Doshas Consulting partenaire du Rotary Business Meeting : La e-santé auscultée par des spécialistes
Fort de ses connaissances et de son expertise en matière d’enjeux médico-économiques de la santé numérique, Didier Ambroise a été convié par le Rotary Club Paris-Haussmann à intervenir au prochain Rotary Business Meeting (RBM) consacré cette année au thème de la e-santé. Cet événement annuel à fort rayonnement se déroulera mercredi 17 mai, de 16h30 à 19 heures, dans le Grand amphi de la MGEN, 25-27 boulevard de Vaugirard (métro Montparnasse-Bienvenue).
Le fondateur de Doshas Consulting, par ailleurs partenaire du club pour l’organisation de cette édition, assurera l’introduction de ce temps d’échanges qui réunira quelques éminents spécialistes et acteurs du domaine. Deux tables rondes rythmeront cette soirée. La première s’intéressera aux bénéfices pour les patients connectés, devenus acteurs de leur santé, tandis que la deuxième mettre en perspective les garanties nécessaires quant à l’utilisation et au traitement des données récoltées.
Une cape d’invisibilité pour contrer les sortilèges de la cybercriminalité et diminuer la surface d’attaque des systèmes d’information afin de la cacher aux pirates informatiques, c’est la technologie de rupture imaginée, brevetée et développée par Snowpack. En moins de trois ans d’existence, cette Start-up issue du CEA a déjà reçu plusieurs récompenses. Lauréate I-lab 2022, soutenue par la Stratégie d’accélération cyber et DeepNum20, elle vient également de remporter le grand prix de la Start up au Forum in Cyber 2024. Si sa notoriété est basée sur l’anonymisation et l’invisibilité sur Internet, cette société présentée par son directeur général adjoint, Olivier Morel, compte bien se faire un nom dans le milieu de la cybersécurité !
Pouvez-vous nous présenter Snowpack, dont l’appellation révèle en partie l’originalité de la technologie déployée ?
« Spin off issue du Commissariat à l’énergie atomique et aux énergies Alternatives (CEA), Snowpack a développé une solution inédite d’anonymisation et d’invisibilité sur internet. Son concept de base, protégé par 4 brevets internationaux exclusifs déposés dans le domaine de la cybersécurité, est de dire que si les attaquants ne vous voient pas, ils passeront leur chemin. Cette promesse de devenir indétectable est basée sur deux postulats : « pour vivre heureux, vivons cachés », morale d’une fable de Florian intitulée Le Grillon, et il est impossible de faire confiance à qui que ce soit, même pas à Snowpack (rires).
N’étant pas tiers de confiance, notre technologie vous garantit que personne n’accédera à vos données, et même pas Snowpack ! Elle évite ainsi toute dépendance à des technologies qui ne sont jamais totalement invulnérables et qui peuvent être compromises à tout moment par des personnes malveillantes. Portés par ce principe, les fondateurs, des anciens salariés du CEA, ont mis au point un procédé très différent des mécanismes de chiffrement utilisés par les VPN par exemple.
Cette innovation de rupture s’appuie sur un réseau invisible - une surcouche réseau ou « Network Overlay » - dans lequel les données sont fragmentées en petits paquets et envoyées sur différentes routes à travers ce réseau. Appelés flocons, ils sont comparables à des bruits aléatoires, qui, en cas d’interception, sont totalement inexploitables. Elles sont ensuite reconstituées pour arriver à leur destination finale.»
À qui s’adresse cette cape d’invisibilité aux pouvoirs presque magiques ?
« La technologie de rupture Snowpack, appelée « VIPN » (Virtual Invisible Private Network), se décline en trois offres logicielles :
Invisible access protège l’activité des utilisateurs ayant - par exemple - recours à internet dans des zones géographiques à risque ou ayant un besoin très élevé d’anonymat. Elle leur donne la possibilité de naviguer sans laisser de traces.
Invisible Services permet de cacher l’accès aux services web les plus sensibles, afin de ne les rendre accessibles qu’aux seuls utilisateurs ayant le droit d’y accéder.
Enfin, Invisible Infra masque les composants d’infrastructure du système d’information exposés sur Internet afin de les protéger.
Pour clarifier, on peut comparer le système d’information à un château fort doté de plusieurs portes. Même si elles sont très bien sécurisées, l’attaquant peut quand même les identifier et se procurer les moyens de forcer les serrures pour parvenir à entrer. Avec Snowpack, il est impossible de voir ces portes. Tout danger d’intrusion est donc éliminé.
Facile à installer et à déployer, la solution dispose d’atouts majeurs. Elle est très peu intrusive et adaptée à tout type d’organisation. Bénéficiant de mises à jour et d’évolutions, elle demande très peu d’exploitation ou de supervision, et pour l’intégrer inutile de changer tout son SI ! »
En quoi cette solution est-elle adaptée aux établissements de santé ?
« Pour le secteur de la santé en particulier, nos offres Invisible Services et Invisible Infra permettent de réduire considérablement la surface d’attaque externe des systèmes d’information hospitalier, de plus en plus étendues, ouvertes, et donc vulnérables.
Considérant la situation des établissements hospitaliers en termes de cybersécurité, nous pouvons leur faire gagner un confort et un temps considérables.
D’autant plus que les attaques ne viennent pas que de l’extérieur. Cliniques et hôpitaux sont à la merci d’intrusions internes, de compromissions de collaborateurs, d’erreur humaines, de tentatives de phishing et de rançongiciels qui sont déjà nombreuses. En revanche, cachés du monde extérieur par la bulle d’invisibilité conçue par Snowpack, ils pourront continuer de mener leur travail de sensibilisation et de renforcement de leur niveau de sécurité informatique interne.
Nous amenons donc au secteur de la santé un nouveau paradigme, qui va sûrement donner de l’air et de l’espoir à un écosystème très attaqué et confronté à des chantiers assez insurmontables en matière de cyber sécurité ! »
Isolées en mer, dans le désert, en haute montagne, dans des zones hors connexion, comment des entités confrontées à une situation d’urgence peuvent-elles envoyer un bilan de santé complet à une autorité médicale distante ? La réponse avec Grégoire Prouteau, co-fondateur d’Hojo Solutions. Performant, sécurisé et ergonomique, un assistant conçu avec des médecins et infirmiers urgentistes, facile à utiliser par des non professionnels de santé.
Militaire de carrière, qu’est-ce ce qui vous a décidé à quitter l’armée pour créer Hojo Solutions ?
« Le déclic part d’une histoire vécue en Afrique. Au cours d’une tournée d’inspection dans le désert au nord du Tchad, un de mes hommes s’est trouvé mal. Les symptômes me paraissaient graves et j’avais besoin d’aide dans mon discernement pour prendre la bonne décision. Le faire évacuer ? Rebrousser chemin ? Détourner la colonne ? J’avais le sentiment d’être démuni pour décrire de manière précise et efficace la situation au médecin. Nous nous en sommes sortis mais je me suis alors rendu compte de la nécessité d’améliorer l’envoi à distance d’un bilan fiabilisé à une autorité médicale, par un non professionnel de santé se trouvant dans une situation d’urgence et complètement isolé.
Ce constat je l’ai par la suite partagé à l’Etat major du ministère des Armées avec Pierre Meyer. Saint-cyrien ayant servi durant plusieurs années comme officier au sein de la brigade de sapeurs-pompiers de Paris, il a été formé à la gestion des urgences et s’est spécialisé dans le domaine de la santé et de la gestion de crise. Lui aussi a constaté que les personnes non formées confrontées à des détresses physiques ou psychologiques étaient souvent démunies pour remonter des informations fiables au SAMU ou aux pompiers.
Nous avions également tous les deux l’envie de créer une entreprise. Nous avons franchi le pas et fondé ensemble, l’année dernière, Hojo Solutions, dont le nom signifie assistance en japonais, Pierre étant un passionné de culture nippone. Nous sommes aujourd’hui une équipe de six associés, accompagnée d’un comité d’experts. »
L’utilisation de cette innovation nécessite-t-elle un temps de formation et comment fonctionne-t-elle ?
« Hojo Solutions est une solution d’accompagnement simple, fiable et utilisable par n’importe quelle personne, même en état de stress. Elle ne nécessite aucune formation préalable. Elle a été pensée pour accompagner les non professionnels de santé dans la rédaction d’un bilan de secourisme complet, même sans connexion internet, dans n’importe quel milieu. Il commence par renseigner des informations administratives avant de décrire l’état des fonctions vitales de la personne blessée ou malade, en répondant à des questions par oui ou par non. Par exemple, est ce que les pupilles sont écartées, dilatées, réactives à la lumière ?
Pour préciser sa description, il peut compter sur des photos ou une assistance sonore l’aidant à qualifier ce qu’il observe. Le questionnaire a été élaboré en lien avec le CCMM (Centre de consultation médicale maritime) de l’hôpital Purpan à Toulouse qui assure le service de consultation et d’assistance télé-médicales pour les navires en mer. Avant son lancement, nous l’avons soumis à des médecins et infirmiers urgentistes de différents établissements de santé.
Nous avons aussi couplé l’application avec une intelligence artificielle qui permet, via la caméra de la tablette, de scanner la personne ayant besoin de soins et, grâce à la lumière, de prendre sa fréquence cardiaque et respiratoire de façon automatisée ainsi que très prochainement sa tension artérielle. Les données sont ensuite directement agrémentées dans les champs dédiés à cet effet et l’autorité médicale, à qui sera envoyé le bilan, est pré-paramétrée. Il est également possible de coupler des dispositifs médicaux connectés, le but d’Hojo Solutions n’étant pas de réaliser uniquement de la remontée de constantes médicales mais de les contextualiser.
Cette synthèse des données collectées permet ainsi au professionnel de santé de déterminer la prise à charge à effectuer à distance. »
Cette contextualisation fait toute l’originalité et l’efficacité de cet outil digital d’aide au diagnostic. A qui s’adresse-t-il principalement et quelles sont vos perspectives de développement ?
« À la vue de notre passé en tant que militaires et de notre expérience du terrain, nous mesurons très bien l’importance de décrire l’environnement de la victime pour perfectionner sa prise en charge. C’est pour cette raison qu’Hojo Solutions n’est pas une énième mallette connectée relevant du bien être ou de la prévention. Elle s’adresse à des entités en mer sans professionnel de santé à bord mais néanmoins reliées à des autorités médicales telle que la flotte française, des compagnies de marine marchande ou de pêche, des plateformes pétrolières tout comme des organisations d’événements de sports ou de tourisme extrêmes.
Cet outil sécurisé est aussi amené à être déployé par certaines unités spéciales des forces armée et par des ONG opérant dans des zones reculées. Après neuf mois de développement, de février à octobre 2023, nous sommes en phase de commercialisation et discutons actuellement avec des hôpitaux intéressés pour le triage aux urgences. Nous pourrions aussi intervenir pour pallier l’absence de professionnels de santé sur certains territoires. Pour obtenir une aide au diagnostic qui ne soit pas figée, nous avons imaginé des modules interchangeables, en fonction des besoins, qui renforcent son côté opérationnel.
En termes de développement futur, nous aimerions démocratiser Hojo Solutions auprès des particuliers, via les plateaux d’assistance de certaines mutuelles. »
La réalisation d’exercices de crise cybersécurité dans les établissements de santé étant l’une des actions prioritaires du Plan de renforcement cybersécurité du ministère de la Santé et de la Prévention, un groupe de travail réunissant l’ANS, le FSSI, les ARS et les GRADeS a élaboré des kits prêts à l'emploi et autoporteurs pour faciliter leur organisation. Le point sur la méthodologie et le contenu avec Elodie Chaudron et Steven Garnier.
Comment est née l’idée d’élaborer des kits d’exercices de crise cyber et comment s’est-elle concrétisée ?
Elodie Chaudron : « En miroir du lancement de la stratégie nationale sur le numérique en santé, les représentants des Agences Régionales de Santé (ARS) et des Groupements Régionaux d’Appui au Développement de la e-Santé (GRADeS) qui siègent désormais au conseil d’administration de l’Agence du Numérique en Santé (ANS) ont remonté le besoin, au printemps 2021, de créer un espace de travail, sans sujet prédéfini au départ. Peu de temps après, la feuille de route du Fonctionnaire Sécurité des Systèmes d’Information (FSSI) sur le renforcement de la cyber-sécurité des ARS listait un certain nombre d’actions. Parmi elles, l’amélioration de la continuité d’activité a fait l’objet de premières réunions collégiales qui ont tout de suite fléché le besoin de mettre, à la disposition des établissements sanitaires, sociaux et médico-sociaux, des kits d’exercices de crise cyber.
Comme il existe plusieurs degrés de maturité dans les établissements, nous avons lancé des ateliers pour produire trois niveaux de kits : débutant, intermédiaire et confirmé. Nous avons ensuite mis en place des pilotes pour les tester et revoir les contenus, en fonction des premiers retours. »
Steven Garnier : « Disposer d’une vision régionale était une demande forte de notre part. En tant qu’agence, nous voulions aussi sortir un peu de notre rôle habituel d’organismes de contrôle auprès des établissements de santé. La conception de ces kits d’exercices était l’occasion de les accompagner dans la mise en place de prestations qualitatives. »
Quel est lecontenu de ces kits ?
S.G. : « Les membres les plus actifs du groupe de travail territorial ont été sollicités pour apporter leur vue du terrain et leur expertise du fonctionnement des structures, afin de rendre les exercices les plus réalistes possibles. Comme le disait Elodie, il est apparu le besoin de décliner plusieurs niveaux de difficulté, parce les établissements de santé, qui ont la possibilité de s’auto-évaluer via une grille d’éligibilité, n’évoluent pas tous dans le même contexte en matière de cybersécurité et de continuité d’activité. Pour faciliter l’organisation d’exercices au sein des structures, ces kits d’exercices de crise cyber sont prêts à l'emploi et autoporteurs. Ils contiennent un document central qui est le déroulé simulé de l’attaque, composé de stimuli qu’on a essayé de rendre les plus réalistes possibles. Naturellement, on ne demande pas aux établissements de débrancher leur SI ! Il s’agit d’un exercice sur table, dont l’ambition première est de faire prendre conscience des enjeux aux directions des établissements. Il s’accompagne d’un certain nombre de documents à vocation plus pédagogique, pour amener les membres des cellules de crise à comprendre ce qu’est réellement une cyberattaque, les sensibiliser aux bonnes pratiques et faire passer quelques messages sur les aspects, un peu plus techniques, de sécurisation des SI. »
E.C. : « Même s’ils ont été conçus pour être les plus autoporteurs possibles, il a été jugé indispensable que, pour la première réalisation de chaque exercice, les établissements soient accompagnés par des professionnels. L’ambition du FSSI étant qu’ils réalisent un exercice par an. »
Cette ambition passe-t-elle par une obligation légale ?
E.C. « Le sujet est aujourd’hui pris au sérieux par les directions d’établissements qui sont souvent confrontés à des problématiques de ressources dédiées. J’espère que l’obligation de réaliser ces exercices de crise aidera à faire bouger les consciences et peut-être à mobiliser un peu plus de budget sur la cybersécurité dans les établissements.
Les premiers retours d’expérience montrent que les exercices sont très appréciés, notamment par leur dimension métier et la mise en place rapide de solutions et procédures en faveur de l’hygiène informatique, mobilisant l’ensemble des Comités de Direction (CoDir). Ils apparaissent comme un bon outil de sensibilisation pour parvenir à une acculturation assez naturelle. »
S.G. « C’était une demande en parallèle de notre part. Au niveau régional, on voulait bien se faire les porte-parole pour inciter les directions, mais il fallait que l’on s’appuie sur quelque chose qui les oblige légalement à le faire, comme la publication d’une instruction, composée d’un ensemble de mesures dites prioritaires, dont celle de la réalisation annuelle d’un exercice de crise cyber. D’autant plus qu’un établissement de santé n’est jamais à l’abri de se faire cyberattaquer plusieurs fois ! »
Est-ce que vous constatez un changement au sein des établissements de santé vis-à-vis de la cybersécurité ?
S.G. : « Ce qui change, c’est une avancée dans la prise de conscience qui doit être collective et malheureusement chaque cyberattaque concourt à cette prise de conscience. Plus elles sont médiatisées, plus cela nous aide en termes de mobilisation et de sensibilisation des utilisateurs sur les risques encourus. C’est fondamental. »
E.C. : « La médiatisation est à double tranchant. Elle est à la fois positive et contraignante pour les projets de e-santé par la peur qu’elle peut susciter dans l’opinion publique. D’où la nécessité de rassurer les patients sur le cadre régalien et très sécuritaire du partage de leurs données de santé. Il existe encore beaucoup de craintes qui démobilisent l’ensemble des citoyens et ont un impact sur leur propre santé, surtout en matière de prévention. »
Si vous aviez un message à faire passer ?
S.G. : « L’écosystème de la santé a besoin de travailler avec les industriels du secteur pour continuer à faire bouger les lignes et à lutter contre la menace cyber. Il me parait aussi nécessaire d’échanger sur le sujet avec d’autres secteurs pour partager nos pratiques. »
E.C. : « Faites vos exercices de crise et, si possible, pas tous en même temps… »
Auteur de « La grande confrontation, comment Poutine fait la guerre à nos démocraties », Raphaël Glucksmann évoque la corruption organisée à grande échelle de bon nombre de dirigeants européens, l’état de guerre permanent de la Russie et la volonté par cette « voyoucratie » de propager le chaos informationnel dans nos pays. Il pointe également l’accélération des cyberattaques, notamment contre les établissements de santé tout comme l’enthousiasme des Ukrainiens, « hoplites du XXIe siècle » en faveur de l’UE et l’opportunité de remettre le politique aux commandes. Un livre en 3 actes, inspirant à plus d’un titre !
Dès son élection au Parlement européen, Raphaël Glucksmann lance l’idée d’une Commission spéciale sur l’ingérence étrangère dans l’ensemble des processus démocratiques de l’UE afin d’établir « un diagnostic global et d’exposer les failles de nos défenses ». Les travaux de cette commission qu’il préside depuis sa création en 2020 montrent l’aveuglement des élites européennes face aux motivations de Vladimir Poutine et l’envergure de leur corruption, tout en soulignant bien que celle-ci « est une question politique plus qu’esthétique ou juridique ». L’enjeu relève de la souveraineté et de la sécurité nationale. Il laisse entrevoir toutes « les faiblesses des défenses immunitaires de nos institutions face à l’argent non traçable (…) La corruption fait donc peser un risque vital sur notre sécurité collective. »
En remontant son histoire, un homme apparait comme une figure centrale. Il s’agit de Matthias Warning. Ancien officier de la Stasi, c’est lui qui « a ouvert les portes de la Russie aux capitalistes européens et celles de l’Europe à la kleptocratie russe. » Il achète donc tout ce qui est achetable, et en particulier Gerhard Schröder. A l’est, on parle même de schroederisation de l’Europe ! Avec la construction des gazoducs offshore Nord Stream 1 puis Nord Stream 2, terminé 6 mois avant l’attaque du 24 février 2022, l’objectif est triple : rendre l’Allemagne totalement dépendante du gaz russe, l’Ukraine totalement exposée et la Pologne totalement marginalisée.
La désinformation pour exporter le chaos
Si l’énergie est aujourd’hui une arme géopolitique, l’influence et la manipulation des réseaux sociaux sont largement utilisées pour que la désinformation attise le chaos, fidèle à une vieille tradition russe d’utiliser les forces les plus réactionnaires de l’Europe pour saper les fondements de nos démocraties. Côté russe, cette expansion permet de calmer les tensions intérieures. La menace d’avoir recours au nucléaire et « rêver d’anéantir Paris, Londres ou Berlin fait endurer la pauvreté, l’injustice et l’oppression » d’une population à qui l’on vend le « culte des terres perdues », véritable révisionnisme géopolitique. Dans un monde russe sans frontières déterminées, outre celles « fixées par le Tsar en fonction de ses besoins du moment », la guerre est une donnée constante et une fin en soi. Elle n’est pas territoriale et comme le déclare Piot Tolstoï, vice-président de la Douma, avant l’invasion de l’Ukraine, « elle est notre idéologie nationale ».
Autre erreur d’appréciation des chefs d’Etat de l’Ouest, révélatrice de leur cécité, Poutine n’a jamais été un partenaire. Pour citer l’auteur, il « parle et agit comme un voyou ( …) cherchant à établir l’extension du domaine du crime. » Avec lui, les règles de la mafia russe remplacent celles du droit international. Quand le non-droit règne, tous les coups sont permis et possibles ! Dans cette logique, « le spectacle du crime et de l’intimidation comptent autant que les actes ». Symbole et outil de l’entreprise de déstabilisation de nos nations, le groupe Wagner qui, malgré l’exigence du Parlement européen n’apparait pas sur la liste des organisation terroristes, ressemble à « une armée du chaos ». Reste cette question centrale : pourquoi la plupart des élites et dirigeants ouest européens ont-ils partagé ce déni, « confortablement installés dans leurs meubles » pour reprendre l’expression de Romain Gary en référence à la seconde guerre mondiale ?
Cyberattaques et menaces sur la sécurité européenne
Dans son ouvrage, Raphaël Glucksmann revient également sur la multiplication des cyberattaques contre les hôpitaux français depuis la pandémie et expose son point de vue pour que l’Europe développe des capacités autonomes de défense, qui lui permettraient ainsi d’éviter « de trembler à chaque élection américaine et d’être dépendante du vote des électeurs du Michigan » ! Il plaide pour un investissement massif en faveur de la défense, alors que cette idée est loin de faire l’unanimité à gauche de l’échiquier politique français. Et si l’Europe sort de l’OTAN, comment financer notre sécurité alors que les velléités guerrières de Poutine ne font aucun doute… Un problème d’appréciation et de point de vue culturel qui montre l’urgence de « remettre le politique au poste de commande », de faire primer l’intérêt général sur l’intérêt particulier, la sécurité sur le commercial. L’histoire n’est pas finie et l’Europe a encore des ennemis à combattre qui en veulent à l’idéal démocratique.
La guerre, puissant accélérateur de changement
Ce livre qui salue dès les premières pages le courage et les prévisions de l’immense journaliste Anna Politkovskaïa, est aussi un appel à la résistance. La guerre contre l’Ukraine est peut-être l’occasion de renforcer notre sécurité par des mesures écologiques ambitieuses, répondant à une exigence immédiate. « La sobriété n’est pas une restriction de notre puissance mais la condition de l’affirmation de cette puissance. » L’écologie politique mariée au réalisme pour réveiller le citoyen, défini par Aristote comme celui « qui tour à tour gouverne et est gouverné ». Les Ukrainiens, « hoplites du XXI e siècle », sont un bel exemple de courage comme vertu politique d’un peuple entré en résistance. La tentation de mépriser la démocratie sous prétexte qu’elle semble éternelle est démentie par les conflits du siècle et la perspective de l’effondrement devrait conduire au sursaut. A cet égard, tournons nos regards vers Taïwan. Ce pays, où la conscience partagée du péril met en effet la cité en mouvement, devrait lui aussi nous servir d’exemple…
Structurer, piloter et promouvoir une filière unique de bioproduction de biomédicaments en France, avec le soutien de l’Etat. Accompagner tous acteurs de la chaîne de valeur et faire de notre pays un leader européen. Restaurer son indépendance et sa souveraineté dans le domaine des thérapies innovantes. Laurent Lafferrère, directeur général de France Biolead évoque une feuille de route ambitieuse pour catalyser et accélérer la bioproduction française.
Qu’est-ce qu’un biomédicament et quelle place occupe la France dans la bioproduction ?
« Dans le domaine pharmaceutique, il existe soit des médicaments fabriqués avec de petites molécules chimiques, soit des biomédicaments conçus à partir de sources biologiques vivantes telles que des cellules et des bactéries. Ils permettent de combattre des maladies rares, inflammatoires et des cancers, touchant au total près de 10 millions de personnes en France et plusieurs centaines de millions dans le monde. Sachant qu’un médicament sur deux en cours de développement dans le monde est un biomédicament, ces nouvelles thérapies susceptibles d’améliorer les conditions de vie des patients, voire de les guérir, sont une formidable source d’espoir pour la santé.
Si la France dispose d’une excellente recherche scientifique, elle ne sait pas transformer l’essai ni en termes de business ni pour industrialiser ces innovations. Leader européen dans le domaine pharmaceutique il y a une vingtaine d’années, elle se classe aujourd’hui à la quatrième place au niveau de la production de biomédicaments, très largement devancée par la Suisse, l’Allemagne, et l’Italie. Sur les 76 biomédicaments actuellement commercialisés en Europe, notre pays est en mesure d’en fabriquer seulement huit et dépend à ce jour de 95% d’importations sur la chaîne de valeur du biomédicament. Ce constat de dépendance pose un enjeu de souveraineté et de compétitivité ayant conduit l’Etat à investir massivement dans la filière. »
Et à soutenir France Biolead, officiellement lancée le 7 décembre 2022 dont vous êtes le directeur général. Quels sont ses objectifs et ses moyens d’actions financiers pour favoriser l’émergence d’une bioproduction française de biomédicaments ?
« Pour revenir sur l'origine, elle est issue d’une ambition partagée et d’une vision convergente des industriels, via le Comité Stratégique de Filière des Industries et Technologies de Santé (CSF-ITS) et de l’Etat, avec qui a été signé un contrat stratégique de filière dès 2019. C’est le Grand Défi Biomédicaments visant à faire de la France un leader européen de la production de thérapies innovantes à horizon 2030. Pour l’atteindre, la première proposition a été de créer une structure afin d’organiser, piloter, accompagner et promouvoir la filière. Cette structure est France Biolead, qui est un catalyseur des acteurs de la bioproduction de médicaments nouvelle génération et son porte-parole au niveau national et international. Son premier objectif est de doubler, d’ici sept ans, le nombre de biomédicaments fabriqués sur le sol français, en passant de 8 à 20. Pour y parvenir, le deuxième objectif est de multiplier par deux les effectifs du secteur, pour atteindre les 20 000 employés salariés. Le troisième vise à encourager l’émergence d’au moins une nouvelle licorne et 5 nouvelles ETI de la biotech, pour faire rayonner notre souveraineté et développer notre compétitivité. Pour parvenir à cette accélération, nous travaillons en étroite collaboration avec l'Agence de l'Innovation en Santé (AIS), lancée le 31 octobre 2022 à l'occasion du comité de pilotage ministériel France 2030 Santé, dont nous somme le vertical métier.
Afin de mener à bien nos missions, nous bénéficions de deux types de financement. Le premier est apporté par les adhérents. Au moment du lancement, ils étaient quinze membres fondateurs, répartis en cinq collèges de gouvernance. Ils sont les pionniers de la dynamique de France Biolead et ont été rejoints aujourd’hui par une vingtaine d’acteurs. Le deuxième vient d’une subvention de l’Etat s’élevant à 800 000 euros sur deux ans. »
Travaillez-vous en lien étroit avec les représentants d’associations de patients et d’usagers du système de santé ?
« Nous avons bien sûr des interactions avec quelques associations de patients concernées par l’accès aux médicaments innovants comme Ensemble Leucémie Lymphomes Espoir (ELLyE) même si notre objectif est de nous focaliser, dans un premier temps, sur la structure même de la filière, des acteurs académiques aux acteurs industriels. La première action à mener avec les représentants d’usagers consiste à faire connaitre France Biolead et à expliquer que notre raison d’être est de catalyser l’innovation, accélérer le développement pour que les malades puissent, le plus rapidement possible, disposer de biomédicaments fabriqués en France, qui les soigneront demain. Nous essayons de faire les choses dans l’ordre, sans nous éparpiller, afin de garantir les meilleures chances d’accès à ces biothérapies, aux professionnels de santé et aux patients. L’enjeu numéro un est de s’assurer que les innovations restent en France et qu’elles y soient développées et commercialisées. Le deuxième est de pouvoir accélérer ce développement et le troisième consiste à le rendre acceptable et soutenable par notre système de santé. Ce qui implique de travailler sur la réduction des coûts de ces technologies. En effet, certaines thérapies cellulaires et thérapie génique sont du ressort de la médecine très personnalisée et peuvent atteindre des sommes réellement astronomiques !
Le Royaume-Uni avec le Cell and Gene Therapy Catapult en 2012, les Etats-Unis avec le NIIMBL en 2017 et quelques membres de l’Union européenne comme la Belgique avec BioWin dans les années 2000, ont clairement identifié la bioproduction comme un axe stratégique national. A nous de faire la même chose en France, mon souhait le plus cher étant d’atteindre ces objectifs à horizon 2030. »
L’actualité semble prometteuse pour le carnet de vaccination numérique (nouvelle terminologie du carnet de vaccination électronique) qui offre désormais de nouvelles fonctionnalités ?
« Le carnet de vaccination électronique (CVE) bénéficie aujourd’hui d'une nouvelle architecture. Il est désormais désigné en France par le terme de carnet de vaccination numérique (CVN). Les composantes sous-jacentes de l’offre SYADEM (la nomenclature unifiée des vaccins NUVA, le système d’aide à la décision vaccinale SADV) ont été massivement refondues depuis 2020, notamment à l’occasion de leur transposition pour le carnet de vaccination électronique national du Luxembourg. En France, la nouvelle version a été lancée en décembre 2022. Sa nomenclature NUVA (Nomenclature unifiée des vaccins) a rejoint le serveur national des terminologies, et son système d’aide à la décision est sur le point d’être exposé dans Mon Espace Santé sous la dénomination mentor.mesvaccins.net. »
Quelles leçons tirer de la crise sanitaire ?
« L’urgence de la crise sanitaire a permis des avancées importantes et pragmatiques à grande échelle, comme par exemple l’extension des compétences vaccinales de plusieurs professions de santé. Les outils de SYADEM, qu’il s’agisse de la coordination du parcours vaccinal ou de l’aide à la décision, permettent d’accompagner ces évolutions. »
Avez-vousun message important à faire passer auprès de la population ? « Le message important a déjà été passé mondialement : les maladies infectieuses sont toujours là, n’épargnent personne, et la vaccination est la plus efficace des réponses. »
Depuis que vous connaissez Doshas Consulting, comment voyez-vous l'évolution du cabinet ? « Nous avons connu le cabinet par l’intermédiaire de SYADEM, une entreprise d'édition de logiciels spécialisée dans l'aide au diagnostic médical et ses applications dans le domaine de la prévention. C’était dans le cadre du projet Pascaline et de Territoire de Soins Numérique (TSN) pour l’accompagnement de la mise en place CVE. Depuis cette époque, la progression est impressionnante. Doshas Consulting est désormais un acteur central de l’écosystème ! »
Du 1er janvier au 30 juin 2022, la France a présidé le Conseil de l’Union européenne. Durant ces six mois, l’ambition de faire avancer le numérique en santé s’est concrétisée. Notamment, par l’adoption à l’unanimité des 16 principes européens pour l’éthique du numértique en santé, un texte attendu par tous les Etats membres.
Bilan d’une présidence efficace avec Isabelle Zablit, en charge de l’Europe et de l’International à la Délégation ministérielle au Numérique en Santé (DNS) du ministère de la Santé et de la Prévention.
Comment la France est-elle parvenue à impulser sa perception du numérique en santé pendant la présidence du Conseil de l’Union européenne ?
« La France a souhaité traduire en actions constructives et visibles sa volonté de contribuer au futur espace européen de données de santé (EHDS, European Health Data Space). La Commission européenne et les autres Etats membres ont suivi ces propositions pragmatiques et nous ont permis d’atteindre les résultats escomptés, voire même de les dépasser pendant ces 6 mois. Un calendrier événementiel ambitieux (25 événements dédiés au numérique en santé en 6 mois) a été déroulé, une ampleur inédite pour le numérique en santé, sans équivalent sous aucune présidence ! Nos collègues européens y ont activement contribué, partageant le constat du manque de visibilité sur les enjeux du numérique en santé en Europe. »
L’éthique tient une place importante dans la perception française des données de santé. Qu’en est-il au niveau européen ?
« Nous avons tout d’abord mené une étude européenne sur le numérique en santé en Europe¹, disponible sur le site de l’ANS, pour avoir la « photo à date » de la maturité atteinte. En effet, les feuilles de route nationales des Etats membres ont été accélérées suite à la pandémie. Un des objectifs a été de comprendre la place de l’éthique dans ces feuilles de route nationales comme dans la base réglementaire européenne existante. Un constat est clair : le volet sur l’éco-responsabilité est encore à développer.
Plus largement, les Etats membres et la Commission, dès le début de la présidence française, ont partagé le constat de la nécessité d’avoir trois piliers pour déployer le numérique en santé et l’espace européen de données de santé : l’interopérabilité, la sécurité et l’éthique. Si les deux premiers sont pris en compte dans les travaux européens de longue date (à l’instar du règlement cyber qui s’applique aussi à la santé), le cadre éthique européen pour le numérique en santé n’avait jamais été formalisé. Il s’était révélé cependant essentiel lors de la création récente du « passe sanitaire européen (EU DCC) », dont le succès tient en partie à son cadre éthique, traduit par une achitecture technique qui y répond.
Formaliser ce cadre éthique et le communiquer au citoyen étaient donc important pour préparer un espace européen de données de santé qui allait nécéssairement susciter des questions d’ordre éthique. Cette démarche a aussi été un engagement des Etats membres et de la Commission européenne, qui a repris ce cadre dans sa proposition de règlement. »
Cette démarche préparait l’espace européen de données de santé. Où en est-on exactement ?
« L’espace européen de données de santé est le premier espace européen de données mis en œuvre pour répondre à la vision d’une Europe des data. Pour la santé, c’est crucial. La pandémie nous l’a rappelé, tant pour la prise en charge du patient, pour la recherche, l’innovation que pour la politique publique. Cet espace européen de données de santé existe déjà en partie. Il vise à donner de nouveaux services aux citoyens et aux professionnels de santé.
Lors de la prise en charge d’un patient étranger d’un autre pays de l’UE, et avec son consentement, un professionnel de santé pourra ainsi avoir accès, dans sa langue, aux données de santé du patient. Ce programme, MaSanté@UE ou MyHealth@EU, est aujourd’hui volontaire. Onze pays, dont la France depuis juillet 2021, en sont déjà parties prenantes. Ils ont déployé des premiers cas d’usage opérationnels. Demain, le règlement sur l’espace européen de données de santé le rendra obligatoire pour mailler les systèmes de santé et réutiliser les données. L’instruction de ce projet de règlement a démarré en fin de présidence française ; il devrait être le texte fondateur pour encadrer le numérique en santé en Europe. Cette vision a été fortement portée par la France, introduite par le commissaire Thierry Breton. Elle doit rendre l’Europe capable d’aller de l’avant en IA et nouvelles technologies en santé. Il s’agit aussi de gagner en souveraineté sur tous les terrains, comme l’a rappelé le Président de la République, y compris celui du numérique en santé.
La présidence française du Conseil de l’Union européenne a donc mis en oeuvre des actions cohérentes avec cette approche de l’espace européen des données de santé et du marché unique pour le numérique en santé, principaux enjeux servis par la stratégie déployée par la France. »
Quelles sont les autres actions menées ?
« Des actions concrètes. La France a annoncé adopter la terminologie Snomed CT pour faire avancer l’interopérabilité sémantique en Europe. Une initiative a été prise pour harmoniser les critères d’évaluations cliniques des dispositifs médicaux numériques. Enfin, G_nius s’est internationalisé en intégrant les étapes et conditions d’accès au marché de 10 premiers pays européens. Et les autres pays vont suivre ! »
A titre personnel, quel(s) événement(s) majeur(s) retenez-vous de cette PFUE ?
« Les 25 événements ont tous été très riches. Parmi eux, deux événements institutionnels ont été marquants : la conférence ministérielle « Ethique, citoyenneté et données de santé » a permis de déclencher la mise en oeuvre des principes éthiques européens pour le numérique en santé après leur adoption en un temps record (1 mois) ! L’engagement pris par les ministres de la Santé des Etats membres a été un grand moment. Ensuite, en juin, la réunion du réseau eHealth Network à PariSanté Campus a rassemblé nos homologues européens, après tant d’heures en visio-conférence pendant la crise. Un moment fort pour ce réseau soudé par les enjeux portés par le numérique en santé dans la construction de l’Europe de la santé. »
« En novembre 2014, le CHU de Saint-Etienne a connu un incident informatique assez important, conséquence d’une négligence de la sécurité qui a eu pour impact la perte d’une baie informatique complète. Cette mésaventure a été le début d’une prise de conscience de la nécessité d’élever le niveau dematurité du centre hospitalier dans ce domaine. La particularité de l’établissement stéphanois, qui est excellent en termes de résultats d’exploitation, est d’avoir peu investi durant des années, lié à une situation financière tendue.
Aujourd’hui, nous tentons de rattraper ce retard, à un rythme assez soutenu, par un travail de fond passant par des mises à jour régulières des systèmes d’exploitation, le renouvellement progressif des postes de travail et l’intensification de l’informatisation au niveau du biomédical. Nous avons également décidé d’agir pour sensibiliser les utilisateurs, les principales actions menées jusqu’à présent étant l’envoi régulier de mails mettant en garde contre le phishing. Nous avons débuté en 2021, une mission de RSSI externalisé, preuve de la montée progressive en charge de ce sujet dans les établissements du GHT de la Loire.
Le serious game est, à mon sens, un bon outil pour démontrer l’urgence de prioriser la sécurisation desdonnées et une aide précieuse pour les directions, en matièred’arbitrages financiers. Sachant que la direction qualité vient renforcer nos méthodes. Elle travaille ainsi de pair avec le RSSI sur la validation du formalisme dans le cadre du programme Hôpital numérique ouvert sur son environnement (HOP’EN), du Plan de reprise d’activité (PRA) et des procédures dégradées ».
Avez-vous des échanges de pratiques réguliers avec voscollègues d’autres établissements de santé ?
« Nous avons des retours d’expérience assez complets de la commission nationale des systèmes d’information de CHU sur des événements d’ampleur nationale. Le plus récent concerne l’attaque virale subie par le CHU de Rouen l’année dernière, un établissement pourtant bien préparé aux risques cyber, ce qui contribue à tirer un constat un peu effrayant sur la vulnérabilité des établissements de santé.
Au CHU de Saint-Etienne, une centaine de postes ont été cryptolockés en 2012, et nous avions créé un programme maison pour contrer ce type de ransomware. Depuis 2019, nous suivons les préconisations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les CERT-FR* (acronyme CERT signifie Computer Emergency Response Team), que nous recevons a minima une fois tous les quinze jours.
Parallèlement, pour pallier toutes les failles de sécurité, nous avons durci notre AD (active directory) et nous utilisons plusieurs outils d’audit performants. Nous avons en outre des réunions de coordination tous les quinze jours pour faire que la prise en compte sécuritaire entre dans les habitudes de travail. Ces derniers mois, nous avons donc beaucoup avancé. Le problème dans nos métiers, c’est que nous sommes vite rattrapés par le quotidien. Pour autant il est indispensable d’intensifier nos efforts en matière de sécurité informatique, qui doit devenir une des priorités de l’institution ».
*Le CERT-FR est une des composantes curatives complémentaires des actions préventives assurées par l’ANSSI. En tant que CERT national, il est le point de contact international privilégié pour tout incident de nature cyber touchant la France. Il assure une permanence de ses activités 24h/24, 7j/7.
D’autant plus que la sensibilisation à la sécurité informatique est souvent perçue comme une contrainte supplémentaire par les métiers…
« L’objectif étant de sensibiliser tout le monde à la sécurité informatique, il est effectivement important d’expliquer aux métiers que le passage en production d’un outil nécessite toujours un temps de vérification sécuritaire, en amont, qui en retarde son utilisation. Une des difficultés que nous rencontrons consiste à mettre en conformité ceux qui, en routine depuis plusieurs années, se servent par exemple de comptes utilisateurs aux mots de passe comportant seulement 3 caractères.
Sans compter le nombre de fois où nous sommes sollicités le mercredi pour un logiciel qui doit être opérationnel le lundi suivant, bien qu’on ne le connaisse pas et que nous ne possédions aucune documentation sur son installation ! Ce genre de situation nous arrive plusieurs fois par an. Nous menons un travail de fourmi de planification et de pédagogie auprès des utilisateurs car, en fonction des cas, une quinzaine de personnes peut être mobilisée avant le lancement d’un nouvel outil. Ce besoin de formalisation n’est pas dans les habitudes du monde hospitalier et la direction générale du CHU de Saint-Etienne l’a bien compris. Comme ce n’est pas uniquement au service informatique de prioriser les projets, elle souhaite la création d’une commission informatique pluridisciplinaire, prévue pour 2022, qui étudiera les nouveaux projets.
De manière générale, des budgets sont en train de se débloquer et tout s’accélère. La crise sanitaire a permis, sur la partie télémédecine, de rendre matures des outils qui ne l’étaient pas. C’est l’évolution majeure et positive de ces derniers mois ».
Simplification, numérisation et fiabilisation sont les trois mots clés qui définissent selon Gilles Hebbrecht de la Direction générale de l'offre de soins (DGOS), le projet hospitalier de Remboursement des organismes complémentaires (ROC). A l’heure de sa généralisation, il revient sur l’ampleur de ce dispositif, dont les objectifs semblent pleinement remplis !
En quoi le dispositif Remboursement des organismes complémentaires (ROC) est-il si innovant ?
« L’idée de départ de ROC est d’offrir aux établissements hospitaliers et aux Assurances Maladies Complémentaires (AMC) un contexte technologique unique, qui prenne en compte leurs différents types d’activités et leurs propres spécificités. Elle vient du constat que les échanges entre établissements et AMC pour le remboursement du reste à charge patient étaient structurellement défaillants et qu’il était par conséquent vain de tenter de les informatiser en l’état. Il faut donc voir ROC comme un changement de paradigme pour l’écosystème, un nouveau concept innovant, n’ayant jamais existé, conçu pour régler définitivement tous les dysfonctionnements des services en ligne et de facturation.
Pour l’activer, il a fallu du temps et beaucoup de volonté de la part des acteurs impliqués. Un travail de préparation considérable a été mené par l’ASIP, puis l’ANS, avec les représentants des établissements et les éditeurs, par l’équipe de Florian Catteau, qui se poursuit dans le cadre des extensions en cours aux activités de SSR et de psychiatrie ainsi qu’aux cliniques privées. Les spécifications fonctionnelles issues de ces travaux se sont traduites par des demandes d’évolution des logiciels de gestion administrative de patients d’une telle ampleur qu’il a fallu 5 ans pour élaborer collectivement des spécifications fonctionnelles, qui soient opposables aux éditeurs hospitaliers et à l’ensemble des AMC.
Deux années d’expérimentation ont ensuite permis de vérifier que tout ce qui avait été imaginé ex-nihilo fonctionnait. Pour régler les derniers détails, quelques mois ont encore été nécessaires pour permettre aux premiers établissements non expérimentateurs de passer en production. »
Pour décrire ROC en trois mots vous parlez de simplification, numérisation et fiabilisation. En quoi ce dispositif simplifie-t-il vraiment le quotidien des établissements hospitaliers et des patients ?
« La simplification est une question cruciale tant pour les patients que pour les personnels hospitaliers, du fait de la très grande difficulté pour les acteurs de s’y retrouver dans les différentes règles de facturation hospitalière et de prise en charge par les complémentaires des restes à charge des patients. Cette situation demande aux personnels hospitaliers un travail de fourmis totalement déraisonnable. Face à ce constat, le premier objectif était de mettre la numérisation au service de l’automatisation et de la suppression des tâches redondantes, autrement dit que les systèmes d’information du XXIe siècle soient conçus au bénéfice et au service des utilisateurs et non l’inverse. Le deuxième point crucial qui intervient an amont du recouvrement, c’est l’incapacité pour les services d’accueil et de facturation de comprendre les logiques de fonctionnement des contrats des AMC. Si les personnels finissent par appréhender les principaux contrats des principales complémentaires avec lesquelles ils travaillent, cet apprentissage se fait sur le modèle « envoi-erreur-correction ».
Avec ROC, les établissements transmettent aux complémentaires le reste à charge du patient. Elles y répondent en fonction de leurs propres règles de gestion des contrats, en leur envoyant in fine un code de garanti de paiement sur les montants de prise en charge. La mise en place de ROC s’accompagne d’un troisième niveau de simplification, celui des échanges en ligne et en temps réel. Aujourd’hui, le délai médian de réponse en ligne est de 1,5 secondes. Cette immédiateté permet au patient de connaître la prise en charge potentielle de sa complémentaire au moment de sa pré-admission ou le jour de son hospitalisation et d’éviter, à sa sortie, de repasser par le bureau des entrées pour régler son séjour. La transparence et la vitesse de transmissions des informations vont également favoriser la mise en place de services interactifs pour les assurés.
Grâce à ROC, un cercle vertueux est en train de s’instaurer dans la communication envers les patients, étant entendu que par l’intermédiaire d’un identifiant commun le système fournit la même information, au même moment, à tous les acteurs engagés. Ce qui explique l’implication extrêmement forte de la DGFIP (Direction Générale des Finances Publiques) dans ce programme qui permet de supprimer 99 % du contentieux actuel. Les saisies à tiers détenteurs, évaluées aujourd’hui à environ 15 millions d’euros, sont en effet une des plaies des relations entre les établissements de santé et les AMC. »
Comment les établissements hospitaliers sont-ils accompagnés pour intégrer ROC et quelles sont les premières retombées chiffrées ?
« Le passage en production ne se fait pas du jour au lendemain et depuis le mois de février 2021, un opérateur national de déploiement (OND) est mandaté par la DGOS pour coordonner les travaux entre les éditeurs, les établissements hospitaliers et les AMC. La mise en place des premiers flux nécessite, en général, trois mois de préparation pour régler des questions relatives aux SI et aux nécessaires évolutions organisationnelles. S’en suivent trois mois de fonctionnement dits sous surveillance qui vont permettre à l’OND de vérifier que tout se passe bien et de proposer à l’établissement d’intégrer ROC.
De manière réciproque, quand une complémentaire s’inscrit dans le dispositif, elle bénéficie du même type de fonctionnement et de supervision. Pour pouvoir mutualiser ces différentes phases et favoriser le partage d’expérience, les établissements sont regroupés en cohortes, regroupant entre 25 et 40 participants, homogènes en termes d’éditeurs de logiciels. Des séminaires de sensibilisation aux bonnes pratiques sont également organisés. Le temps consacré à cet accompagnement explique donc qu’à date, seulement 40 établissements soient passés en production. Selon les prévisions d’engagement dans les cohortes, ils seront 46 au 31 décembre 2021, 78 à la fin du premier trimestre 2022, 144 à la fin du deuxième et 423 à la fin du troisième. Autre chiffre clé, sur les 100 000 dossiers traités à ce jour, aucun contentieux ayant abouti à une saisie à tiers détenteur n’a été signalé. Seuls quelques dossiers ont fait l’objet d’échanges directs entre l’établissement et l’AMC.
Enfin, un des objectifs du programme qui était que les indicateurs de règlement des complémentaires s’alignent sur ceux de l’assurance maladie obligatoire (AMO) est aujourd’hui respecté, puisque le délai actuel de règlement des premiers est de 6.7 jours contre 6.4 pour la seconde. »
Le Médipôle Hôpital Mutualiste, établissement de santé mutualiste, est un des cinq établissements ayant participé à l’expérimentation du dispositif de Remboursement des organismes complémentaires (ROC) dès son lancement. Sandrine Croze-Fayard, directrice adjointe et Elise Greffet, référente GAP-DPI (Gestion Administrative des Patients - Dossier Patient Informatisé) en expliquent les tenants et les aboutissants.
Depuis quand le Médipôle Hôpital Mutualiste est-il entré dans l’expérimentation ROC ?
Sandrine Croze-Fayard : « Nous avons été associés au démarrage du projet dès 2015. Nous avons participé à des réunions trimestrielles, qui réunissaient à Paris un ensemble de directeurs administratifs et financiers (DAF) et de directeurs adjoints afin d’élaborer le cahier des charges opposable aux éditeurs, puis de mettre à plat l’ensemble des règles de facturation encadrant les échanges entre les établissements de santé et les organismes d’Assurance Maladie Complémentaire (AMC). Une fois la rédaction du cahier des charges validée par les différentes instances de pilotage (Fédérations AMC (FNMF, FFA et CTIP), ministère de la Santé (DGOS) et la CNAM), des groupes de trinômes ont été constitués par le ministère des Solidarités et de la Santé. Pour une meilleure connaissance des besoins et des champs d’activités, ils regroupaient des représentants d’établissements hospitaliers publics ou d’établissements de santé privés d’intérêt collectif (ESPIC) de différentes régions, d’AMC et d’éditeurs de solutions hospitalières. S’investir dans cette expérimentation correspond à notre ADN. C’est pour nous une manière d’apporter notre vision, reflet des liens privilégiés que nous entretenons avec les mutuelles qui composent notre conseil d’administration ».
Elise Greffet : « Sous l’égide du programme Simphonie dont l’un des axes est la modernisation de la facturation et la diminution de la charge administrative, le ministère des Solidarités et de la Santé a impulsé différents dispositifs. Depuis plusieurs années, notre hôpital est un établissement pilote dans le domaine de la digitalisation des processus. Nous avons notamment participé activement, avec notre éditeur, au projet de facturation individuelle des établissements de santé (FIDES) pour les actes et consultations externes (ACE). Il était donc fort naturel pour nous d’accepter la sollicitation ministérielle dès le lancement de ROC ».
Pour quelles raisons avez-vous participé activement à ROC ?
S.C.F. : « La facturation auprès des AMC est un sujet ancestral, artisanal, manuel, fastidieux, lourd, redondant, consommateur d’énergie, dont le jargon très administratif est une source d’incompréhension pour les patients. D’autant plus que les différentes réformes de financement ont complexifié ces règles de facturation, un domaine très peu concerné par la digitalisation. Nous nous sommes donc impliqués dans le programme ROC pour créer des synergies entre les différents acteurs concernés et réduire les coûts de ce système archaïque. Cet engagement répondait à la demande d’un grand nombre d’établissements d’obtenir des informations plus rapidement et de manière dématérialisée, afin d’éviter cette lourdeur administrative et faciliter les parcours de soins ».
Quels sont les avantages de ce dispositif ?
E.G. : « ROC est un dispositif qui simplifie vraiment la prise en charge. Les QR code / Data matrix normalisés dans leurs fonctionnalités grâce au descriptif défini par ROC et développés par les AMC donnent accès à des informations actualisées des patients. Ils évitent ainsi bien des mauvaises surprises. Leur consultation par des lecteurs de data matrix à l’accueil des établissements permet d’interroger à distance notre outil d’admission des patients ainsi que l’annuaire national des AMC, défini en amont du cahier des charges. Une fois la prise en charge confirmée, elle vient s’incrémenter dans nos bases. C’est la première étape. Avant la fin du séjour hospitalier, nous sommes en possession de l’accord dématérialisé de prise en charge et nous envoyons la facture numérique à l’AMC concerné, ce qui nous prémunit de toute erreur et retard de paiement ».
Et pour l’avenir ?
S.C.F. : « Une fois que les briques seront toutes bien posées et que tous les organismes AMC seront connectés, ils auront l’opportunité de développer tout un panel de services auprès de leurs adhérents. Les délais de traitement sont en effet aujourd’hui trop longs pour proposer de telles plus-values aux assurés. Grâce à ROC, les AMC auront une vision quasi instantanée de là où se trouvent leurs adhérents, sans que les établissements ne dévoilent, bien sûr, aucun contenu médical ou données personnelles, la CNIL ayant validé en amont l’ensemble des pré-requis techniques. Tous les services en lien avec le vieillissement de la population vont être cruciaux dans les années à venir puisque l’hôpital, saturé, essaie de réduire les durées de séjour ainsi que les passages aux urgences. L’idée serait de travailler sur le maintien à domicile, en phase avec les objectifs du ministère » .
Existent-ils encore des freins à lever ?
E.G. : « Le déploiement ne se fait pas à la même vitesse avec tous les AMC car certaines petites complémentaires ne sont pas encore rattachées au dispositif. La difficulté majeure, de notre point de vue, reste cette coexistence des deux systèmes de flux. Pour l’instant, nous avons constaté que le dispositif fonctionne de manière plus efficace et rapide quand l’interlocuteur avec lequel nous sommes connectés est une mutuelle ou un assureur en direct, et non pas au travers d’un opérateur de Tiers Payant ».
S.C.F. : « Je pense que ce qui a un peu freiné l’engouement des AMC au départ, c’est l’accélération du délai de paiement. Leur rythme d’adhésion au projet nous a donc fait perdre un peu de temps et nous pensions que la généralisation irait plus vite. Cependant, les différentes annonces de la FNMF en 2021 et les engagements pris par des dizaines d’AMC sont de bonnes nouvelles qui nous font dire que les choses bougent ! Nous n’avons pas été confrontés à de grosses difficultés techniques pour la mise en place de ROC. Ce dispositif impose simplement des étapes à franchir qui nécessitent, malgré le cahier des charges, une grille de lecture commune avec l’AMC sur les règles de facturation. Comme l’a dit Elise, la plus grosse difficulté en interne c’est la coexistence d’un système « moyenâgeux » avec des prises en charges imprimées, des factures agrafées et envoyées par La Poste et celui de la lecture data matrix « rocienne ». Cette gymnastique de saisie des dossiers dans nos outils est un peu complexe et, dans une période où les équipes hospitalières sont fatiguées, toute simplification serait la bienvenue ! D’où notre désir de voir ROC se généraliser… ».
Mettre en commun l’ensemble des perceptions du vide pour se poser les bonnes questions face à une situation extrêmement volatile et apprendre aux équipes dirigeantes à sortir du cadre. Entre théorie et pragmatisme, l’analyse de Patrick Lagadec plaide pour une intelligence créatrice et inventive dans la formation des cercles décisionnels à la gestion des crises majeures.
Spécialiste de la gestion du risque et des crises hors cadre, vous intervenez comme consultant sur le pilotage de situations complexes et chaotiques. Détournement d’avion, tempêtes, cyclones, pandémie, que retenez-vous de votre expérience sur le terrain ?
« Quelle que soit la nature des situations qui sortent des cadres habituels, leur pilotage est extrêmement difficile car il demande aux dirigeants la capacité de générer les bonnes questions, avant d’avoir seulement le souci d’aligner les réponses conventionnelles. L’hypothèse se vérifie toujours sur le terrain, comme j’ai pu le constater lors du débriefing du détournement de l’airbus d’Air France à Alger en 1994, auprès de la cellule de crise d’EDF suite aux tempêtes de 1999, à Toronto au cours de l’épidémie de SRAS en 2003, au sud des Etats-Unis après le passage du grand cyclone Katerina en 2005 ou bien encore pour le ministère de la Santé, lors de la pandémie du H1N1 en 2009.
Peu importe le domaine de la crise, ce qui est fondamental et décisif c’est le fait d’être projeté ailleurs et de ne pas succomber à la tentation de plaquer les enseignements d’un événement antérieur pour affronter celui à venir. A chaque fois, la bonne attitude consiste à se demander quelle question on a bien pu oublier de se poser. Prenons l’exemple de la vaccination contre la Covid-19. Aucun gouvernement n’avait envisagé l’éventualité d’une mise sur le marché aussi rapide d’un ou plusieurs vaccins et n’avait élaboré une hypothèse pour gérer ce cas de figure.
Savoir sortir du cadre est la seule piste possible mais elle est extrêmement difficile à ouvrir et inventer pour qui n’a pas une préparation précisément pensée pour ce type de défi, comme j’ai eu l’occasion de l’expliquer récemment, lors d’une intervention pour les Directeurs de crise de l’Assistance Publique – Hôpitaux de Paris (AP-HP) ».
Pourquoi est-ce si difficile pour les cercles dirigeants de sortir du cadre ?
« Parce que cette option va à l’encontre de la culture cartésienne des décideurs de tous les pays. La seule suggestion de sortir du cadre est beaucoup plus inquiétante que la perspective d’une déroute ! Elle tétanise les esprits et, pour se protéger, chaque personne, chaque organisation, chaque silo, se bunkérise derrière murailles et fossés. Chaque organisation agit pour sécuriser au mieux son périmètre. Conséquence « normale » : la coordination clamée sur tous les tons devient une exigence aussi inatteignable que terrorisante. Quant à la communication, également proclamée comme centrale, elle devient un exercice rapidement hors de portée, promis à la confusion sur fond de dislocation destructrice.
Cette attitude est parfaitement normale car sortir du cadre est psychologiquement éprouvant et ne s’improvise pas. La psychanalyste et philosophe Nicole Fabre l’explique très bien dans son livre très puissant, intitulé « Descartes, un roman familial » (Esprit du Temps, mars 2021). Elle relève que l’auteur du « Discours de la méthode » a refusé avec une violence inouïe d'examiner la question du vide sur laquelle travaillait Pascal. "En rejetant si vigoureusement ce concept, écrit Nicole Fabre, Descartes manifeste sous des apparences rationnelles l’angoisse du néant (de la mort ?) et la crainte de perdre la solidité d’un système qui ne tient que parce qu’il n’y demeure aucune faille » (p. 98). Il ne faut à aucun prix, et quoi qu’il en coûte, se laisser toucher par l’hypothèse qu’il pourrait y avoir faille dans le système – sinon, ce serait laisser place à un processus d’écroulement. Nous sommes tous enfants de Descartes dont le système est à la source de notre société rationnelle, forte de règles qui assurent stabilité, fiabilité, prévisibilité – à l’intérieur d’un périmètre bien maîtrisé. Mais qu’en est-il à l’extérieur de ce périmètre ? Que devient alors nos visions, nos logiques de pilotage, notre exercice du leadership ? Clairement, il n’y plus alors de livre du maître ; l’administrateur, qui déjà dû laisser place au gestionnaire, doit prendre l’habit du découvreur. Rude mutation.
Dans ces conditions, comment aborder ces situations de grande volatilité ?
Tout se joue d’emblée sur la capacité du dirigeant à démontrer qu’il est en phase avec ce type de défi. Pour cela, il lui faut être préparé, précisément à pouvoir penser et traiter les situations hors des jardinets du convenu. Pour l’aider, il sera extrêmement utile qu’il ait à ses côtés ce que j’ai nommé Force de Réflexion Rapide – un petit groupe de personnes bien préparées à travailler sur feuille blanche pour clarifier au plus vite, le « De quoi s’agit-il? », les « Pièges », les « Cartographies d’acteurs », les « Combinaisons d’impulsions inventives » pouvant redonner de la puissance et du dynamisme créatif au système. Concrètement, il s’agit bien de s’interroger d’emblée sur la qualification de la situation : c’est l’expérience de l’amiral Thad Allen, envoyé dix jours après l’arrivée du Cyclone Katrina (2005) pour reprendre pied dans le chaos. Son constat : « Ce que je compris en arrivant c’est que nous n’avions rien compris. Ce n’était pas un cyclone, c’était une arme de destruction massive, sans dimension criminelle. »
Et, à tous les niveaux, il faut de nouvelles visions, capacités d’écoute, de mise en lien, de valorisation. C’est par exemple la remarquable gestion du directeur de l’aéroport de La Nouvelle Orléans. Parmi d’innombrables démonstrations d’inventivité, un des ses techniciens lui indique qu’il a retrouvé un puits qui pourra donner de l’eau; certes, elle n’est pas potable, mais elle peut alimenter les toilettes – et avec 10 000 personnes bloquées dans les aérogares, la perte des toilettes signerait la perte de la bataille.
Lors du cyclone Sandy (2012), le conseiller spécial du patron de la FEMA (agence fédérale américaine de sécurité civile) monta tout de suite 3 groupes de travail : détection des failles et des erreurs; détection des initiatives émergentes venant des multiples acteurs autres que les acteurs officiels; invention – pour rester en phase avec les exigences d’une crise hors cadre. Bien en phase avec ces mots d’un dirigeant de la Silicon Valley à ses cadres: « Votre champ de responsabilité, désormais, c’est l’inconnu ».
Comment gérer la pression et la fatigue au quotidien, dans un cockpit de Mirage 2000 ou dans un bloc opératoire ? Comment éviter que les émotions ne viennent perturber la concentration et la prise de décision d’un pilote ou d’un chirurgien ? Comment réduire les risques et limiter les erreurs en apprenant à travailler en équipe et à faire confiance aux autres ? Comment mettre en place une organisation optimisant la performance humaine ?
Autant de réponses que l’expertise militaire aérienne peut apporter au secteur médical.
Dans l’aviation civile et militaire, différents outils permettent d’optimiser la performance humaine. Pour avoir été aux commandes d’un Mirage 2000 et avoir volé tous les jours, durant 17 ans, dans l’armée de l’air, je mesure toute l’importance des procédures de vérification et des sessions de formation qui ont pour objectif de minimiser les risques engendrés par une quelconque défaillance humaine. Parallèlement à la navigation, j’ai également développé au sein de l’armée de l’air une expertise sur les facteurs organisationnels et humains, en formant les équipages à mieux travailler ensemble. Leur apprendre à ne pas tomber dans tous les pièges résultant d’un état de fatigue passagère, d’un moment de colère, d’un état d’esprit personnel qui, à un instant précis, va altérer leur perception de la situation et par conséquence influencer leur prise de décision. Enseigner aux décideurs à se méfier de certaines idées préconçues les laissant penser avoir été compris par leur équipe alors qu’en réalité l’information n’a pas été justement transmise ou analysée.
Chirurgiens et pilotes de chasse, même combat organisationnel !
Fort de cette expérience, j’avais alors, un peu naïvement, la faiblesse de penser que ces pratiques étaient largement répandues dans le monde du travail et que les entreprises, telles des escadrons de chasse prenaient en compte ces facteurs humains ! L’électrochoc est venu d’une discussion avec un chirurgien, renforcé par une observation des pratiques dans plusieurs hôpitaux qui m’ont convaincu de la nécessité d’intervenir pour sensibiliser le personnel médical aux facteurs organisationnels et humains (FOH). Si je devais comparer les chirurgiens et les pilotes, je dirai qu’ils ont le même code génétique, la même appétence pour les missions à risques et un sens aigu des responsabilités. Et pourtant, quelle différence dans leur manière d’exercer ! Plus de 80% des premiers reconnaissent ne pas effectuer systématiquement et intégralement la checklist pour s'assurer qu'il s'agit du bon patient, que le matériel a été vérifié ou encore que les prescriptions post-opératoires ont été réalisées en bonne et due forme. Une part non négligeable d'entre eux considère que ces vérifications sont perçues comme une perte de temps, ou comme un simple acte administratif de traçabilité, elles ne font pas du tout partie de leur culture. Une attitude qui s’explique en partie par la formation initiale des futurs professionnels de santé.
La culture du dépassement de soi… et des autres
Si l’on compare le milieu militaire à celui de la médecine, les logiques d’instruction sont radicalement opposées. Quand on est élève officier et que notre commandement nous demande de partir en opération, le plus important est que le groupe arrive ensemble. On apprend à marcher au rythme du dernier et à se débrouiller pour ramener un éventuel blessé ! Les futurs médecins, eux, doivent non seulement se surpasser mais surtout être meilleurs que les autres. Et cet état d’esprit perdure durant des années jusqu’à ce qu’ils deviennent des chirurgiens et des spécialistes que les patients viennent consulter pour leur renommée et leur spécificité, alors qu’aucun passager au monde ne choisit une compagnie aérienne pour son pilote. Il existe une réelle volonté de se différencier de leurs confrères. Rien d’anormal alors qu’ils se disent, de manière légitime et naturelle, que tout repose sur eux. Si les autres ne sont là que pour les assister, à quoi bon alors les mettre dans la boucle ? L’organisation dans laquelle ils évoluent professionnellement ne leur a jamais appris à partager la prise de décision, à se mettre à la place de…
C’est pour cette raison qu’en 2015 j’ai créé la société STAN Institute, avec deux associés anciens militaires, Marjorie Mazeau et Erwan de Penfentenyo de Kervereguen, respectivement formatrice de pilotes opérationnels de l’armée de l’air et commandant de bord sur avion-cargo. Une partie de notre activité consiste à démontrer aux équipes hospitalières la plus-value à travailler ensemble. Les infirmières en sont déjà persuadées, les anesthésistes de plus en plus. Reste à convaincre le chef d’orchestre, c’est-à-dire le chirurgien, en lui démontrant comment il pourra être encore meilleur et avoir plus de leadership en apprenant à déléguer.
Vis ma vie d’infirmière, d’anesthésiste, de co-pilote
Une prise de conscience qui passe par des outils tels que des serious games et des simulateurs de vol. Nous imaginons ainsi des situations de survie pour qu’ils se rendent compte de la synergie du 1+1 = 3, l’idéal étant d’avoir en face de nous une équipe constituée de personnes travaillant ensemble au quotidien. Pour nous, le « casting de rêve » est celui qui réunit des profils très différents comme par exemple un chirurgien, un anesthésiste, une infirmière de bloc, un infirmier anesthésiste et un personnel administratif. Après avoir dispensé une session de formation pour un Service Départemental d’Incendie de Secours à laquelle participaient notamment un responsable RH, un chef de caserne et un nouveau sergent, l’un des pompiers a été très surpris de voir que le personnel administratif était capable de prendre de très bonnes décisions dans l’urgence, parfois même meilleures que celles émanant des soldats du feu ! Une manière concrète et efficace de démontrer que les rappels de procédures ne visent pas seulement à mettre « des bâtons dans les roues » de celles et ceux qui agissent sur le terrain.
L’intérêt du jeu est de pouvoir inverser les rôles et de faire tourner les postes. Ce changement de posture qui consiste à vivre la vie d’un autre favorise grandement la compréhension des contraintes et leur acceptation. C’est aussi une manière de se rendre compte que chacun fait partie de la même équipe. Certains, comme Éric Benfrech, chirurgien orthopédiste à Cognac, ont vécu cette expérience comme une véritable révélation. Ils sont depuis nos meilleurs alliés pour convaincre leurs pairs !
L’exception française
Pour avoir beaucoup travaillé avec l’US Air Force, je sais que les pays anglo-saxons sont beaucoup plus respectueux des process que la France. Derrière cette espèce de bon sens aveugle se cachent également de gros enjeux financiers. Cette acceptation des règles passe donc par la crainte de devoir payer pour indemniser d’éventuelles victimes. Dans notre pays, ce sont les hôpitaux publics qui vont aux tribunaux pas les médecins. Eux sont libres d’exercer leur art sans rendre de compte à personne. Ce désengagement, libérateur pour les professionnels de santé qui évitent ainsi la pression d’un procès ne doit cependant pas être utilisé de façon malsaine. Dans l’aviation, il existe une obligation, pour les organismes internationaux, à respecter « intelligemment » les protocoles. C'est-à-dire qu’ils sont encouragés à y déroger en cas de besoin. Le milieu médical pourrait s’en inspirer et ce, dans l’intérêt de notre système de santé en général…
Faire de la prévention aux risques cyber en se mettant dans la peau d’un pirate informatique, la plateforme CF-Sentinel créée par la société Computablefacts teste la robustesse de la sécurité du périmètre externe des entreprises, quelque soit leur taille et leur secteur d’activité. Comme le rappelle Cyrille Savelief, co-fondateur de cette solution agile et intuitive, « la vulnérabilité face aux attaques de masse est un enjeu majeur pour les organismes de santé ».
La sociétéComputablefacts, que vous avez co-fondé il y a deux ans, anticipe les risques de cyber attaques des entreprises par l’intermédiaire de CF-Sentinel quiteste en continu leurs vulnérabilités informatiques. Quel est le fonctionnement de cette plate forme et en quoi est-elle une solution de surveillance « intelligente » ?
« La spécialité de notre société est de garantir aux entreprises qui font appel à nos services une couverture complète de leur périmètre externe de leur internet, grâce à notre capacité à nous mettre dans la peau d’une personne prête à attaquer leur système d’information. Comme par exemple envisager le scénario que pourrait imaginer un hacker pour s’en prendre à un établissement de santé. Sans affecter les systèmes évalués, notre plateforme simule des attaques en continu, en direction des serveurs que nos clients souhaitent surveiller. Bien souvent ils en ignorent d’ailleurs la liste complète. Nous leur remettons ensuite un rapport détaillé de leurs vulnérabilités, au fur et à mesure de l’avancement des tests, qui leur montre leur degré d’exposition aux menaces avant de leur fournir une série de recommandations et de correctifs visant à améliorer leur protection.
Le but de notre solution est de tester les lacunes et les portes d’entrée potentielles, quelque soit le secteur d’activité et la taille de l’entreprise. TPE, PME ou grand groupe, nous sommes en mesure de nous intégrer facilement dans les processus existants. Notre compétence est donc transversale. Ce qui diffère d’un client à l’autre, c’est le niveau de sécurisation des données auquel nous nous adaptons, sachant que dans le domaine de la santé il est particulièrement élevé et que les prestataires de soin deviennent une cible privilégiée des attaques de masse de type ransomware, cyber-squatting ou vol de données confidentielles. »
Quelles sont les failles de sécurité les plus courantes détectées par vos services ?
« La première concerne l’ampleur du matériel exposé et le nombre d’adresses IP, qui sont très souvent ignorées des directions des systèmes d’information, qui sont surpris par le nombre d’actifs accessibles depuis internet. Ce risque augmente avec la taille de l’entreprise et l’intervention de prestataires amenés à utiliser un serveur ouvert vers l’extérieur pour lancer un nouveau projet et qui vont fragiliser sans le savoir, ni le vouloir, le niveau de sécurité du groupe. A l’instar d’une campagne marketing qui utiliserait la base de données clients d’un site web.
La complexité de certaines organisations augmente le risque d’ouvrir de nouvelles failles, la sous-traitance et le changement des personnels étant une source de fragilisation, notamment par manque de suivi des dossiers et de transmission des données. Ce que l’on observe aussi régulièrement, c’est l’absence de mise à jour du matériel informatique qui est un des principaux facteurs de vulnérabilité. Enfin, de temps en temps, on constate que les mots de passe par des défauts des logiciels n’ont pas été modifiés ce qui, là encore, facilite grandement l’intrusion des pirates.
Le constat qui s’impose c’est qu’absolument personne n’est à l’abri de se faire rançonner, même les établissements les plus matures sur le sujet. Contrairement à ce que l’on peut penser, la plupart des cyberattaques ne sont pas sophistiquées. Elles proviennent bien souvent de négligences humaines qui surviennent faute de temps, d’oubli ou de méconnaissance des règles de base.»
Dans votre contribution au livre blanc « Protection des données de Santé - Enjeux et Bonnes Pratiques » vous faites référence à l’action menée par Interpol face aux cybermenaces dont font l’objet des organisations et des infrastructures majeures, engagées dans la lutte contre le Covid-19.
Pour pallier ce risque de prise en otage numérique, la cybervigilance est donc plus que jamais d’actualité.
« Face au nombre croissant de cyber attaques, le marché de la prévention est en pleine expansion. D’autant plus que la sécurité informatique reste encore aujourd’hui le parent pauvre de la plupart des entreprises qui, lorsqu’il y a des arbitrages financiers à réaliser privilégient les actions en faveur des métiers. Cette logique est aussi valable dans les hôpitaux et les services médicaux. Les processus à mettre en place en interne pour pouvoir remédier aux vulnérabilités de l’exposition digitale sont très compliqués et souvent la question se pose trop tard.
Les lignes commencent à bouger au niveau des grandes structures qui s’équipent de logiciels et d’équipes dédiés pour la gestion de ces risques. A la différence des petites pour qui la situation est beaucoup plus compliquée puisqu’elles n’ont ni les moyens ni l’expertise technique requis. Sachant que les SOC (Security Operation Center) mutualisés sont aussi réservés aux ETI et aux groupes internationaux, les PME sont devenues notre cœur de cible, dans l’aide que nous leur apportons au quotidien.
En souscrivant un abonnement mensuel aux différents packs de services de notre plateforme, elles ont la garantie de s’assurer en permanence la surveillance de l’existence d’une vulnérabilité et de la corriger. Si jamais nos machines détectent un problème de sécurité, nous l’exprimons en langage simple pour que n’importe quelle équipe technique soit en capacité de le résoudre. Nous avons également développé une fonctionnalité qui permet de relancer une série de vérification après intervention, une manière efficace de renforcer leur vigilance.»
Avec près d’une personne sur deux déclarant vouloir refuser de se faire vacciner contre le Covid 19, la France se distingue au niveau européen par sa défiance vis-à-vis des recommandations vaccinales et plus généralement celle des institutions politiques. Piqûre de rappel avec la récente étude d’Antoine Bristielle, expert à la Fondation Jean-Jaurès.
Votre étude fait ressortir la défiance d’une majorité de Français face à la vaccination contre le COVID. Cette défiance, qui apparait comme une spécificité française, touche-t-elle plus particulièrement les hommes, les femmes, certaines tranches d’âges et classes sociales ?
« Les femmes sont largement plus défiantes que les hommes puisqu’elles sont 50% à dire qu’elles refuseront de se faire vacciner contre 35% chez les hommes. La raison principale qui explique cette différence est la peur ressentie non seulement pour soi mais également pour les enfants, les mères ayant intégré l’idée qu’elles doivent les protéger des différents périls de leur existence.
En fonction de l’âge, ce sont plutôt les jeunes qui se montrent les plus réticents, peut être parce que l’assertion à la vaccination repose sur une sorte de calcul entre avantages et risques potentiels. Pour les convaincre, il me parait intéressant de miser sur leur altruisme et leur sens de la solidarité.
L’analyse des résultats par classes sociales ne révèle aucune différence dans le taux de consentement et de défiance, ce qui montre bien que le rejet de la vaccination contre le Covid-19 est extrêmement large et ne concerne pas qu’une faible proportion de Français. Cette particularité hexagonale a pour origine le fait que plus les personnes vont avoir confiance dans leurs institutions, en particulier les institutions politiques, plus elles vont avoir tendance à accepter les recommandations sanitaires préconisées.
Or, en France, on observe des niveaux de défiance institutionnelle extrêmement importants qui conduisent au refus des nouveaux vaccins annoncés. »
Pour rétablir la confiance, l’une des pistes ne serait-elle pas d’impliquer les médecins libéraux et professionnels de santé de proximité, tout en tirant les leçons de la campagne vaccinale H1N1 ?
« Différentes études longitudinales montrent effectivement qu’il ressort une vraie baisse du consentement en France depuis l’épisode de la grippe H1N1. Une baisse en partie due à la crainte que des enjeux financiers aient motivé la politique française d’achat massif de vaccins plutôt que des enjeux de santé publique. D’autant plus que la mise en évidence de certaines collusions avec le milieu des laboratoires pharmaceutiques a jeté le discrédit sur le gouvernement et que les conséquences de l’épidémie n’ont pas été aussi graves que celles redoutées.
Une étude récente menée en France, au Royaume Uni et en Espagne met en évidence que la thématique revenant fréquemment dans les discussions les plus partagées sur les réseaux sociaux à propos du vaccin est celle de la transparence financière. Elle démontre la crainte de l’opinion publique que les intérêts économiques soient moteurs dans la gestion de la pandémie.
Au sondage réalisé la semaine dernière dans plusieurs pays européens qui posait la question : « A qui faites-vous confiance par rapport à la politique vaccinale concernant le Covid ? », les Allemands, les Italiens et les Britanniques ont majoritairement répondu les institutions médicales, le gouvernement et les scientifiques institutionnalisés, tandis que les Français ont déclaré massivement faire confiance à leur médecin traitant, exprimant de cette manière une exigence de proximité.
Associer ces professionnels de santé aux futures campagnes de vaccination est donc un des enjeux pour rétablir la confiance envers les institutions scientifiques jugées trop lointaines et quelques fois illégitimes. Au début de la pandémie, 90% de la population française accordait leur confiance aux institutions scientifiques contre 70 % aujourd’hui. »
Quels sont, selon vous, les conditions pour réussir la prochaine campagne vaccinale ?
« Quand on demande aux personnes d’expliquer les raisons de leur refus de se faire vacciner -et leur nombre est en constante augmentation depuis les dernières annonces sur l’avancée des tests - elles mettent en avant le manque de recul suffisant et la crainte des effets secondaires. D’où la nécessité, à mon avis, d’accompagner le grand public dans ses choix, en faisant preuve de pédagogie et de transparence sur l’état de la recherche, les mécanismes de contrôle et la sûreté des produits. La population a besoin d’être rassurée par des informations fiables, émanant d’institutions comme l’Institut Pasteur ou l’Inserm (Institut national de la santé et de la recherche médicale), dans un climat médiatique apaisé.
La mise en scène des différentes controverses scientifiques a été contre-productive en matière de prévention, créant une sorte de brouhaha qui altère les messages au profit du spectaculaire. Si la tendance est de pointer du doigt les réseaux sociaux, les média classiques ont eux aussi leur part de responsabilité. En particulier la télévision qui invite des médecins ou des spécialistes pour créer la polémique, faire du buzz, en dépit des effets délétères en termes de confiance dans la politique sanitaire.
Les Français ont besoin d’être préparés, comme c’est le cas en Allemagne où l’éventualité de disposer d’un vaccin est installée dans le débat public depuis déjà plusieurs mois. Le manque d’anticipation dans notre pays donne l’impression de se positionner plus dans la réaction que dans l’action et d’être toujours un peu pris de cours… Il ne faut pas oublier non plus l’importance des relations privilégiées avec les pédiatres ou les généralistes dans la décision finale et l’assentiment du plus grand nombre de nos concitoyens. Cette question de la proximité est vraiment primordiale pour activer les bons leviers.
Enfin une large proportion de personnes qui se déclarent contre les vaccins sont méfiantes de bonne foi et ne demandent qu’à voir. Néanmoins, les questions sanitaires sont un terreau extrêmement fertile pour les thèses complotistes, ce qui implique de rester vigilant ! »
Evolution récente et inquiétante, le secteur de la santé par les données qu’il détient intéresse vivement les cyber-pirates. Pas question de compter sur l’éthique de ceux qui, au plus fort de la crise sanitaire, ont mené des attaques virulentes à son encontre. Quels sont les risques et les moyens de s’en prémunir ? Le point avec Frédéric Rousseau, responsable de marché cyber chez Hiscox assurances.
Quelles sont les types de cyber-attaques majeurs auxquelles peuvent être confrontés les professionnels et établissements de santé ?
« Il existe deux types d’attaques majeures. Un sinistre court et intense de type Ransomware qui bloque l’exploitation du système d’informations, génère des frais importants et dont l’impact indirect peut parfois être dramatique pour les établissements de santé, comme ce fut le cas récemment dans une clinique de Düsseldorf, où une cyber-attaque a empêché la tenue d’une intervention dans les temps, entrainant le décès d’une patiente.
Quand les données des patients sont subtilisées puis exploitées par les cyber-pirates ou les receleurs des informations vendues, il s’agit d'un sinistre long pour lequel il ne faut pas minimiser les conséquences pour l’organisation qui n’aurait pas su sécuriser ses données. Les réclamations sont à la hauteur des préjudices potentiels subis par les patients qui peuvent être victimes d’une usurpation d’identité ou d’une divulgation publique de pathologie pouvant desservir leur vie sociale ou professionnelle. Au-delà de procédures longues et coûteuses pour indemniser les tiers, l’autorité administrative compétente, la CNIL, peut diligenter une enquête et aller jusqu’à sanctionner à terme. Certaines attaques combinent ces deux aspects, avec cryptage de données et extraction de données, le tout accompagné d'une demande de rançon.
Au-delà de faire jouer la responsabilité de l’organisation, personne morale, ces attaques peuvent être révélatrices d’un tout autre sinistre trop souvent oublié : la mise en jeu de la responsabilité personnelle du ou des dirigeants.
Ainsi, si malgré les enjeux et obligations, il s’avère qu’ils n’avaient pas fait le nécessaire pour protéger les systèmes et données stockées, cela pourrait constituer une faute de gestion. »
Les organisations peuvent-elles se prémunir de tels enjeux financiers, opérationnels, juridiques et réputationnels, en souscrivant un contrat d’assurance ?
« Afin de répondre à cette problématique, les assureurs ont développé pour les organisations des produits qui incluent notamment la garantie des pertes d’exploitations, des conséquences d’attaques par ransomware, le volet assurance dommages au tiers et surtout une assistance solide donnant accès à des experts en cyber-sécurité pour identifier les failles et reconstituer les données, des experts en communication de crise et bien entendu des experts juridiques.
Les dirigeants peuvent également bénéficier de contrats spécifiques. Toutefois et compte tenu des enjeux, avant de proposer ces garanties, les compagnies opèrent une nécessaire sélection du risque. L’organisation souhaitant s’assurer doit démontrer qu’elle a su, au regard des enjeux, mettre en place les « premières défenses » en disposant des moyens techniques et des politiques appropriés.
L’assurance ne sert en effet qu’à transférer la partie du risque, certes conséquente, que l’organisation elle-même ne pourrait assumer avec ses propres moyens en cas de crise. Un contrat d’assurance ne peut pas résoudre les déficiences avérées. Si les données et leurs accès ne sont pas sécurisés, dans les cas extrêmes il n’y a plus d’aléa, et sans aléa : il ne peut y avoir d’assurance. Par ailleurs, faute de sauvegardes de qualité, le travail des experts sera nécessairement plus compliqué, long et onéreux ! »
Les directeurs hospitaliers sont-ils, selon vous, suffisamment conscients des risques cyber et sensibilisés aux bonnes pratiques informatiques ?
« Les professionnels de la cyber-sécurité et les assureurs spécialistes constatent avec préoccupation, un déficit, non de compétences des DSI, qui méritent à n’en pas douter plus d’écoute de la part des dirigeants, mais de moyens et de formations des utilisateurs. A ce jour, trop d’établissements, pour ne pas dire une majorité, sont dépourvus des moyens de base avec des systèmes parfois obsolètes, des solutions de sauvegarde non pertinentes vis-à-vis des attaques par ransomware et parfois éloignées des standards de la certification HDS, des accès à distance des praticiens non sécurisés, des transferts de données non cryptées, etc…
N’étant pas préparés à faire face à une cyber-attaque et ne répondant pas aux règles édictées par le RGPD, certains établissements ne peuvent être assurés faute d’être assurables, tandis qu’à travers des appels d’offres mal calibrés ou conscients de la qualité du risque qu’ils constituent certains sont insuffisamment garantis.
Si les établissements ayant pu développer une politique complète de management de leur risque cyber sont encore trop rares, ils existent tout comme les solutions.
Le secteur de la cyber-sécurité dispose d’outils techniques pertinents et d’audits spécialisés pouvant aider à cartographier les risques et définir une stratégie efficace devant s’exprimer in fine dans un plan de continuité d’activité intégrant les cyber-évènements. La formation des personnels et praticiens – essentielle - sur l’hygiène en cyber-sécurité peut aussi s’effectuer par des sessions d’e-learning[1]. Toutefois, une bonne défense vis-à-vis des cyber-attaques, si elle n’est pas suivie et mise à jour régulièrement, pourrait s’avérer obsolète en quelques années si ce n’est quelques mois. Nous constatons d’ailleurs sur ce point une meilleure agilité des structures privées. Le temps de la prise de conscience est passé. Aujourd’hui, celui de l’action s’impose et les dirigeants d’établissements peuvent être accompagnés. »
[1] Hiscox a développé pour des structures de moins de 10 millions d’euros de chiffre d’affaires ou de budget de fonctionnement, un outil dédié pour ses assurés : a CyberClear Academy
Fédérer différents acteurs des écosystèmes de la Tech, de la santé, de la sécurité et de la défense pour mettre la technologie et l’innovation au service des métiers de sapeurs-pompiers, tel est l’un des objectifs d’Atraksis. Une jeune association aux projets ambitieux présentée par son président, Thibaut Reffay, fervent défenseur de l’intelligence collective.
Après plusieurs expériences dans le secteur privé, pourquoi avoir choisi d’intégrer le corps des sapeurs-pompiers et fondé l’association Atraksis, dédiée à la co-construction des secours de demain ?
« Ayant découvert le secours lors de saisons en tant que maitre-nageur sauveteur sur les plages de Lacanau, je désirai exercer un métier orienté terrain et m’impliquer professionnellement dans le service public. Devenir sapeur-pompier répondait pleinement à cette quête de sens.
Avec deux autres élèves officiers, nous avons créé Atraksis en 2017, motivés par le constat que les enjeux de la transformation numérique, de l’innovation portée par l’intelligence collective et de la diversité des expertises n’étaient pas des priorités pour les organisations dans le monde du secours. En effet, face à l’explosion ces dernières années du champ des connaissances, la tendance consistant à recruter des profils assez homogènes, avec des compétences bien identifiées, parait désormais dépassée.
A un moment donné, pour avancer, il est nécessaire d’être entouré d’experts dans de multiples domaines, que ce soit celui des nouvelles technologies ou des sciences sociales ouvrant sur un vaste champ des possibles ainsi que de personnes en capacité de faire le lien entre ces différentes expertises. Pour entamer une transformation globale du système et non pas juste l’un de ses pans, nous pensons qu’il est aujourd’hui primordial d’arriver à connecter ces différents acteurs.
C’est vraiment cette idée de synergies innovantes et de co-construction sur des sujets essentiels pour l’avenir des services d’incendie et de secours que nous souhaitons impulser avec notre structure associative. »
« Les sapeurs-pompiers qui peuvent parfois avoir le sentiment d’être un peu les oubliés de la Tech ne représentent que 40 000 professionnels et 200 000 volontaires. Des effectifs réduits pour un budget global de la sécurité civile relativement faible comparé à d’autres. L’organisation structurelle sur le terrain et la libre administration des collectivités territoriales à l’échelle départementale conduisent à une hétérogénéité des services de secours qui est également un frein à la mise en œuvre de sujets d’ampleur.
C’est pourquoi, dans un premier temps, notre ambition au sein d’Atraksis est de promouvoir les possibilités d’innovation auprès des organisations par le biais d’événements, comme des conférences, faisant intervenir des experts de la transformation et du recrutement. Si les secours sont un secteur d’activités au carrefour des domaines de la sécurité/défense et de la santé, ils ne disposent pas d’une capacité de transformation identique, faute d’intérêt économique.
En revanche, il nous parait pertinent de veiller ces deux écosystèmes stratégiquement très importants et de développer, dans un second temps, des connections afin d’identifier des briques d’expertises potentiellement intéressantes, pouvant déboucher sur des avancées technologiques ou de grosses innovations de rupture applicables à nos métiers. Prenons l’exemple significatif de l’inter-connectivité des véhicules sur un théâtre d’opération et le programme Scorpion, symbole de la mutation technologique de l’armée de terre. A l’instar des militaires de l’infanterie, nos « soldats » ont besoin sur le terrain de pouvoir communiquer entre eux de manière très rapide et sécurisée. Le partage d’informations est donc extrêmement important dans l’aide à la décision et l’efficacité des interventions.
D’où la volonté d’interagir auprès du secteur privé et de faciliter le développement de projets élaborés par des grands groupes industriels ou des start-up, s’inscrivant dans notre démarche active de #TechForRescue. Ce sera la vocation de notre futur Lab Secours que nous allons lancer d’ici la fin de l’année. »
Ce Lab Secours, véritable incubateur dédié aux secours fait partie de la feuille de route 2019-2024 que vous avez élaborée. Quels sont ses points forts ?
« La création de ce Lab Secours, conçu comme un hub, s’inscrit dans une dynamique d’open innovation. Son principal intérêt sera de faire travailler ensemble des acteurs de notre secteur avec ceux des domaines économique et universitaire, partant du principe que chacun à sa place dans l’élaboration de projets allant impacter et améliorer les services d’incendie et de secours rendus aux usagers. En faisant connaître nos problématiques métiers de sapeurs-pompiers à l’écosystème de la Tech, nous pourrons exercer dans de meilleures conditions, en ayant par exemple recours à l’utilisation de l’intelligence artificielle ou de la réalité augmentée.
De tels outils technologiques peuvent nous permettre de sauver des vies ou de limiter les conséquences d’une pathologie. Aujourd’hui, certains grands groupes ont des difficultés à se réinventer alors que de petites entreprises ont une expertise très précise qui pourrait leur être précieuse. Idéalement, cet incubateur aura demain un fonctionnement à deux vitesses. Sur le long terme et de manière formelle, il intégrera les institutions pour mener des appels à projets définis par nos centres opérationnels ou accélérer des initiatives d’innovation que nous aurons préalablement identifiées. En circuits plus courts, il s’agira de collecter les remontées d’idées des services d’incendie et de secours puis de les connecter aux entreprises travaillant sur des sujets identiques, en leur permettant d’agréger leur force.
Petite association aux projets ambitieux, nous arrivons aujourd’hui à une sorte de point pivot. Représentants du public et du privé partagent le constat et valident le concept. Notre objectif est d’amener les premiers à monter dans le train pour qu’un plus grand nombre participe par la suite à l’aventure. Une fois que nous aurons livré du concret, notre démarche associative pourrait devenir à terme une Agence Innovation Secours à l’image de l’Agence Innovation Défense du ministère des Armées ! Les secours étant un sujet très fédérateur, notre rêve idéaliste serait de parvenir à une sorte d’incubateur mondial pour préserver la vie humaine, sur du quotidien ou de l’exceptionnel… »
La crise sanitaire du COVID-19 a été révélatrice de certains dysfonctionnements de notre système de santé : manque de blouses, de gants, de gel hydro-alcoolique, de respirateurs en lits de réanimation… et aujourd’hui, après la fin du confinement, la capacité de réaliser des tests sérologiques en grand nombre…ou d’identifier rapidement les « clusters ».
Au-delà de ces dysfonctionnements, nous avons cependant observé une très grande solidarité de nos concitoyens pour faire face aux impacts de la maladie et du confinement : fabrication de masques, livraison de repas aux soignants, maintien des liens sociaux avec les personnes âgées/dépendantes/isolées… mais hélas également des comportements inappropriés (cf. mon édito du mois d’avril[1]).
Au cours de cette période inédite, l’usage de la téléconsultation s’est imposé de lui-même, probablement accéléré par la peur de la population d’être contaminée lors d’une consultation en ville ou à l’hôpital. Les chiffres[2] de l’Assurance Maladie montrent bien ce décollage : plus d’un million de téléconsultations la 1ère semaine d’avril 2020 vs 10.000 par semaine avant mars 2020 !
Il est fort probable que la télémédecine soit (enfin) entrée dans les pratiques médicales. Elle est tout du moins devenue maintenant un « service » adopté et souhaité par les patients[3]. Pour allier efficacité et humanité, il est donc urgent de promouvoir, au sein de notre système de protection sociale, un véritable parcours digitalisé du patient.
Sous la forme d'un storyboard, imaginons une brève histoire de l’avenir de la e-santé et projetons-nous en 2030 !
En amont d’une prise en charge :
Le patient Némo, au travers d’une alerte générée par sa montre connectée qui permet un suivi de son rythme cardiaque, indique un risque d’infarctus du myocarde ! Des notifications l’en informent sur différentes interfaces (application mobile, objet connecté lui-même, messagerie électronique...).
Dans le cas où il ne consulterait pas la notification sous un délai paramétré en amont, son « ange gardien numérique », prénommé Raphaëlle, intervient alors pour lui éviter le pire. Raphaëlle est une IA éthique[4] développée par un consortium public-privé. Elle est programmée pour envoyer directement la notification d’alerte à un centre d’appels « médicalisé » où un professionnel de santé. Grâce à son intervention, une infirmière spécialisée ou un assistant de régulation médicale (ARM) peuvent détecter et qualifier le risque de manière très fine, avec l’aide de plateformes multiservices de e-santé comme Anamnèse[5], sous la supervision d’un médecin spécialiste (urgentiste et médecin numérique[6]).
L’ARM de la plate-forme téléphonique santé, faute d’avoir pu joindre le patient directement, prend alors contact avec les services d’urgence (Pompiers/SMUR/SOS médecins : l’intermodalité des services étant depuis longtemps mise en place grâce aux travaux d’interopérabilité des Systèmes d’information SAMU et Pompiers NeXIS) en transmettant les informations d’alerte et déclenchant l’intervention des secours.
Toutes ces innovations ont émergé de l’initiative #TechForRescue de l’association Atraksis[7].
Si Némo est joignable, l’assistant de régulation médicale voit immédiatement, par un appel « augmenté » de type Speakylink[8] (solution de téléconsultation vidéo), son teint blafard et déclenche aussitôt les services d’urgence adéquats en fonction de sa géolocalisation. Les smartphones, en 2030, permettent l’activation forcée de la puce GPS de l’appareil en mode « bris de glace ». Parallèlement, les bons samaritains[9] sont prévenus pour pouvoir prêter assistance aux patients, en attendant l’arrivée des secours.
Au cours de la prise en charge :
Sur le terrain, les équipes de secours Pompiers ou SAMU sont équipées pour transmettre un ECG directement au cardiologue et confirmer, par télédiagnostic, une intervention rapide au bloc, comme une pose de stent ou une chirurgie cardiaque si l’état du patient est jugé trop grave. Grâce à une gestion optimisée des places en temps réel et un déploiement du Répertoire Opérationnel des Ressources (ROR), la structure hospitalière pré-identifiée pour l’intervention est en capacité de préparer, dans des conditions optimales, une prise en charge fluidifiée.
En aval de sa prise en charge :
Némo choisit, à partir à son lit d’hospitalisation, son télésuivi post-op à partir d’une liste de différents prestataires recensés dans le cadre de l’espace numérique de santé (ENS), créé à la suite du programme Ma Santé 2022[10]. Sa décision est éventuellement guidée par la recommandation de son médecin traitant qui utilise une version professionnelle du Bouquet de Services, interconnecté avec le dossier patient informatisé de l’hôpital et en cabinet libéral. En effet, le médecin traitant de Némo est prévenu en quasi-temps réel de son incident cardiaque, et non pas entre 2 à 4 semaines après sa sortie par un courrier papier de l’hôpital ou une semaine si l’établissement avait mis en place la messagerie sécurisée de santé (MSSanté) comme c’était le cas il y a encore quelques années.
Némo peut ainsi retourner sereinement à son domicile et bénéficier de différentes offres de services, notamment la livraison de matériel médical à domicile, effectuée souvent par drone, et éventuellement une aide-ménagère ou de livraison de repas, le temps de sa convalescence. Némo a la chance d’habiter Grenoble et son Conseil départemental lui permet d’accéder à ce service au travers d’Isere@Dom[11].
Autre cas à forte probabilité d’occurrence : les maladies chroniques.
En amont d’une prise en charge :
Après son incident cardiaque et sa récupération, Némo est maintenant insuffisant cardiaque. Ayant souscrit à Vivoptim Solutions[12] , il bénéficie d’un télésuivi par la plate-forme médicalisée à distance de sa mutuelle. Il dispose ainsi d’une prise de contact régulière par son infirmière référente pour qu’il réalise ses exercices physiques, y compris de temps en temps un test rapide de son état de santé psychologique. Comme après le confinement en 2020, son incident cardiaque a sur lui l’effet stressant d’un « choc post-traumatique ».
En phase de prise en charge
Le médecin traitant de Némo peut réaliser une téléconsultation lors des visites de l’infirmière à qui la délégation de tâches permet, notamment, la pose de capteurs pour permettre un ECG de contrôle. Cet ECG est interprété en temps réel, par un algorithme-expert, validé par la Haute Autorité de Santé (HAS). En effet, le matériel utilisé par l’infirmière est bien un dispositif médical (DM), au sens de la réglementation. Némo a eu de la chance lors de son incident cardiaque puisque sa montre connectée n’a pas obtenu le marquage européen CE. Cette société est d’ailleurs en perte de vitesse, car le non-respect de la réglementation des DM[13] lui a coûté très cher : son modèle de montre connectée ne détectant des problèmes cardiaques qu’une fois sur deux, les procès avec les familles de patients décédés ont été le scandale sanitaire de l’année 2030.
Heureusement pour Némo, le cardiologue en téléconsultation est disponible ce jour-là. Il indique à distance à l’infirmière certains gestes pour compléter l’examen clinique. Le cardiologue décide de prescrire les éventuels compléments d’examens comme une écho-cardiaque pour s’assurer que le stent n’a pas bougé, et de modifier l’ordonnance de son patient, transmise directement par e-Prescription dans son dossier médical en ligne qu’il pourra partager avec sa pharmacie de quartier. Cette dernière lui délivrera ensuite le médicament, directement au guichet ou via l’application mobile.
En outre, l’infirmière libérale a la possibilité de lui faire sur place un rappel d’un certain nombre de bonnes pratiques sur le suivi de son régime alimentaire, son activité physique encore trop irrégulière ou bien encore sur les consignes à suivre, en vue de son écho-cardiaque qui l’inquiète un peu (pour l’avoir vu pratiquer, lors de mes études[14] au service de cardiologie du CHU de Grenoble-Alpes, avaler une sonde échographique n’est pas très agréable ! ). C’est son infirmière elle-même en tant que professionnelle de santé qui sollicite le RDV auprès du radiologue selon les disponibilités de Némo, à partir de son application d’agenda partagé professionnel. Némo peut, bien entendu, modifier son rendez-vous en cas d’imprévu. Si l’examen complémentaire est urgent, il est pris en charge directement dans la continuité de son rendez-vous par l’infirmière, avec la réservation d’une ambulance pour faciliter son transport.
Ce parcours montre clairement que la prévention est indispensable.
Némo regrette que les services de suivi de santé au sein de son entreprise auprès de la médecine du travail n’aient pas été mis en place suffisamment tôt pour lui permettre de bénéficier de toutes les actions de prévention. Il aurait été plus facile d’anticiper toute la séquence de soins décrite précédemment.
En effet, identifié comme un profil à risque, Némo aurait pu être orienté depuis plusieurs années vers différents acteurs capables de limiter voire d’endiguer les mauvaises habitudes de vie le conduisant inexorablement vers cet infarctus du myocarde.
Il aurait ainsi pu bénéficier des différentes offres de sa mutuelle santé financée par son employeur et suivre en continu les évolutions des bonnes pratiques recommandées par les instances nationales et internationales, basées sur des preuves scientifiques complémentaires de la médecine personnalisée, préventive, prédictive et participative (Médecine 4P) complétée par les Preuves : la fameuse médecine des 5P !