vendredi 12 mars 2010

Norme ISO 15189 et Informatique des laboratoires d'analyses médicales : le COFRAC interpellé.

Amis Biologistes, bonjour.

Aujourd'hui, vous devriez toutes et tous avoir une copie de la Norme ISO 15189 sur votre bureau encombré et peut-être même sur votre table de chevet. Si vous êtes arrivés jusqu'à la page 32 (édition 2007), vous avez remarqué que l'Annexe B qui concerne le Système d'Information du Laboratoire (SIL) est devenue informative et non plus normative. Certains professionnels s'en sont émus et j'ai le plaisir de reproduire ci-dessous la lettre ouverte que l'un d'entre eux envoie à ce sujet à la section santé humaine du COFRAC . Vos réactions sont très attendues.

Bonne lecture.

GdM
(qui se bat avec son fournisseur de SIL)

"Madame, Monsieur,

J’ai pris connaissance, via le site du COFRAC, du projet de manuel d’accréditation des laboratoires de biologie médicale. Je souhaiterais réagir à travers cette lettre ouverte sur la portée de l’exigence 4.2.4.r relative aux Systèmes d’Information de Laboratoires présentée dans ce document.

Au sein de ce document de travail, l’annexe B de la norme ISO15189 est en effet présentée
comme « informative » et contenant des recommandations « que le LBM peut choisir d’appliquer ». Cette position, aux antipodes des ambitions originelles de la norme,qui présente au contraire l’annexe B comme « normative », me semble regrettable pour plusieurs raisons que je détaillerai ci-dessous après une brève remise en contexte.

Auditeur informatique expérimenté, mon premier contact avec la norme ISO15189 remonte à l’automne dernier lors d’une mission d’audit de sécurité que j’ai eu le plaisir de conduire sur les Systèmes Informatiques de Laboratoire d’un grand établissement hospitalier du Sud-Ouest de la France. A cette occasion, j’ai pu constater l’imbrication étroite (et qui n’ira qu’en grandissant dans les années à venir) entre le métier de la biologie médicale et l’informatique. J’ai également constaté avec une certaine satisfaction que les problématiques de contrôle interne informatique contenues dans l’annexe B constituaient un premier pas pour assurer la sécurité de l’information biologique et médicale sous quatre critères :

* Disponibilité : il s'agit, via les recommandations relatives à l’environnement(annexe B2), la récupération et le stockage des données (B6), la maintenance du système (B8), d’assurer que les informations biologiques et médicales relatives au patient seront disponibles en tout temps, y compris aux moments critiques de la vie, afin d'améliorer la qualité des soins.

*Intégrité : il s’agit, via les recommandations relatives à la sécurité du système(annexe B4), d’assurer la sécurité du patient en faisant en sorte que les informations biologiques et médicales le concernant ne seront pas susceptibles d’être altérées de façon accidentelle ou frauduleuse.

*Confidentialité : il s'agit, là encore via les recommandations relatives à la sécurité du système (annexe B4), d'assurer que la transmission des informations biologiques et médicales relatives au patient respectera son droit à la vie privée et à la dignité.

*Traçabilité : il s’agit, via les recommandations relatives à la saisie des données et enregistrements (annexe B5), d’assurer la sécurité des patients en pouvant établir formellement les responsabilités de chaque utilisateur dans la création / modification / suppression des informations biologiques et médicales.

A travers cette analyse de risques sommaire, on s’aperçoit donc que les risques associés à un Système d’Information de Santé non-maîtrisé et non-sécurisé peuvent dans certains cas mettre en danger la vie du patient : l’affaire des sur-irradiés d’Epinal nous en a malheureusement montré la preuve.

L’on m’objectera que l’annexe B est lourde (4 pages sur 40 consacrées à l’informatique contre une-demi dans le GBEA), que sa mise en oeuvre, ajoutée à celle du SMQ, est contraignante et dispendieuse, et que les contrôles mis en oeuvre seront de surcroît difficilement évaluables par des non-spécialistes en audit informatique.

Certainement, une partie de ces arguments est recevable : certaines recommandations sont ainsi sans doute exagérément détaillées (cf annexe B5 : saisie des données et enregistrements). D’autres dispositions, qui relèvent pourtant du bon sens le plus élémentaire, n’en apparaissent dès lors que plus étonnamment absentes (ex : aucune recommandation sur l’équipement antiviral des postes de travail afin de protéger le laboratoire d’attaques malveillantes).

Pour autant, peut-on, à l’heure où la cybercriminalité explose à travers le monde, écarter d’un revers de manche un ensemble de bonnes pratiques sous le seul prétexte qu’elles sont trop complexes à mettre en oeuvre, en particulier dans les petites structures ? Le nivellement par le bas est-il une stratégie acceptable dès lors que la santé publique est directement en jeu ?

Malgré leurs défauts et leurs insuffisances, nous serons tous d’accord pour reconnaître que les recommandations de l’annexe B nous interpellent sur des questions de fond, voire stratégiques pour les directeurs de laboratoire : comment assurer la continuité de mon activité en cas de sinistre ? Comment prévenir les risques de fraude ? Comment éviter de commettre des erreurs de diagnostic ?...

Pour toutes ces raisons, l’annexe B doit retrouver au sein du manuel d’accréditation COFRAC le statut normatif que lui confère originellement l’ISO15189. Montrons-nous donc à la hauteur des enjeux de la réforme de la biologie médicale française en fixant des objectifs ambitieux pour 2016 : pour cela, penchons-nous dès aujourd’hui sur chacune des recommandations contenues dans l’annexe et procédons à une analyse de risques approfondie sur la base des grandes lignes exposées ci-dessus, afin de n’extraire de ce document que la substantifique moelle. Ce travail, mené dans le cadre
d’une commission ad-hoc, associant des membres des différents collèges, permettra de :

* mieux cerner les risques associés à une non-conformité,
* d’apprécier pour chaque risque leur niveau d’acceptabilité,
* de déterminer pour chaque risque la meilleure stratégie à adopter dans le cadre de l’accréditation des laboratoires (recommandation normative ou informative).

L’intérêt du patient, « but unique » voulu par le rapport Ballereau, est à ce prix !

Rémi BOURDOT

Consultant
Diplômé de l’Institut d’Etudes Politiques de Paris
Certifié Information Systems Auditor (CISA)par l’ISACA
Certifié Information Systems Security Professional (CISSP) par l’(ISC)²
Membre de l’Association Française des Auditeurs Informatiques (AFAI)

5 commentaires:

Alain a dit…

Bonjour,
Beau courrier, peu accessible au biologiste de base et qui ne fait que conforter la perception d'immense complexité de la norme ISO 15189 et de son application.
Tout le monde a t il acheté sa norme ?
Si oui, je vous invite à consulter sur le site du COFRAC dans la partie documents en ligne ce qui concerne la santé humaine. (http://www.cofrac.fr/fr/documentation/ficn.mpi?s1=DOCSANTHUM&repbase=Documentation%20sp%e9cifique%5C5.%20Sant%e9%20Humaine%5C)
Je vous laisse juge, amis biologistes de base de ce qui nous attend...
Et j'espère des réactions.

GdM a dit…

@ Alain :

Je ne suis pas d'accord, il n'y a pas de biologiste "de base" et encore moins de biologiste de "sommet", il ya des biologistes plus ou moins spécialisés...et donc le salut devrait passer par l'union et la collaboration des biologistes...
M. Bourdot insiste sur un point qui me paraît également primordial celui des flux de données qui traversent le laboratoires et c'est de la gestion de ce flux que va émerger le nouveau paradigme de la biologie. A long terme, le biologiste pourrait devenir "spécialiste des données de diagnostic". Mais ça c'est un autre sujet que je compte bien développer plus tard...

Alain a dit…

Ce que je veux dire, c'est que c'est encore une couche de plus à gérer.
M. Bourdot évoque la difficulté, la complexité de la préservation de la disponibilité, de l'intégrité, de la confidentialité et de la traçabilité des données informatiques. Et pose des questions simples à la fin de son propos sur la continuité de l'activité en cas de sinistre, sur la prévention du risque de fraude et d'erreurs de diagnostic.
Tout cela est évidemment essentiel au fonctionnement de l'entreprise et tout responsable de quelque entreprise que ce soit se doit de gérer ces risques aujourd'hui, norme ISO 15189 ou pas. Il a raison de dire que la norme ne doit pas éviter ces problèmes mais doit inciter chacun à les gérer le mieux possible.
Les SSII, qui nous vendent des systèmes informatiques relativement fermés sont aussi convaincues de l'importance de ces problèmes. N'est ce pas à elles de nous donner toutes les preuves de l'inviolabilité et de la haute sécurité de nos logiciels et bases de données ? Attention, je ne mesestime pas non plus notre part de responsabilité en tant qu'utilisateur et les procédures mises en place au sein du labo essayent de minimiser au maxi le risque d'erreur de saisie ou de traitement des données.
A ce jour avons nous vraiment les moyens de "apprécier pour chaque risque leur niveau d’acceptabilité,* de déterminer pour chaque risque la meilleure stratégie à adopter dans le cadre de l’accréditation des laboratoires " ?

GdM a dit…

@ Alain :

Vous avez raison, au moment où je mettais en ligne le courrier de M. Bourdot (qui a reçu une réponse du COFRAC) j'ai immédiatement pensé à la réticence des biologistes de se lancer dans une voie importante mais...supplémentaire. Il faut également lire entre les lignes, M. Bourdot fait émerger dans ce courrier un besoin auquel il peut répondre.

citoyen a dit…

ce monsieur prêche pour sa paroisse. moi aussi j'étais auditeur et le problème de la sécurité informatique peut aller très très loin. Ce monsieur va peut être demandé un plan de secours à tous les labos!!!!! avec tous les problème qui vont avec. trop de qualité tue la qualité!

d'une manière générale comment nos gouvernants peuvent dire tout et son contraire? dans un cas, on nous dit qu'il faut ouvrir les secteur monopolistiques à la concurrence et dans le cadre des lABM, ils veulent nous imposer des structures quasi-monopolistique! les fondements sont très simple à comprendre. peut-etre pas pour le simple citoyen, le bilogiste de base mais aussi l'informaticien de base.