- Contexte normatif et sectoriel
Depuis plusieurs années, la continuité et la qualité des soins reposent de plus en plus sur les systèmes d’informations. La sécurité de ces systèmes, et souvent des informations de santé personnelles, est devenue un enjeu crucial notamment en raison de l’augmentation de leur traitement informatique et du nombre d’échanges entre professionnels.
La norme internationale ISO 27799:2008 (“Gestion de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002″) parue en juin dernier, propose des recommandations pour la mise en oeuvre de mesures de sécurité adaptées aux organisations de soins et autres dépositaires de données personnelles de santé. Elle peut donc intéresser des établissements de soins, des réseaux de santé ou des hébergeurs.
C’est pendant l’année 2002 qu’un groupe de travail Australien a proposé l’adaptation de la norme ISO 17799:2000 au domaine de la santé, cette norme étant à l’origine de l’ISO 27002.
Le lancement du projet de norme 27799 n’a donc pas attendu, comme l’ai souvent lu sur le Web, l’avènement des projets Google Health ou Microsoft Healthvault ; d’autant qu’un projet de norme ISO met généralement au moins quatre ans avant d’arriver au stade publication.
Le référentiel ISO 27799 a été créé pour répondre aux exigences de sécurité des informations de santé et finalement pour répondre aux objectifs liés à la prise en charge du patient : assurer sa sécurité, le respect de sa vie privée et l’efficacité des soins médicaux qui lui sont apportés.
La norme reprend les critères classiques “DICA” (Disponibilité, Intégrité, Confidentialité et Auditabilité) comme les objectifs majeurs en matière de protection des informations de santé, et ce quelle que soit la taille, le mode de fonctionnement ou la localisation de l’organisation concernée.
En théorie, et par exemple en France, cette norme peut donc être mise en œuvre par des hébergeurs nationaux du Dossier Médical Personnel ou par un hôpital local.
NB: l’intégrité des informations n’étant pas synonyme de qualité de ces dernières, tout objectif d’assurance qualité des données (à protéger) a été logiquement exclu du domaine d’application de cette norme.
Comme son nom l’indique, la 27799 s’appuie sur un autre référentiel normatif, l’ISO 27002:2005, qui est un “catalogue” de bonnes pratiques en matière de sécurité des informations. Lorsque l’on utilise l’ISO 27002 seule, l’implémentation de ses mesures de sécurité reste facultative: on sélectionne celles qui correspondent aux actifs et risques préalablement identifiés.
Certaines mesures de l’ISO 27002 ont été jugées essentielles dans le domaine de la santé. C’est pourquoi l’ISO 27799 reprend plusieurs dispositions, parmi les 11 thèmes de l’ISO 27002, afin de les rendre obligatoires ou d’en préciser la mise en oeuvre. l’ISO 27799 ajoute par ailleurs des objectifs non présents dans la 27002.
La norme ISO 27001:2005, qui décrit la façon d’opérer un Système de Management de la Sécurité des Informations (SMSI), bien que non indispensable (malheureusement) à la mise en place des dispositions de l’ISO 27799, y est citée notamment pour ses principes d’amélioration continue de la sécurité. J’y reviendrai dans la suite de ce (long) billet.
NB: contrairement à une idée reçue, la seule mise en oeuvre de la norme ISO 27002 ou ISO 27799 ne peut pas faire l’objet d’une certification ! C’est la vérification de conformité à la norme 27001 qui peut être effectuée, et ce par un audit du système complet de management : audit de certification du SMSI.
Enfin, il faut rappeler qu’en France le GMSIH avait retenu l’ISO 27799 (à l’époque encore au stade pré-norme) dans l’étude pour l’élaboration de la déclinaison du référentiel général d’interopérabilité (RGI) et la démarche d’élaboration des référentiels de Santé (thème n°5 “Sécurité”).
- Organisation du document
Les chapitres 1 et 2 comprennent l’introduction, quelques généralités et les références normatives (en fait une seule, l’ISO 27002).
Le vocabulaire et les termes spécifiques sont explicités dans les chapitres 3 et 4, quant au chapitre 5, il précise les notions de sécurité de l’information de santé.
La “substantifique moelle” se trouve finalement dans les deux chapitres suivants : le chapitre 6, qui décrit la mise en pratique de l’ISO 27002 et le chapitre 7 qui liste les mesures de sécurité essentielles pour le domaine de la santé.
Trois annexes informatives (A à C) clôturent le document :
La première décrit les menaces générales pesant sur les informations de santé, la seconde décrit les activités et documents propres au SMSI et la dernière énumère quelques avantages à tirer d’un outillage pour la mise en œuvre de la norme (élaboration de bases de données pour l’analyse de risques ou la gestion de la déclaration d’applicabilité, etc.)
- Premier constat
La norme est intéressante pour ses préconisations quant au contexte de mise en œuvre: gouvernance mixte médical/administratif (forum de management ISMF, etc.) et sur les adaptations d’implémentation des mesures de sécurité.
Mais à part celà, je me dit qu’ils auraient pu l’intituler “ISO 27001 pour les nuls …du monde de la santé”.
En effet, pourquoi ainsi faire du cycle d’amélioration continue et de l’appréciation des risques une simple redite informative de ce qui déjà décrit, imposé et appliqué dans d’autres domaines avec la norme ISO 27001 ?
Pourtant, nombre de DSIO ou RSSI d’hôpitaux et cliniques sont capables de mettre en oeuvre la 27001 et de façon tout à fait optimisée à leur contexte !
PS: je suis déçu de la traduction française, car elle est approximative et discutable à de nombreux endroits du document, par ailleurs quelques coquilles grammaticales et orthographiques subsistent. Cela peut sembler un peu mesquin, mais pour une norme internationale à 168 euros les 63 pages, on peut s’attendre à un minimum de rigueur. Je conseille donc d’opter directement (ou en cas de doute) pour la version écrite dans la langue de Shakespeare.
La suite dans le prochain billet…