Hôpitaux: cloud ou pas cloud?

Les hôpitaux sont confrontés à une inflation sans précédent des données. “Les progrès de l’imagerie, notamment, entraînent le traitement et le stockage de fichiers de plus en plus lourds”, relève Pierre Jacmin, CIO du Grand Hôpital de Charleroi. Pour Elena Bonfiglioli, Senior Director Health Industry de Microsoft, “le cloud est la meilleure façon de protéger les données hospitalières et d’en assurer l’accessibilité optimale”. L’informatique médicale se trouve à un tournant, assurent-ils en chœur.

Dossiers patients, radios, scanners, IRM: le Grand Hôpital de Charleroi (GHC) stocke actuellement environ 250 terabytes de données. Pour donner un ordre de grandeur, un terabyte (TB) représente 1012 bytes, ou 1.000 gigabytes. Une quantité dont l’augmentation constante pose un véritable défi technologique. D’autant que les données d’origine hospitalière, particulièrement sensibles, sont soumises à des règles et à des contraintes spécifiques. Ainsi, en théorie, un dossier médical ne doit pas sortir de l’enceinte physique du bâtiment ou des bâtiments assimilables à l’hôpital.

Au GHC, les services internes réalisent l’essentiel de la gestion des systèmes, des serveurs et du stockage. “Mais nous réfléchissons intensément à sous-traiter un peu plus, notamment parce qu’il est très difficile de recruter du personnel hautement qualifié”, reconnaît Pierre Jacmin, directeur du département Technologie et systèmes d’informations et du département Infrastructures du Grand Hôpital de Charleroi. “Et le projet de construction d’un nouvel hôpital, à l’horizon 2022, pose la question: prévoit-on deux centres de données distincts, comme dans les bâtiments actuels, ou part-on du principe qu’on recourra à une solution externe, comme le cloud? Il faut que nous chiffrions chaque option, en tenant compte des gains de surface, des coûts de gestion/exploitation, de personnel, etc. »

Du côté des spécialistes du cloud, comme Elena Bonfiglioli, Senior Director Health Industry de Microsoft, on assure que les données y sont plus faciles à protéger que dans les locaux ‘physiques’ de l’hôpital: « Un sous-sol peut être inondé, les supports détruits. Alors qu’un cloud comme le nôtre, du fait de sa technologie avancée et des standards internationaux auxquels il se conforme, est une solution bien plus sûre et plus souple. » La société américaine revendique d’être le premier opérateur global disposant de la certification ISO/IEC 27018, le premier standard mondial sur la protection des données dans le cloud. Elle est également certifiée ISO/IEC 27001, attestant du respect des conditions les plus strictes en matière de sécurité de l’information.

Données à conserver jusqu’en… 2045

La loi stipule aussi que les donnés médicales doivent être conservées 30 ans après le dernier contact avec le patient, celles concernant l’imagerie et la facturation, 10 ans. Mais toutes ne nécessitent pas un accès rapide. Au sein du GHC, la Commission d’information médicale, composée du CIO, du président du conseil médical et de plusieurs chefs de service, se prononce sur les durées de conservation et sur les temps d’accès à respecter. « Là, tout est possible mais c’est une question de moyens”, affirme Pierre Jacmin. “Depuis quelques années, notre budget informatique annuel s’élève à € 3 millions, pour un chiffre d’affaires de € 350 millions. Il nous en faudrait 5 pour ne pas travailler sous contrainte. »

Le projet de construction d’un nouvel hôpital, à l’horizon 2022, pose la question: prévoit-on deux centres de données distincts, comme dans les bâtiments actuels, ou part-on du principe qu’on recourra à une solution externe, comme le cloud? Pierre Jacmin, directeur du département Technologie et systèmes d’informations du Grand Hôpital de Charleroi

Par ailleurs, au sein de la masse énorme des informations d’origine hospitalière, toutes les données ne sont pas sensibles. « La ‘gouvernance des données’ permet de distinguer les catégories”, détaille Elena Bonfiglioli. “Par exemple, pour l’imagerie, certaines données permettent d’identifier le patient, d’autres non: à nous de proposer un stockage adapté. Par exemple, une partie dans le cloud public, l’autre dans le cloud hybride, dont une partie peut rester sur des serveurs locaux. Ce dernier peut être une solution pour apprivoiser le fonctionnement du cloud. »

Cette question de la sécurité des données est aussi la première préoccupation du service de Pierre Jacmin. La politique d’accès aux données en témoigne: « Nous sommes très stricts sur le principe ‘un utilisateur, un login, un mot de passe’. On sait toujours qui a accédé à quelle partie d’un dossier, à quel moment, si c’était en lecture ou en modification. Tout abus constitue une faute grave et conduit au licenciement de la personne concernée. » Les accès physiques aux machines et serveurs sont également très protégés par des badges d’identification et des clés spéciales. Le personnel a été sensibilisé lors de sessions de formation et d’information spécifiques.

Ne pas négliger le facteur humain

Car les données ne sont qu’une composante de la sécurité: d’autres facteurs peuvent être pris en défaut. Chez Microsoft, on cite une enquête menée en Grande-Bretagne, en Allemagne , en France et en Italie par le Ponemon Institute sur le “Cost of Data Breach”, montrant que les atteintes à la protection des données sensibles sont, dans 40% à 60% des cas, causées par de la négligence, des erreurs humaines, une utilisation erronée. Le recours à un cloud bien configuré limiterait considérablement ces risques. A niveau médical, les bénéfices sont également très clairs. Notamment grâce à une transmission d’information fluidifiée, cruciale pour éviter les « événements critiques » (sentinel events), on pourrait éviter jusqu’à 70% d’accidentsComme par exemple lors despériodes de changements d’équipes, de vacances, de week-ends: la transmission d’informations cruciales peut être interrompue, avec des conséquences qui peuvent être dramatiques pour le patient.

Le cloud permet un accès sécurisé 24/24 et 7/7, même en cas de catastrophe naturelle. Et la santé publique y gagne elle aussi. Elena Bonfiglioli, Senior Director Health Industry de Microsoft

« Le cloud résout ce type de problème, avec des accès configurés pour chaque profil d’utilisateur, des données cryptées, des processus d’autorisation et d’authentification”, témoigne Elena Bonfiglioli. “Les données sont dans un environnement de surveillance permanente. C’est pourquoi nous tenons aussi compte des aspects humains, des appareils et terminaux, du système d’exploitation, des logiciels, des applications: eux aussi doivent être parfaitement sécurisés. C’est ce qu’on appelle ‘end to end trust’ « , créant une véritable approche sécurisée du cloud en matière de données de santé.

Quant aux patients, ils sont de plus en plus conscients des enjeux. « Lorsqu’on leur demande de s’inscrire au Réseau Santé wallon (plateforme sécurisée d’échange de données médicales, ndlr), ils posent des questions, veulent savoir à quoi ils s’engagent », constate Pierre Jacmin.

Plus largement, la question du stockage et de l’accès sécurisé se posera de plus en plus, puisque la quantité de données hospitalières et médicales au sens plus large du terme, va être multipliée par 50 dans les 8-10 ans à venir – notamment à cause de l’explosion de l’imagerie, cruciale pour le diagnostic. Le coût de gestion peut devenir énorme. « Le cloud autorise un accès sécurisé 24/24 et 7/7,à travers différentes organisations, équipes médicales et même en cas de catastrophe naturelle”, reprend Elena Bonfiglioli.

“Et la santé publique y gagne elle aussi: en permettant un accès sélectif à des millions de données, on peut améliorer la qualité de la prise en charge, en diminuer le coût, et donc contribuer à pérenniser le système de santé. Imaginez que l’on puisse comparer les données anonymisées de centaines de milliers de patients atteints d’une maladie. Il sera beaucoup plus facile de détecter des tendances, de déterminer quels traitements sont efficaces. A nous de convaincre nos clients.”

Découvrez ce que Microsoft Azure peut vous apporter.