidence française ; il devrait être le texte fondateur pour encadrer le numérique en santé en Europe. Cette vision a été fortement portée par la France, introduite par le commissaire Thierry Breton. Elle doit rendre l’Europe capable d’aller de l’avant en IA et nouvelles technologies en santé. Il s’agit aussi de gagner en souveraineté sur tous les terrains, comme l’a rappelé le Président de la République, y compris celui du numérique en santé.

La présidence française du Conseil de l’Union européenne a donc mis en oeuvre des actions cohérentes avec cette approche de l’espace européen des données de santé et du marché unique pour le numérique en santé, principaux enjeux servis par la stratégie déployée par la France. »

 Quelles sont les autres actions menées ?

« Des actions concrètes. La France a annoncé adopter la terminologie Snomed CT pour faire avancer l’interopérabilité sémantique en Europe. Une initiative a été prise pour harmoniser les critères d’évaluations cliniques des dispositifs médicaux numériques. Enfin, G_nius s’est internationalisé en intégrant les étapes et conditions d’accès au marché de 10 premiers pays européens. Et les autres pays vont suivre ! »

A titre personnel, quel(s) événement(s) majeur(s) retenez-vous de cette PFUE ?

« Les 25 événements ont tous été très riches. Parmi eux, deux événements institutionnels ont été marquants : la conférence ministérielle « Ethique, citoyenneté et données de santé » a permis de déclencher la mise en oeuvre des principes éthiques européens pour le numérique en santé après leur adoption en un temps record (1 mois) ! L’engagement pris par les ministres de la Santé des Etats membres a été un grand moment. Ensuite, en juin, la réunion du réseau eHealth Network à PariSanté Campus a rassemblé nos homologues européens, après tant d’heures en visio-conférence pendant la crise. Un moment fort pour ce réseau soudé par les enjeux portés par le numérique en santé dans la construction de l’Europe de la santé. »

Pourquoi avoir décidé d’organiser une session du serious game Médirisk© au sein du CHU de Saint-Etienne ?

« En novembre 2014, le CHU de Saint-Etienne a connu un incident informatique assez important, conséquence d’une négligence de la sécurité qui a eu pour impact la perte d’une baie informatique complète. Cette mésaventure a été le début d’une prise de conscience de la nécessité d’élever le niveau dematurité du centre hospitalier dans ce domaine. La particularité de l’établissement stéphanois, qui est excellent en termes de résultats d’exploitation, est d’avoir peu investi durant des années, lié à une situation financière tendue.

Aujourd’hui, nous tentons de rattraper ce retard, à un rythme assez soutenu, par un travail de fond passant par des mises à jour régulières des systèmes d’exploitation, le renouvellement progressif des postes de travail et l’intensification de l’informatisation au niveau du biomédical. Nous avons également décidé d’agir pour sensibiliser les utilisateurs, les principales actions menées jusqu’à présent étant l’envoi régulier de mails mettant en garde contre le phishing. Nous avons débuté en 2021, une mission de RSSI externalisé, preuve de la montée progressive en charge de ce sujet dans les établissements du GHT de la Loire.

L’organisation d’une session du serious game s’inscrit donc dans cette volonté de donner plus de lisibilité à la sécurité informatique auprès du personnel. Jouer est en effet une manière efficace de contextualiser l’importance de l’investissement nécessaire. Nous avons d’abord testé Médirisk© entre informaticiens, puis avec des collègues des SI du GHT et plusieurs directeurs d’hôpitaux, dont les retours ont été très enrichissants. 

Le serious game est, à mon sens, un bon outil pour démontrer l’urgence de prioriser la sécurisation desdonnées et une aide précieuse pour les directions, en matièred’arbitrages financiers. Sachant que la direction qualité vient renforcer nos méthodes. Elle travaille ainsi de pair avec le RSSI sur la validation du formalisme dans le cadre du programme Hôpital numérique ouvert sur son environnement (HOP’EN), du Plan de reprise d’activité (PRA) et des procédures dégradées ».

Avez-vous des échanges de pratiques réguliers avec voscollègues d’autres établissements de santé ?

« Nous avons des retours d’expérience assez complets de la commission nationale des systèmes d’information de CHU sur des événements d’ampleur nationale. Le plus récent concerne l’attaque virale subie par le CHU de Rouen l’année dernière, un établissement pourtant bien préparé aux risques cyber, ce qui contribue à tirer un constat un peu effrayant sur la vulnérabilité des établissements de santé.

Au CHU de Saint-Etienne, une centaine de postes ont été cryptolockés en 2012, et nous avions créé un programme maison pour contrer ce type de ransomware. Depuis 2019, nous suivons les préconisations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les CERT-FR* (acronyme CERT signifie Computer Emergency Response Team), que nous recevons a minima une fois tous les quinze jours.

Parallèlement, pour pallier toutes les failles de sécurité, nous avons durci notre AD (active directory) et nous utilisons plusieurs outils d’audit performants. Nous avons en outre des réunions de coordination tous les quinze jours pour faire que la prise en compte sécuritaire entre dans les habitudes de travail. Ces derniers mois, nous avons donc beaucoup avancé. Le problème dans nos métiers, c’est que nous sommes vite rattrapés par le quotidien. Pour autant il est indispensable d’intensifier nos efforts en matière de sécurité informatique, qui doit devenir une des priorités de l’institution ».

 *Le CERT-FR est une des composantes curatives complémentaires des actions préventives assurées par l’ANSSI. En tant que CERT national, il est le point de contact international privilégié pour tout incident de nature cyber touchant la France. Il assure une permanence de ses activités 24h/24, 7j/7.

D’autant plus que la sensibilisation à la sécurité informatique est souvent perçue comme une contrainte supplémentaire par les métiers…

« L’objectif étant de sensibiliser tout le monde à la sécurité informatique, il est effectivement important d’expliquer aux métiers que le passage en production d’un outil nécessite toujours un temps de vérification sécuritaire, en amont, qui en retarde son utilisation. Une des difficultés que nous rencontrons consiste à mettre en conformité ceux qui, en routine depuis plusieurs années, se servent par exemple de comptes utilisateurs aux mots de passe comportant seulement 3 caractères.

Sans compter le nombre de fois où nous sommes sollicités le mercredi pour un logiciel qui doit être opérationnel le lundi suivant, bien qu’on ne le connaisse pas et que nous ne possédions aucune documentation sur son installation ! Ce genre de situation nous arrive plusieurs fois par an. Nous menons un travail de fourmi de planification et de pédagogie auprès des utilisateurs car, en fonction des cas, une quinzaine de personnes peut être mobilisée avant le lancement d’un nouvel outil. Ce besoin de formalisation n’est pas dans les habitudes du monde hospitalier et la direction générale du CHU de Saint-Etienne l’a bien compris. Comme ce n’est pas uniquement au service informatique de prioriser les projets, elle souhaite la création d’une commission informatique pluridisciplinaire, prévue pour 2022, qui étudiera les nouveaux projets.

De manière générale, des budgets sont en train de se débloquer et tout s’accélère. La crise sanitaire a permis, sur la partie télémédecine, de rendre matures des outils qui ne l’étaient pas. C’est l’évolution majeure et positive de ces derniers mois ».

 En quoi le dispositif Remboursement des organismes complémentaires (ROC) est-il si innovant ?

« L’idée de départ de ROC est d’offrir aux établissements hospitaliers et aux Assurances  Maladies Complémentaires (AMC) un contexte technologique unique, qui prenne en compte leurs différents types d’activités et leurs propres spécificités. Elle vient du constat que les échanges entre établissements et AMC pour le remboursement du reste à charge patient étaient structurellement défaillants  et qu’il était par conséquent vain de tenter de les informatiser en l’état. Il faut donc voir ROC comme un changement de paradigme pour l’écosystème, un nouveau concept innovant, n’ayant jamais existé, conçu pour régler définitivement tous les dysfonctionnements des services en ligne et de facturation. 

Pour l’activer, il a fallu du temps et beaucoup de volonté de la part des acteurs impliqués. Un travail de préparation considérable a été mené par l’ASIP, puis l’ANS, avec les représentants des établissements et les éditeurs, par l’équipe de Florian Catteau, qui se poursuit dans le cadre des extensions en cours aux activités de SSR et de psychiatrie ainsi qu’aux cliniques privées. Les spécifications fonctionnelles issues de ces travaux se sont traduites par des demandes d’évolution des logiciels de gestion administrative de patients d’une telle ampleur  qu’il a fallu 5 ans pour élaborer collectivement des spécifications fonctionnelles, qui soient opposables aux éditeurs hospitaliers et à l’ensemble des AMC.

Deux années d’expérimentation ont ensuite permis de vérifier que tout ce qui avait été imaginé ex-nihilo fonctionnait. Pour régler les derniers détails, quelques mois ont encore été nécessaires pour permettre aux premiers établissements non expérimentateurs de passer en production. »

Pour décrire ROC en trois mots vous parlez de simplification, numérisation et fiabilisation. En quoi ce dispositif simplifie-t-il vraiment le quotidien des établissements hospitaliers et des patients ?

« La simplification est une question cruciale tant pour les patients que pour les personnels hospitaliers, du fait de la très grande difficulté pour les acteurs de s’y retrouver dans les différentes règles de facturation hospitalière et de prise en charge par les complémentaires des restes à charge des patients. Cette situation demande aux personnels hospitaliers un travail  de fourmis  totalement déraisonnable. Face à ce constat, le premier objectif était de mettre la numérisation au service de l’automatisation et de la suppression des tâches redondantes, autrement dit que les systèmes d’information du XXIe siècle soient conçus au bénéfice et au service des utilisateurs et non l’inverse. Le deuxième point crucial qui intervient an amont du recouvrement, c’est l’incapacité pour les services d’accueil et de facturation de comprendre les logiques de fonctionnement des contrats des AMC. Si les personnels finissent par appréhender les principaux contrats des principales complémentaires avec lesquelles ils travaillent, cet apprentissage se fait sur le modèle « envoi-erreur-correction ».

Avec ROC, les établissements transmettent aux complémentaires le reste à charge du patient. Elles y répondent en fonction de leurs propres règles de gestion des contrats, en leur envoyant in fine un code de garanti de paiement sur les montants de prise en charge. La mise en place de ROC  s’accompagne d’un troisième niveau de simplification, celui des échanges en ligne et en temps réel. Aujourd’hui, le délai médian de réponse en ligne est de 1,5 secondes. Cette immédiateté permet au patient de connaître la prise en charge potentielle de sa complémentaire au moment de sa pré-admission ou le jour de son hospitalisation et d’éviter, à sa sortie, de repasser par le bureau des entrées pour régler son séjour. La transparence et la vitesse de transmissions des informations vont également favoriser la mise en place de services interactifs pour les assurés.

Grâce à ROC, un cercle vertueux est en train de s’instaurer dans la communication envers les patients, étant entendu que par l’intermédiaire d’un identifiant commun le système fournit la même information, au même moment, à tous les acteurs engagés. Ce qui explique l’implication extrêmement forte de la DGFIP (Direction Générale des Finances Publiques) dans ce programme qui permet de supprimer 99 % du contentieux actuel. Les saisies à tiers détenteurs, évaluées aujourd’hui à environ 15 millions d’euros, sont en effet une des plaies des relations entre les établissements de santé et les AMC. »

Comment les établissements hospitaliers sont-ils accompagnés pour intégrer ROC et quelles sont les premières retombées chiffrées ?

« Le passage en production ne se fait pas du jour au lendemain et depuis le mois de février 2021, un opérateur national de déploiement (OND) est mandaté par la DGOS pour coordonner les travaux entre les éditeurs, les établissements hospitaliers et les AMC. La mise en place des premiers flux  nécessite, en général, trois mois de préparation pour régler des questions relatives aux SI et aux nécessaires évolutions organisationnelles. S’en suivent trois mois de fonctionnement dits sous surveillance qui vont permettre à l’OND de vérifier que tout se passe bien et de proposer à l’établissement d’intégrer ROC.

De manière réciproque, quand une complémentaire s’inscrit dans le dispositif, elle bénéficie du même type de fonctionnement et de supervision. Pour pouvoir mutualiser ces différentes phases et favoriser le partage d’expérience, les établissements sont regroupés en cohortes, regroupant entre 25 et 40 participants, homogènes en termes d’éditeurs de logiciels. Des séminaires de sensibilisation aux bonnes pratiques sont également organisés. Le temps consacré à cet accompagnement explique donc qu’à date, seulement 40 établissements soient passés en production. Selon les prévisions d’engagement dans les cohortes, ils seront 46 au 31 décembre 2021, 78 à la fin du premier trimestre 2022, 144 à la fin du deuxième et 423 à la fin du troisième. Autre chiffre clé, sur les 100 000 dossiers traités à ce jour, aucun contentieux ayant abouti à une saisie à tiers détenteur n’a été signalé. Seuls quelques dossiers ont fait l’objet d’échanges directs entre l’établissement et l’AMC.

Enfin, un des objectifs du programme qui était que les indicateurs de règlement des complémentaires s’alignent sur ceux de l’assurance maladie obligatoire (AMO) est aujourd’hui respecté,  puisque le délai actuel de règlement des premiers est de 6.7 jours contre 6.4 pour la seconde. »

 Depuis quand le Médipôle Hôpital Mutualiste est-il entré dans l’expérimentation ROC ?

Sandrine Croze-Fayard : « Nous avons été associés au démarrage du projet dès 2015. Nous avons participé à des réunions trimestrielles, qui réunissaient à Paris un ensemble de directeurs administratifs et financiers (DAF) et de directeurs adjoints afin d’élaborer le cahier des charges opposable aux éditeurs, puis de mettre à plat l’ensemble des règles de facturation encadrant les échanges entre les établissements de santé et les organismes d’Assurance Maladie Complémentaire (AMC). Une fois la rédaction du cahier des charges validée par les différentes instances de pilotage (Fédérations AMC (FNMF, FFA et CTIP), ministère de la Santé (DGOS) et la CNAM), des groupes de trinômes ont été constitués par le ministère des Solidarités et de la Santé. Pour une meilleure connaissance des besoins et des champs d’activités, ils regroupaient des représentants d’établissements hospitaliers publics ou d’établissements de santé privés d’intérêt collectif (ESPIC) de différentes régions, d’AMC et d’éditeurs de solutions hospitalières. S’investir dans cette expérimentation correspond à notre ADN. C’est pour nous une manière d’apporter notre vision, reflet des liens privilégiés que nous entretenons avec les mutuelles qui composent notre conseil d’administration ».

Elise Greffet : « Sous l’égide du programme Simphonie dont l’un des axes est la modernisation de la facturation et la diminution de la charge administrative, le ministère des Solidarités et de la Santé a impulsé différents dispositifs. Depuis plusieurs années, notre hôpital est un établissement pilote dans le domaine de la digitalisation des processus. Nous avons notamment participé activement, avec notre éditeur, au projet de facturation individuelle des établissements de santé (FIDES) pour les actes et consultations externes (ACE). Il était donc fort naturel pour nous d’accepter la sollicitation ministérielle dès le lancement de ROC ».

Pour quelles raisons avez-vous participé activement à ROC ?

S.C.F. : « La facturation auprès des AMC est un sujet ancestral, artisanal, manuel, fastidieux, lourd, redondant, consommateur d’énergie, dont le jargon très administratif est une source d’incompréhension pour les patients. D’autant plus que les différentes réformes de financement ont complexifié ces règles de facturation, un domaine très peu concerné par la digitalisation. Nous nous sommes donc impliqués dans le programme ROC pour créer des synergies entre les différents acteurs concernés et réduire les coûts de ce système archaïque. Cet engagement répondait à la demande d’un grand nombre d’établissements d’obtenir des informations plus rapidement et de manière dématérialisée, afin d’éviter cette lourdeur administrative et faciliter les parcours de soins ».

Quels sont les avantages de ce dispositif ?

E.G. : « ROC est un dispositif qui simplifie vraiment la prise en charge. Les QR code / Data matrix normalisés dans leurs fonctionnalités grâce au descriptif défini par ROC et développés par les AMC donnent accès à des informations actualisées des patients. Ils évitent ainsi bien des mauvaises surprises. Leur consultation par des lecteurs de data matrix à l’accueil des établissements permet d’interroger à distance notre outil d’admission des patients ainsi que l’annuaire national des AMC, défini en amont du cahier des charges. Une fois la prise en charge confirmée, elle vient s’incrémenter dans nos bases. C’est la première étape. Avant la fin du séjour hospitalier, nous sommes en possession de l’accord dématérialisé de prise en charge et nous envoyons la facture numérique à l’AMC concerné, ce qui nous prémunit de toute erreur et retard de paiement ».

Et pour l’avenir ?

S.C.F. : « Une fois que les briques seront toutes bien posées et que tous les organismes AMC seront connectés, ils auront l’opportunité de développer tout un panel de services auprès de leurs adhérents. Les délais de traitement sont en effet aujourd’hui trop longs pour proposer de telles plus-values aux assurés. Grâce à ROC, les AMC auront une vision quasi instantanée de là où se trouvent leurs adhérents, sans que les établissements ne dévoilent, bien sûr, aucun contenu médical ou données personnelles, la CNIL ayant validé en amont l’ensemble des pré-requis techniques. Tous les services en lien avec le vieillissement de la population vont être cruciaux dans les années à venir puisque l’hôpital, saturé, essaie de réduire les durées de séjour ainsi que les passages aux urgences. L’idée serait de travailler sur le maintien à domicile, en phase avec les objectifs du ministère » .

Existent-ils encore des freins à lever ?

E.G. : « Le déploiement ne se fait pas à la même vitesse avec tous les AMC car certaines petites complémentaires ne sont pas encore rattachées au dispositif. La difficulté majeure, de notre point de vue, reste cette coexistence des deux systèmes de flux. Pour l’instant, nous avons constaté que le dispositif fonctionne de manière plus efficace et rapide quand l’interlocuteur avec lequel nous sommes connectés est une mutuelle ou un assureur en direct, et non pas au travers d’un opérateur de Tiers Payant ».

S.C.F. : « Je pense que ce qui a un peu freiné l’engouement des AMC au départ, c’est l’accélération du délai de paiement. Leur rythme d’adhésion au projet nous a donc fait perdre un peu de temps et nous pensions que la généralisation irait plus vite. Cependant, les différentes annonces de la FNMF en 2021 et les engagements pris par des dizaines d’AMC sont de bonnes nouvelles qui nous font dire que les choses bougent ! Nous n’avons pas été confrontés à de grosses difficultés techniques pour la mise en place de ROC. Ce dispositif impose simplement des étapes à franchir qui nécessitent, malgré le cahier des charges, une grille de lecture commune avec l’AMC sur les règles de facturation. Comme l’a dit Elise, la plus grosse difficulté en interne c’est la coexistence d’un système « moyenâgeux » avec des prises en charges imprimées, des factures agrafées et envoyées par La Poste et celui de la lecture data matrix « rocienne ». Cette gymnastique de saisie des dossiers dans nos outils est un peu complexe et, dans une période où les équipes hospitalières sont fatiguées, toute simplification serait la bienvenue ! D’où notre désir de voir ROC se généraliser… ».

Spécialiste de la gestion du risque et des crises hors cadre, vous intervenez comme consultant sur le pilotage de situations complexes et chaotiques. Détournement d’avion, tempêtes, cyclones, pandémie, que retenez-vous de votre expérience sur le terrain ?

« Quelle que soit la nature des situations qui sortent des cadres habituels, leur pilotage est extrêmement difficile car il demande aux dirigeants la capacité de générer les bonnes questions, avant d’avoir seulement le souci d’aligner les réponses conventionnelles. L’hypothèse se vérifie toujours sur le terrain, comme j’ai pu le constater lors du débriefing du détournement de l’airbus d’Air France à Alger en 1994, auprès de la cellule de crise d’EDF suite aux tempêtes de 1999, à Toronto au cours de l’épidémie de SRAS en 2003, au sud des Etats-Unis après le passage du grand cyclone Katerina en 2005 ou bien encore pour le ministère de la Santé, lors de la pandémie du H1N1 en 2009.

Peu importe le domaine de la crise, ce qui est fondamental et décisif c’est le fait d’être projeté ailleurs et de ne pas succomber à la tentation de plaquer les enseignements d’un événement antérieur pour affronter celui à venir. A chaque fois, la bonne attitude consiste à se demander quelle question on a bien pu oublier de se poser. Prenons l’exemple de la vaccination contre la Covid-19. Aucun gouvernement n’avait envisagé l’éventualité d’une mise sur le marché aussi rapide d’un ou plusieurs vaccins et n’avait élaboré une hypothèse pour gérer ce cas de figure.

Savoir sortir du cadre est la seule piste possible mais elle est extrêmement difficile à ouvrir et inventer pour qui n’a pas une préparation précisément pensée pour ce type de défi, comme j’ai eu l’occasion de l’expliquer récemment, lors d’une intervention pour les Directeurs de crise de l’Assistance Publique – Hôpitaux de Paris (AP-HP) ».

Pourquoi est-ce si difficile pour les cercles dirigeants de sortir du cadre ?

« Parce que cette option va à l’encontre de la culture cartésienne des décideurs de tous les pays. La seule suggestion de sortir du cadre est beaucoup plus inquiétante que la perspective d’une déroute ! Elle tétanise les esprits et, pour se protéger, chaque personne, chaque organisation, chaque silo, se bunkérise derrière murailles et fossés. Chaque organisation agit pour sécuriser au mieux son périmètre. Conséquence « normale » : la coordination clamée sur tous les tons devient une exigence aussi inatteignable que terrorisante. Quant à la communication, également proclamée comme centrale, elle devient un exercice rapidement hors de portée, promis à la confusion sur fond de dislocation destructrice.

Cette attitude est parfaitement normale car sortir du cadre est psychologiquement éprouvant et ne s’improvise pas. La psychanalyste et philosophe Nicole Fabre l’explique très bien dans son livre très puissant, intitulé « Descartes, un roman familial » (Esprit du Temps, mars 2021). Elle relève que l’auteur du « Discours de la méthode » a refusé avec une violence inouïe d'examiner la question du vide sur laquelle travaillait Pascal.  "En rejetant si vigoureusement ce concept, écrit Nicole Fabre, Descartes manifeste sous des apparences rationnelles l’angoisse du néant (de la mort ?) et la crainte de perdre la solidité d’un système qui ne tient que parce qu’il n’y demeure aucune faille » (p. 98). Il ne faut à aucun prix, et quoi qu’il en coûte, se laisser toucher par l’hypothèse qu’il pourrait y avoir faille dans le système – sinon, ce serait laisser place à un processus d’écroulement. Nous sommes tous enfants de Descartes dont le système est à la source de notre société rationnelle, forte de règles qui assurent stabilité, fiabilité, prévisibilité – à l’intérieur d’un périmètre bien maîtrisé. Mais qu’en est-il à l’extérieur de ce périmètre ? Que devient alors nos visions, nos logiques de pilotage, notre exercice du leadership ? Clairement, il n’y plus alors de livre du maître ; l’administrateur, qui déjà dû laisser place au gestionnaire, doit prendre l’habit du découvreur. Rude mutation. 

Dans ces conditions, comment aborder ces situations de grande volatilité ?

Tout se joue d’emblée sur la capacité du dirigeant à démontrer qu’il est en phase avec ce type de défi. Pour cela, il lui faut être préparé, précisément à pouvoir penser et traiter les situations hors des jardinets du convenu. Pour l’aider, il sera extrêmement utile qu’il ait à ses côtés ce que j’ai nommé Force de Réflexion Rapide – un petit groupe de personnes bien préparées à travailler sur feuille blanche pour clarifier au plus vite, le « De quoi s’agit-il? », les « Pièges », les « Cartographies d’acteurs », les « Combinaisons d’impulsions inventives » pouvant redonner de la puissance et du dynamisme créatif au système. Concrètement, il s’agit bien de s’interroger d’emblée sur la qualification de la situation : c’est l’expérience de l’amiral Thad Allen, envoyé dix jours après l’arrivée du Cyclone Katrina (2005) pour reprendre pied dans le chaos. Son constat : « Ce que je compris en arrivant c’est que nous n’avions rien compris. Ce n’était pas un cyclone, c’était une arme de destruction massive, sans dimension criminelle. »

Et, à tous les niveaux, il faut de nouvelles visions, capacités d’écoute, de mise en lien, de valorisation. C’est par exemple la remarquable gestion du directeur de l’aéroport de La Nouvelle Orléans. Parmi d’innombrables démonstrations d’inventivité, un des ses techniciens lui indique qu’il a retrouvé un puits qui pourra donner de l’eau; certes, elle n’est pas potable, mais elle peut alimenter les toilettes – et avec 10 000 personnes bloquées dans les aérogares, la perte des toilettes signerait la perte de la bataille. 

Lors du cyclone Sandy (2012), le  conseiller spécial du patron de la FEMA (agence fédérale américaine de sécurité civile) monta tout de suite 3 groupes de travail : détection des failles et des erreurs; détection des initiatives émergentes venant des multiples acteurs autres que les acteurs officiels; invention – pour rester en phase avec les exigences d’une crise hors cadre. Bien en phase avec ces mots d’un dirigeant de la Silicon Valley à ses cadres: « Votre champ de responsabilité, désormais, c’est l’inconnu ».

La société Computablefacts, que vous avez co-fondé il y a deux ans, anticipe les risques de cyber attaques des entreprises par l’intermédiaire de CF-Sentinel qui teste en continu leurs vulnérabilités informatiques. Quel est le fonctionnement de cette plate forme et en quoi est-elle une solution de surveillance « intelligente » ?

« La spécialité de notre société est de garantir aux entreprises qui font appel à nos services une couverture complète de leur périmètre externe de leur internet, grâce à notre capacité à nous mettre dans la peau d’une personne prête à attaquer leur système d’information. Comme par exemple envisager le scénario que pourrait imaginer un hacker pour s’en prendre à un établissement de santé. Sans affecter les systèmes évalués, notre plateforme simule des attaques en continu, en direction des serveurs que nos clients souhaitent surveiller. Bien souvent ils en ignorent d’ailleurs la liste complète. Nous leur remettons ensuite un rapport détaillé de leurs vulnérabilités, au fur et à mesure de l’avancement des tests, qui leur montre leur degré d’exposition aux menaces avant de leur fournir une série de recommandations et de correctifs visant à améliorer leur protection.

Le but de notre solution est de tester les lacunes et les portes d’entrée potentielles, quelque soit le secteur d’activité et la taille de l’entreprise. TPE, PME ou grand groupe, nous sommes en mesure de nous intégrer facilement dans les processus existants. Notre compétence est donc transversale. Ce qui diffère d’un client à l’autre, c’est le niveau de sécurisation des données auquel nous nous adaptons, sachant que dans le domaine de la santé il est particulièrement élevé et que les prestataires de soin deviennent une cible privilégiée des attaques de masse de type ransomware, cyber-squatting ou vol de données confidentielles. »

Quelles sont les failles de sécurité les plus courantes détectées par vos services ?

« La première concerne l’ampleur du matériel exposé et le nombre d’adresses IP, qui sont très souvent ignorées des directions des systèmes d’information, qui sont surpris par le nombre d’actifs accessibles depuis internet. Ce risque augmente avec la taille de l’entreprise et l’intervention de prestataires amenés à utiliser un serveur ouvert vers l’extérieur pour lancer un nouveau projet et qui vont fragiliser sans le savoir, ni le vouloir, le niveau de sécurité du groupe. A l’instar d’une campagne marketing qui utiliserait la base de données clients d’un site web.

La complexité de certaines organisations augmente le risque d’ouvrir de nouvelles failles, la sous-traitance et le changement des personnels étant une source de fragilisation, notamment par manque de suivi des dossiers et de transmission des données. Ce que l’on observe aussi régulièrement, c’est l’absence de mise à jour du matériel informatique qui est un des principaux facteurs de vulnérabilité. Enfin, de temps en temps, on constate que les mots de passe par des défauts des logiciels n’ont pas été modifiés ce qui, là encore, facilite grandement l’intrusion des pirates.

Le constat qui s’impose c’est qu’absolument personne n’est à l’abri de se faire rançonner, même les établissements les plus matures sur le sujet. Contrairement à ce que l’on peut penser, la plupart des cyberattaques ne sont pas sophistiquées. Elles proviennent bien souvent de négligences humaines qui surviennent faute de temps, d’oubli ou de méconnaissance des règles de base.»

Dans votre contribution au livre blanc « Protection des données de Santé - Enjeux et Bonnes Pratiques » vous faites référence à l’action menée par Interpol face aux cybermenaces dont font l’objet des organisations et des infrastructures majeures, engagées dans la lutte contre le Covid-19.

Pour pallier ce risque de prise en otage numérique, la cybervigilance est donc plus que jamais d’actualité.

« Face au nombre croissant de cyber attaques, le marché de la prévention est en pleine expansion. D’autant plus que la sécurité informatique reste encore aujourd’hui le parent pauvre de la plupart des entreprises qui, lorsqu’il y a des arbitrages financiers à réaliser privilégient les actions en faveur des métiers. Cette logique est aussi valable dans les hôpitaux et les services médicaux. Les processus à mettre en place en interne pour pouvoir remédier aux vulnérabilités de l’exposition digitale sont très compliqués et souvent la question se pose trop tard.

Les lignes commencent à bouger au niveau des grandes structures qui s’équipent de logiciels et d’équipes dédiés pour la gestion de ces risques. A la différence des petites pour qui la situation est beaucoup plus compliquée puisqu’elles n’ont ni les moyens ni l’expertise technique requis. Sachant que les SOC (Security Operation Center) mutualisés sont aussi réservés aux ETI et aux groupes internationaux, les PME sont devenues notre cœur de cible, dans l’aide que nous leur apportons au quotidien.

En souscrivant  un abonnement mensuel aux différents packs de services de notre plateforme, elles ont la garantie de s’assurer en permanence la surveillance de l’existence d’une vulnérabilité et de la corriger. Si jamais nos machines détectent un problème de sécurité, nous l’exprimons en langage simple pour que n’importe quelle équipe technique soit en capacité de le résoudre. Nous avons également développé une fonctionnalité qui permet de relancer une série de vérification après intervention, une manière efficace de renforcer leur vigilance.»

Votre étude fait ressortir la défiance d’une majorité de Français face à la vaccination contre le COVID. Cette défiance, qui apparait comme une spécificité française, touche-t-elle plus particulièrement les hommes, les femmes, certaines tranches d’âges et classes sociales ?

« Les femmes sont largement plus défiantes que les hommes puisqu’elles sont 50% à dire qu’elles refuseront de se faire vacciner contre 35% chez les hommes. La raison principale qui explique cette différence est la peur ressentie non seulement pour soi mais également pour les enfants, les mères ayant intégré l’idée qu’elles doivent les protéger des différents périls de leur existence.

En fonction de l’âge, ce sont plutôt les jeunes qui se montrent les plus réticents, peut être parce que l’assertion à la vaccination repose sur une sorte de calcul entre avantages et risques potentiels. Pour les convaincre, il me parait intéressant de miser sur leur altruisme et leur sens de la solidarité.

L’analyse des résultats par classes sociales ne révèle aucune différence dans le taux de consentement et de défiance, ce qui montre bien que le rejet de la vaccination contre le Covid-19 est extrêmement large et ne concerne pas qu’une faible proportion de Français. Cette particularité hexagonale a pour origine le fait que plus les personnes vont avoir confiance dans leurs institutions, en particulier les institutions politiques, plus elles vont avoir tendance à accepter les recommandations sanitaires préconisées.

Or, en France, on observe des niveaux de défiance institutionnelle extrêmement importants qui conduisent au refus des nouveaux vaccins annoncés. »

Pour rétablir la confiance, l’une des pistes ne serait-elle pas d’impliquer les médecins libéraux et professionnels de santé de proximité, tout en tirant les leçons de la campagne vaccinale H1N1 ?

« Différentes études longitudinales montrent effectivement qu’il ressort une vraie baisse du consentement en France depuis l’épisode de la grippe H1N1. Une baisse en partie due à la crainte que des enjeux financiers aient motivé la politique française d’achat massif de vaccins plutôt que des enjeux de santé publique. D’autant plus que la mise en évidence de certaines collusions avec le milieu des laboratoires pharmaceutiques a jeté le discrédit sur le gouvernement et que les conséquences de l’épidémie n’ont pas été aussi graves que celles redoutées.

Une étude récente menée en France, au Royaume Uni et en Espagne met en évidence que la thématique revenant fréquemment dans les discussions les plus partagées sur les réseaux sociaux à propos du vaccin est celle de la transparence financière.  Elle démontre la crainte de l’opinion publique que les intérêts économiques soient moteurs dans la gestion de la pandémie.

Au sondage réalisé la semaine dernière dans plusieurs pays européens qui posait la question : « A qui faites-vous confiance par rapport à la politique vaccinale concernant le Covid ? », les Allemands, les Italiens et les Britanniques ont majoritairement répondu les institutions médicales, le gouvernement et les scientifiques institutionnalisés, tandis que les Français ont déclaré massivement faire confiance à leur médecin traitant, exprimant de cette manière une exigence de proximité.

Associer ces professionnels de santé aux futures campagnes de vaccination est donc un des enjeux pour rétablir la confiance envers les institutions scientifiques jugées trop lointaines et quelques fois illégitimes. Au début de la pandémie, 90% de la population française accordait leur confiance aux institutions scientifiques contre 70 % aujourd’hui. »

Quels sont, selon vous, les conditions pour réussir la prochaine campagne vaccinale ?

« Quand on demande aux personnes d’expliquer les raisons de leur refus de se faire vacciner -et leur nombre est en constante augmentation depuis les dernières annonces sur l’avancée des tests - elles mettent en avant le manque de recul suffisant et la crainte des effets secondaires. D’où la nécessité, à mon avis, d’accompagner le grand public dans ses choix, en faisant preuve de pédagogie et de transparence sur l’état de la recherche, les mécanismes de contrôle et la sûreté des produits. La population a besoin d’être rassurée par des informations fiables, émanant d’institutions comme l’Institut Pasteur ou l’Inserm (Institut national de la santé et de la recherche médicale), dans un climat médiatique apaisé.

La mise en scène des différentes controverses scientifiques a été contre-productive en matière de prévention, créant une sorte de brouhaha qui altère les messages au profit du spectaculaire. Si la tendance est de pointer du doigt les réseaux sociaux, les média classiques ont eux aussi leur part de responsabilité. En particulier la télévision qui invite des médecins ou des spécialistes pour créer la polémique, faire du buzz, en dépit des effets délétères en termes de confiance dans la politique sanitaire.

Les Français ont besoin d’être préparés, comme c’est le cas en Allemagne où l’éventualité de disposer d’un vaccin est installée dans le débat public depuis déjà plusieurs mois. Le manque d’anticipation dans notre pays donne l’impression de se positionner plus dans la réaction que dans l’action et d’être toujours un peu pris de cours… Il ne faut pas oublier non plus l’importance des relations privilégiées avec les pédiatres ou les généralistes dans la décision finale et l’assentiment du plus grand nombre de nos concitoyens. Cette question de la proximité est vraiment primordiale pour activer les bons leviers.

Enfin une large proportion de personnes qui se déclarent contre les vaccins sont méfiantes de bonne foi et ne demandent qu’à voir. Néanmoins, les questions sanitaires sont un terreau extrêmement fertile pour les thèses complotistes, ce qui implique de rester vigilant !  »

Retrouvez l’étude en ligne : https://bit.ly/Etude_DefianceVaccination

Quelles sont les types de cyber-attaques majeurs auxquelles peuvent être confrontés les professionnels et établissements de santé ?

« Il existe deux types d’attaques majeures. Un sinistre court et intense de type Ransomware qui  bloque l’exploitation du système d’informations, génère des frais importants et dont l’impact indirect peut parfois être dramatique pour les établissements de santé, comme ce fut le cas récemment dans une clinique de Düsseldorf, où une cyber-attaque a empêché la tenue d’une intervention dans les temps, entrainant le décès d’une patiente.

Quand les données des patients sont subtilisées puis exploitées par les cyber-pirates ou les receleurs des informations vendues, il s’agit d'un sinistre long pour lequel il ne faut pas minimiser les conséquences pour l’organisation qui n’aurait pas su sécuriser ses données. Les réclamations sont à la hauteur des préjudices potentiels subis par les patients qui peuvent être victimes d’une usurpation d’identité ou d’une divulgation publique de pathologie pouvant desservir leur vie sociale ou professionnelle. Au-delà de procédures longues et coûteuses pour indemniser les tiers, l’autorité administrative compétente, la CNIL, peut diligenter une enquête et aller jusqu’à sanctionner à terme. Certaines attaques combinent ces deux aspects, avec cryptage de données et extraction de données, le tout accompagné d'une demande de rançon.

Au-delà de faire jouer la responsabilité de l’organisation, personne morale, ces attaques peuvent être révélatrices d’un tout autre sinistre trop souvent oublié : la mise en jeu de la responsabilité personnelle du ou des dirigeants.

Ainsi, si malgré les enjeux et obligations, il s’avère qu’ils n’avaient pas fait le nécessaire pour protéger les systèmes et données stockées, cela pourrait constituer une faute de gestion. »

Les organisations peuvent-elles se prémunir de tels enjeux financiers, opérationnels, juridiques et réputationnels, en souscrivant un contrat d’assurance ?

« Afin de répondre à cette problématique, les assureurs ont développé pour les organisations des produits qui incluent notamment la garantie des pertes d’exploitations, des conséquences d’attaques par ransomware, le volet assurance dommages au tiers et surtout une assistance solide donnant accès à des experts en cyber-sécurité pour identifier les failles et reconstituer les données, des experts en communication de crise et bien entendu des experts juridiques.

Les dirigeants peuvent également bénéficier de contrats spécifiques. Toutefois et compte tenu des enjeux, avant de proposer ces garanties, les compagnies opèrent une nécessaire sélection du risque. L’organisation souhaitant s’assurer doit démontrer qu’elle a su, au regard des enjeux, mettre en place les « premières défenses » en disposant des moyens techniques et des politiques appropriés.

L’assurance ne sert en effet qu’à transférer la partie du risque, certes conséquente, que l’organisation elle-même ne pourrait assumer avec ses propres moyens en cas de crise. Un contrat d’assurance ne peut pas résoudre les déficiences avérées. Si les données et leurs accès ne sont pas sécurisés, dans les cas extrêmes il n’y a plus d’aléa, et sans aléa : il ne peut y avoir d’assurance. Par ailleurs, faute de sauvegardes de qualité, le travail des experts sera nécessairement plus compliqué, long et onéreux ! »

Les directeurs hospitaliers sont-ils, selon vous, suffisamment conscients des risques cyber et sensibilisés aux bonnes pratiques informatiques ?

« Les professionnels de la cyber-sécurité et les assureurs spécialistes constatent avec préoccupation, un déficit, non de compétences des DSI, qui méritent à n’en pas douter plus d’écoute de la part des dirigeants, mais de moyens et de formations des utilisateurs. A ce jour, trop d’établissements, pour ne pas dire une majorité, sont dépourvus des moyens de base avec des systèmes parfois obsolètes, des solutions de sauvegarde non pertinentes vis-à-vis des attaques par ransomware et parfois éloignées des standards de la certification HDS, des accès à distance des praticiens non sécurisés, des transferts de données non cryptées, etc…

N’étant pas préparés à faire face à une cyber-attaque et ne répondant pas aux règles édictées par le RGPD, certains établissements ne peuvent être assurés faute d’être assurables, tandis qu’à travers des appels d’offres mal calibrés ou conscients de la qualité du risque qu’ils constituent certains sont insuffisamment garantis.

Si les établissements ayant pu développer une politique complète de management de leur risque cyber sont encore trop rares, ils existent tout comme les solutions.

Le secteur de la cyber-sécurité dispose d’outils techniques pertinents et d’audits spécialisés pouvant aider à cartographier les risques et définir une stratégie efficace devant s’exprimer in fine dans un plan de continuité d’activité intégrant les cyber-évènements. La formation des personnels et praticiens – essentielle - sur l’hygiène en cyber-sécurité peut aussi s’effectuer par des sessions d’e-learning[1]. Toutefois, une bonne défense vis-à-vis des cyber-attaques, si elle n’est pas suivie et mise à jour régulièrement, pourrait s’avérer obsolète en quelques années si ce n’est quelques mois. Nous constatons d’ailleurs sur ce point une meilleure agilité des structures privées. Le temps de la prise de conscience est passé. Aujourd’hui, celui de l’action s’impose et les dirigeants d’établissements peuvent être accompagnés. »

[1] Hiscox a développé pour des structures de moins de 10 millions d’euros de chiffre d’affaires ou de budget de fonctionnement, un outil dédié pour ses assurés : a CyberClear Academy

Après plusieurs expériences dans le secteur privé, pourquoi avoir choisi d’intégrer le corps des sapeurs-pompiers et fondé l’association Atraksis, dédiée à la co-construction des secours de demain ?

« Ayant découvert le secours lors de saisons en tant que maitre-nageur sauveteur sur les plages de Lacanau, je désirai exercer un métier orienté terrain et m’impliquer professionnellement dans le service public. Devenir sapeur-pompier répondait pleinement à cette quête de sens.

Avec deux autres élèves officiers, nous avons créé Atraksis en 2017, motivés par le constat que les enjeux de la transformation numérique, de l’innovation portée par l’intelligence collective et de la diversité des expertises n’étaient pas des priorités pour les organisations dans le monde du secours. En effet, face à l’explosion ces dernières années du champ des connaissances, la tendance consistant à recruter des profils assez homogènes, avec des compétences bien identifiées, parait désormais dépassée.

A un moment donné, pour avancer, il est nécessaire d’être entouré d’experts dans de multiples domaines, que ce soit celui des nouvelles technologies ou des sciences sociales ouvrant sur un vaste champ des possibles ainsi que de personnes en capacité de faire le lien entre ces différentes expertises. Pour entamer une transformation globale du système et non pas juste l’un de ses pans, nous pensons qu’il est aujourd’hui primordial d’arriver à connecter ces différents acteurs.

C’est vraiment cette idée de synergies innovantes et de co-construction sur des sujets essentiels pour l’avenir des services d’incendie et de secours que nous souhaitons impulser avec notre structure associative. »

Concrètement, comment allez-vous concrétiser votre ambition ?

« Les sapeurs-pompiers qui peuvent parfois avoir le sentiment d’être un peu les oubliés de la Tech ne représentent que 40 000 professionnels et 200 000 volontaires. Des effectifs réduits pour un budget global de la sécurité civile relativement faible comparé à d’autres. L’organisation structurelle sur le terrain et la libre administration des collectivités territoriales à l’échelle départementale conduisent à une hétérogénéité des services de secours qui est également un frein à la mise en œuvre de sujets d’ampleur.

C’est pourquoi, dans un premier temps, notre ambition au sein d’Atraksis est de promouvoir les possibilités d’innovation auprès des organisations par le biais d’événements, comme des conférences, faisant intervenir des experts de la transformation et du recrutement. Si les secours sont un secteur d’activités au carrefour des domaines de la sécurité/défense et de la santé, ils ne disposent pas d’une capacité de transformation identique, faute d’intérêt économique.

En revanche, il nous parait pertinent de veiller ces deux écosystèmes stratégiquement très importants et de développer, dans un second temps, des connections afin d’identifier des briques d’expertises potentiellement intéressantes, pouvant déboucher sur des avancées technologiques ou de grosses innovations de rupture applicables à nos métiers. Prenons l’exemple significatif de l’inter-connectivité des véhicules sur un théâtre d’opération et le programme Scorpion, symbole de la mutation technologique de l’armée de terre. A l’instar des militaires de l’infanterie, nos « soldats » ont besoin sur le terrain de pouvoir communiquer entre eux de manière très rapide et sécurisée. Le partage d’informations est donc extrêmement important dans l’aide à la décision et l’efficacité des interventions.

D’où la volonté d’interagir auprès du secteur privé et de faciliter le développement de projets élaborés par des grands groupes industriels ou des start-up, s’inscrivant dans notre démarche active de #TechForRescue. Ce sera la vocation de notre futur Lab Secours que nous allons lancer d’ici la fin de l’année. »

Ce Lab Secours, véritable incubateur dédié aux secours fait partie de la feuille de route 2019-2024 que vous avez élaborée. Quels sont ses points forts ?

« La création de ce Lab Secours, conçu comme un hub, s’inscrit dans une dynamique d’open innovation. Son principal intérêt sera de faire travailler ensemble des acteurs de notre secteur avec ceux des domaines économique et universitaire, partant du principe que chacun à sa place dans l’élaboration de projets allant impacter et améliorer les services d’incendie et de secours rendus aux usagers. En faisant connaître nos problématiques métiers de sapeurs-pompiers à l’écosystème de la Tech, nous pourrons exercer dans de meilleures conditions, en ayant par exemple recours à l’utilisation de l’intelligence artificielle ou de la réalité augmentée.

De tels outils technologiques peuvent nous permettre de sauver des vies ou de limiter les conséquences d’une pathologie. Aujourd’hui, certains grands groupes ont des difficultés à se réinventer alors que de petites entreprises ont une expertise très précise qui pourrait leur être précieuse. Idéalement, cet incubateur aura demain un fonctionnement à deux vitesses. Sur le long terme et de manière formelle, il intégrera les institutions pour mener des appels à projets définis par nos centres opérationnels ou accélérer des initiatives d’innovation que nous aurons préalablement identifiées. En circuits plus courts, il s’agira de collecter les remontées d’idées des services d’incendie et de secours puis de les connecter aux entreprises travaillant sur des sujets identiques, en leur permettant d’agréger leur force.

Petite association aux projets ambitieux, nous arrivons aujourd’hui à une sorte de point pivot. Représentants du public et du privé partagent le constat et valident le concept. Notre objectif est d’amener les premiers à monter dans le train pour qu’un plus grand nombre participe par la suite à l’aventure. Une fois que nous aurons livré du concret, notre démarche associative pourrait devenir à terme une Agence Innovation Secours à l’image de l’Agence Innovation Défense du ministère des Armées ! Les secours étant un sujet très fédérateur, notre rêve idéaliste serait de parvenir à une sorte d’incubateur mondial pour préserver la vie humaine, sur du quotidien ou de l’exceptionnel… »

Quelle est la genèse d’Anamnèse, la plateforme multiservices de e-santé que vous avez co-fondé, en 2017, pour une meilleure digitalisation des parcours de soins ?

« Notre idée de départ était d’utiliser le temps d’attente du patient avant une consultation avec un professionnel de santé pour la rendre plus riche, plus efficace et plus humaine. Quand on arrive à l’hôpital, on passe d’abord entre les mains d’un étudiant externe en médecine qui retrace l’historique de la maladie ou des symptômes à l’aide d’une série de questions, afin de guider le spécialiste dans son diagnostic. C’est ce que l’on appelle l’anamnèse, nom qui qualifie parfaitement la raison d’être de notre plateforme multiservice multilingue, celle de créer un parcours de soins digitalisé et personnalisé. En fonction du besoin métier, nous sommes capables d’agencer de manière  rapide et agile différents modules en ligne de téléconsultation, préparation de consultations, logiciel métier, prise de RDV, dépistage ou bien encore suivi protocolisé. Nous sommes, de plus, hébergeur de données de santé (HDS) et disposons d’un dossier patient et de différents logiciels de téléconsultation. A titre d’exemple, nous avons lancé l’application Eiyo, consacrée au suivi patient en dénutrition et le logiciel Anesthésie, qui englobe le questionnaire de pre-consultation anesthésie dématérialisé, son logiciel de consultation, la téléconsultation et le suivi post opératoire, Geriapp un logiciel de coordination EHPAD Ville-Hôpital.

La grande force de l’intelligence artificielle d’Anamnèse est qu’elle est explicable. Elle consiste à poser des mots sur des maux, et j’aime la comparer au stéthoscope qui a, en son temps, révolutionné la pratique et les mentalités médicales, avant d’en devenir le symbole. Lorsqu’il a été inventé au début du XIXe siècle, le praticien posait son oreille sur le dos du malade, derrière un chiffon de soie, pour savoir s’il souffrait de problèmes pulmonaires. Cet outil, à l’époque tant décrié, permet d’écouter de manière fine les fréquences sonores et d’en mettre en exergue certaines. Il existe une vraie analogie avec l’IA dont nous nous servons, qui fait de même non pas avec des fréquences sonores, mais avec les réponses du patient qu’elle analyse pour faciliter le diagnostic médical. »

La crise sanitaire de la COVID 19 a-t-elle accéléré le déploiement d’Anamnèse ?

« Effectivement, dès que nous avons pris conscience de son ampleur, nous avons créé l’application covidHELP, en trois semaines, en assemblant quatre de nos modules, celui du dépistage, de la téléconsultation, du logiciel médecin et du suivi patient protocolisé. Elle est aujourd’hui utilisée quotidiennement par 12 000 employés, principalement des pompiers dans les départements de l’Allier, la Corse, la Seine et Marne et les Yvelines. Les réponses à un questionnaire d’évaluation servent à détecter d’éventuels symptômes à risque. Nous alertons ensuite les services de la médecine du travail qui préviennent directement la personne concernée et décident, le cas échéant, son isolement de manière préventive. Depuis son lancement le 25 mars dernier, elle a permis la détection de quatre foyers d’épidémie et de couper court à la propagation du virus dans les casernes concernées.

Les retours de ces « soldats du feu » qui ont le bien commun chevillé au corps, tant ils représentent un service essentiel, sont d’ailleurs très gratifiants. Peu mis en avant par les médias dans la lutte contre la COVID19, ils ont été touchés que leur employeur prenne soin d’eux. A mon avis, on ne les remercie d’ailleurs pas assez !

Ce qui est très intéressant avec covidHELP, c’est aussi l’apport en termes d’efficacité organisationnelle et le cloisonnement entre des données personnelles de santé sécurisées et des données managériales en temps réel,  pour faciliter la gestion des effectifs mobilisables, permettant ainsi une garantie de continuité de service des secours. »

Constatez-vous une évolution des mentalités susceptible de favoriser le développement de nouvelles applications ?

« La crise sanitaire a fait sauter beaucoup de tabous ! Jusqu’à présent, les professionnels de santé restaient, en majorité, dubitatifs a l'égard des outils numériques, arguant que rien n’égalerait jamais le contact humain avec les patients. Les patients tenaient d'ailleurs le même discours. Tout d’un coup, la téléconsultation a révélé ses avantages et maintenant beaucoup souhaitent continuer cette formule gagnante-gagnante qui libère du temps pour enrichir les échanges durant la consultation, et par exemple permettre l'alliance thérapeutique. Chez Anamnèse, nous avons deux projets en préparation. Le premier qui s’appelle Mentana est un outil de dépistage psychiatrique lié aux conséquences psychiques de la COVID 19. Il va servir à accompagner et coacher les personnes ayant mal vécu le confinement ou celles qui, déstabilisées par la crise économique, ont besoin d’une aide ponctuelle pour gérer leur souffrance. A partir de leurs réponses à nos différents questionnaires, nous les aiderons à s'auto-évaluer, et leur fournirons les fiches conseils adéquats pour faire le premier pas.

Grâce à leurs réponses à un questionnaire dédié, ils pourront se situer sur un graphe par rapport à la moyenne des individus et avoir accès à des fiches conseils pour progresser et se remesurer. Sachant qu’ils seront guidés le cas échéant vers des professionnels de santé capables de les prendre en charge. Le deuxième, que nous avions commencé à lancer en février, s’intitule Urgences. Visant à fluidifier les parcours patient aux urgence, il se présente sous forme d’un questionnaire intelligent auquel le patient répond pour structurer un dossier administratif et médical, et d'outils pour aider l'Infirmière d'Orientation et d'Accueil à évaluer le cas patient selon la classification FRENCH, pour mieux l'orienter. Y compris dans le cadre du forfait réorientation. Notre objectif à court terme, pour une plus grande efficacité, est de leur donner la possibilité de le remplir à leur domicile, afin de les aiguiller vers l’établissement hospitalier le plus près de chez eux et susceptible de les accueillir le plus rapidement possible ! »

Initialement conçu pour de la maintenance industrielle, le logiciel Speakylink, développé par le groupe SYD dont vous êtes le co-fondateur, se distingue par sa simplicité d’utilisation. Quel est son principe et sa valeur ajoutée pour les professionnels de santé ?

« Speakylink se présente sous la forme de visioconférence « intelligente ». A l’origine, nous l’avons effectivement développé pour des besoins de maintenance industrielle, afin de permettre aux fabricants de constater des dysfonctionnements à distance et d’y remédier. Le principe est très simple. Il suffit d’aller sur la page web dédiée, d’entrer le numéro de téléphone portable de son interlocuteur qui recevra en retour un SMS avec un lien vidéo. En un clic, la connexion est assurée, en toute sécurité, puisque nos serveurs sont désormais hébergés chez un hébergeur HDS. Quand nous avons commencé à expérimenter la solution auprès de quelques médecins du GHT de Vendée, leurs retours nous ont été très précieux. Il est immédiatement ressorti une vraie valeur ajoutée dans le cadre du suivi des personnes confinées. Ces appels augmentés apportent non seulement une chaleur humaine essentielle dans la période actuelle d’isolement social, mais ils permettent d’avoir accès à toute la communication non verbale exprimée par les visages et les attitudes corporelles des patients. Troisième point fort qui a tout de suite convaincu les professionnels de santé, c’est l’assistance au diagnostic par le patient lui-même. En effet, pour éviter toute erreur à distance, la zone d’examen apparait sur le smartphone sous forme d’un rond de couleur qui permet de localiser avec précision l’endroit du corps à ausculter. A titre d’exemple, nous avons reçu la semaine dernière les remerciements du SAMU, qui l’a déployé en masse pour aider son personnel  dans l’arbitrage quotidien des malades, face à la gestion des flux des hospitalisations. »

Depuis le début de la crise sanitaire du COVID 19, vous avez décidé de mettre cette solution gratuitement à disposition de toutes les personnes engagées à sauver des vies qui vous en feront la demande. Pourquoi un tel choix ?

« Le Groupe SYD a toujours été très impliqué d’un point de vue social et sociétal. Dès le début de la crise, avec mon associé Yann Trichard nous nous sommes demandé comment nous pourrions aider ceux qui aident. Partant du constat que nous n’avions pas la capacité de fabriquer des blouses, des masques ou du gel hydro-alcoolique, nous avons eu l’idée de mettre Speakylink gratuitement à disposition de ces nouveaux héros que sont les soignants. Aujourd’hui, cinq personnes de chez nous travaillent à temps plein pour déployer la solution auprès des professionnels qui nous en font la demande. Avant les ravages causés par le COVID 19, nous ne nous étions jamais intéressés au domaine de la santé. Cependant, cette démarche de solidarité  répond aux trois valeurs définies en interne par nos collaborateurs, à savoir, l’intégrité, le respect et la solidarité. En tant que dirigeant, je peux même vous affirmer que cette dernière génère du sens et de la fierté pour les équipes. L’attention et le soin sont réellement inscrits dans notre ADN d’entreprise, ainsi que notre culture du care. Au quotidien, nous agissons pour préserver le bien être de nos salariés, ce qui nous a valu d’arriver en tête de notre catégorie, pour le Grand Ouest, dans le palmarès  « Great place to work » des sociétés où il fait bon travailler. Une reconnaissance très importante pour nous.  Le dialogue avec les urgentistes, les généralistes, les neurologues intéressés par notre solution se fait donc très facilement. En leur enlevant des contraintes logistiques pour leur permettre de soigner plus efficacement, nous avons l’impression d’intervenir pleinement dans le champ des missions que nous nous sommes fixés. »

D’autant plus que votre réactivité et votre efficacité face à la demande vous permettent de déployer Speakylink auprès des centres hospitaliers mais aussi des EHPAD, dans un souci de rétablir du lien entre les familles et les résidents.

« La simplicité d’utilisation de la solution est de ce point de vue un véritable atout. Notre technologie ne nécessite en effet aucune installation particulière, aucune interopérabilité et aucune formation préliminaire. C’est d’ailleurs ce qui a immédiatement convaincu le GHT de Vendée, lorsque nous sommes venus présenter la solution. Pour faciliter sa fonctionnalité, nous avons encapsulé tous les aspects sécuritaires et réglementaires de notre côté,  puisque le flux vidéo et des échanges de documents ne transitent pas par nos serveurs. Au final, nous n’hébergeons donc aucune donnée personnelle. Les seules informations que nous prenons le soin d’anonymiser sont celles des numéros de téléphone et de la durée des appels. Dès lors, rien de plus facile pour une personne âgée, stressée ou démunie face à la technologie. C’est la raison principale qui explique qu’aujourd’hui, de plus en plus de structures font appel à nos services. Nous faisons actuellement des tests dans un centre hospitalier en Alsace tandis que nous avons réussi à déployer Speakylink, en une journée, dans un EHPAD de Loire Atlantique pour que les personnes âgées ne se sentent pas coupées de leur famille. La demande nous est parvenue à 10h30 et à 17 heures le logiciel était opérationnel. Enfin, en termes de réactivité, nous avons immédiatement tenu compte des remarques des médecins, comme le besoin exprimé de pouvoir échanger des photos.  Et nous continuerons à faire évoluer notre technologie en fonction des retours du front des soignants ! »

En offrant la possibilité à ses utilisateurs d’accéder à l’ensemble de ses contrats et données de santé ainsi qu’à ceux de ses proches, l’application servicielle mySofie simplifie la vie de l’assuré. Explication et analyses par Philippe Baranski, cofondateur de cette solution  innovante tournée vers une meilleure compréhension de l’assurance maladie.

 Pourquoi avoir fondé mySofie et quelle est sa raison d’être ?

« Avant de lancer mySofie, nous avons réalisé plusieurs études de marché pour interroger les Français sur ce qu’ils attendaient de leur complémentaire santé, en termes de services. Fort des résultats obtenus, nous avons développé un agrégateur de prestations santé. Une solution totalement « plug-and- play », capable de réunir au sein d’une même application l’ensemble des contrats santé d’une famille, en lien avec la sécurité sociale et les mutuelles. Aujourd’hui, nous sommes en capacité de pouvoir rapatrier toutes les informations et tous les flux financiers de la famille, de manière à ce que la personne qui gère le budget santé du foyer, puisse avoir une vision exhaustive de l’ensemble de ses remboursements, de ses garanties, de ses droits et informations par rapport à sa couverture santé. L’idée est de simplifier la vie de l’assuré quant à son propre accès aux soins ou à celui de ses ayants-droits ou de leurs proches. Nos utilisateurs ont ainsi la possibilité de pouvoir connecter le compte de leurs parents pour lequel il serait aidant familial et de suivre à distance, depuis leur application, l’ensemble de la gestion administrative du contrat de santé de l’aidé. Nos partenaires travaillent en lien avec des médecins et des comités scientifiques afin de mettre à disposition des personnes, des services du quotidien, pour anticiper un certain nombre de besoins. Opérationnelle depuis juin 2018 et commercialisée depuis octobre 2018, mySofie est donc une solution servicielle. Elle est gratuite et téléchargeable sur les stores mais aussi vendue aux assureurs en version premium avec des services supplémentaires. Aujourd’hui, nous comptons plus de 10 000 utilisateurs actifs qui viennent en moyenne tous les trois jours sur l’application, une première vraie réussite en termes de consultations.

Enfin, dernière particularité de notre société basée à Bordeaux et à Marseille, celle de permettre à nos 14 collaborateurs de travailler où ils veulent en France, afin qu’ils puissent organiser au mieux leur vie professionnelle et leur vie privée. »

 Vous avez participé au dernier CES de Las Vegas. Quel bilan en tirez-vous ?

« Nous avons présenté notre solution pendant plus d’une semaine aux acteurs américains et avons reçu des retours extrêmement positifs. La notion d’agrégation a, dans ce pays, encore plus de sens et de profondeur qu’en France, dans la mesure où les assureurs n’interviennent pas sur l’intégralité des soins mais par secteur spécialisé comme l’optique, les soins dentaires, la médecine douce, la chirurgie, etc… Couvrir toute une famille nécessite donc plusieurs contrats différents. D’où l’importance pour l’utilisateur d’être en capacité d’agréger les données issues de multiples interlocuteurs. »

 Avez-vous été confronté à certains freins pour le développement de la solution ?

« Pour l’heure non, au contraire nous avons plutôt bénéficié de la mise en place du RGPD, en mai 2018. Dans la réglementation européenne, il est clairement énoncé que la donnée appartient non pas à l’opérateur mais à l’utilisateur qui peut la confier à un tiers s’il le souhaite. Notre société et les données qui transitent via un hébergeur certifié HDS (Hébergeur de Données de Santé). Notre valeur ajoutée est de récupérer de la donnée brute, parfois incompréhensible pour la personne, de la rendre lisible et ergonomique de manière à pouvoir être exploitée dans un souci de rassurer l’assuré quant à sa santé. Je le répète, mySofie n’a pas vocation à soigner mais à apporter le soin au plus proche de l’utilisateur. C’est pourquoi, nous avons rajouté autour de la solution d’agrégation de compte un magazine d’informations santé, un service de téléconsultation disponible 7j7 et 24h24, tout comme la fonctionnalité visant à pouvoir transférer son ordonnance à la pharmacie et se faire livrer son médicament à domicile. Nous rajouterons de nouveaux outils au fur et à mesure de l’avancé de notre développement. D’ores et déjà nous allons pouvoir référencer les réseaux de soins et géolocaliser tous les professionnels de santé autour de l’utilisateur. »

 Quel est votre point de vue sur la crise sanitaire actuelle ?

« La problématique sera demain plutôt d’ordre économique que sanitaire à proprement parlé. Par rapport à la vitesse à laquelle le virus, ses souches et ses modifications ont été détectés, ainsi que la rapidité à trouver des manières de soigner les personnes touchées, on retiendra demain surtout que cet épisode pandémique a provoqué un vent de panique économique sans commune mesure. Il est choquant de constater qu’actuellement aucun acteur privé ne se mobilise comme ce fut le cas après l’incendie de Notre-Dame*. Au contraire, on assiste à un terrible repli sur soi. Tout le monde prend conscience de l’extrême fragilité de notre modèle économique, très lié à l’émotionnel. C’est terrible car économiquement parlant il n’y a pas de vent de solidarité. Au pire moment de la crise en Chine, l’OMS réclamait de l’argent pour aider ce pays, deuxième puissance mondiale ! Cette conscientisation de la notion de propriété de la richesse conduira peut-être à l’avenir à faire du business autrement. J’ai le sentiment que le monde n’en sortira pas indemne, avec un impact économique beaucoup plus fort que l’impact sanitaire. »

 *le groupe LVMH a depuis annoncé vouloir produire gratuitement du gel hydroalcoolique pour les hôpitaux

Pour Alexandre Aubert, directeur du GHT NOVO, la sécurité informatique va finir par s’imposer au sein des établissements de santé par la mise en œuvre des groupements hospitaliers de territoire et la convergence de leur Système d’Information (SI). Un point de vue salvateur pour que cette prise de conscience soit partagée par le plus grand nombre de directeurs hospitaliers.

​Après avoir été DSI, vous avez dirigé plusieurs hôpitaux et êtes depuis 2016 à la tête d’un GHT générant un budget de fonctionnement de 475 millions d’euros. Quelle place occupe aujourd’hui la sécurité informatique au sein des directions hospitalières ?

​« Si mes collègues imaginent ce que peut être la réalité d’un hôpital démuni d’informatique à la suite d’une cyber-attaque, comme ce fut le cas dernièrement au CHU de Rouen, je ne suis pas sûr qu’ils mesurent pour autant toutes les implications au niveau de la Direction des SI. Il est normal qu’ils ne réalisent pas forcément l’ampleur du travail que nécessitent la reconstruction d’un serveur et la récupération de données, parfois définitivement perdues. Il n’est pas simple de concevoir toutes les conséquences de la perte subie (absence du codage des actes, heures supplémentaires des personnels, renfort d’intérimaires pour reprise des saisies…). Les directions hospitalières ont de plus en plus conscience de l’importance et de la fragilité d’un SI sans donner forcément à la sécurité informatique les moyens dont elle a besoin ».

Quoi qu’on en dise, ce domaine reste très compliqué et on ne peut pas demander à mes collègues d’acquérir cette compétence du jour au lendemain. D’autant plus que les usages évoluent. Vouloir partager la même identité au sein d’un GHT ou avec un hôpital de proximité pour « fluidifier » les parcours de soins risque d’ouvrir une faille et de fragiliser le système d’information. Sans compter que diriger un établissement de santé suppose une gestion tellement complexe que la sécurité informatique est généralement déléguée au DSI ».

Au sein du Centre Hospitalier René-Dubos de Pontoise, établissement support du GHT Nord Ouest Vexin Val-d’Oise, vous disposez d’un RSSI et d’une personne en charge du RGPD. Quels conseils pourriez-vous donner pour encourager cet « investissement » ?

​« Le Centre Hospitalier René-Dubos de Pontoise est un établissement de recours du Nord Île- -de-France qui dispose d’une offre de soins variée, avec toutes les spécialités médicales et chirurgicales, à part la neurochirurgie et la chirurgie cardiaque. A lui seul, il dépasse les 300 millions d’euros de budget annuel. Nous nous sommes donc doté d’un RSSI, que nous partageons avec d’autres structures territoriales grâce à un dispositif encouragé par l’Agence Régionale de Santé (ARS) Île-de-France. Cette mesure permet de pallier au manque de moyens et de mettre en commun des compétences car les RSSI, qui ne sont pas nombreux, peuvent avoir un coût très important pour les hôpitaux que tous ne sont pas en mesure d’assumer. Nous avons également un ingénieur de la DSI, dédié au RGPD, qui travaille en lien étroit avec le RSSI. Les établissements hospitaliers de plus de 100 millions d’euros sont également soumis au commissariat aux comptes qui audite la qualité du SI et sa sécurité, indépendamment des orientations et des priorités de la direction. De plus, un hôpital qui voudrait, par exemple, bénéficier du programme HOP’EN (pour « Hôpital numérique ouvert sur son environnement ») devra régulièrement passer un audit en matière de sécurité informatique. Donc, progressivement, la sécurité informatique va finir par s’imposer d’elle-même. Enfin, la mise en œuvre des GHT favorise cette évolution récente puisqu’elle donne au directeur général de l’établissement support des prérogatives parmi lesquelles le SI, qui lui permet d’appliquer une politique générale de sécurité du SI sur les autres structures du GHT même s’il n’en n’a pas la direction ». 

Quel message souhaiteriez-vous faire passer aux directeurs d’établissements ?

​« J’ai envie de dire à mes collègues qu’en investissant dans la sécurité informatique : ils ne « jettent pas l’argent public par les fenêtres ». Il suffit de penser au CHU de Rouen, qui disposait d’une DSI structurée et performante, et aux conséquences de l’attaque sur son fonctionnement pendant des semaines. Je voudrai aussi souligner la vigilance des DSI qui font des exercices de phishing ou d’hameçonnage et l’importance de les écouter en CODIR. Enfin, il est important d’accompagner les directeurs d’établissements dans l’arbitrage entre sécurité et métier. Pour le personnel soignant, les outils informatiques sont avant tout une aide et ne doivent pas les empêcher de travailler ».

Des questions sur cette thématique, retrouvez notre offre dédiée à la Cybersécurité