Ce canton de montagne atteint de nouveaux sommets: à Coire, l’hôpital cantonal des Grisons a prouvé que l’informatique n’est pas en reste sur la technologie de pointe en construisant un système d’information clinique sur le cloud public. Mais qu’en est-il de la protection des données?
Depuis les fenêtres de l’hôpital cantonal des Grisons (KSGR), à Coire, la vue s’ouvre sur les sommets du massif du Calanda. Face à cet imposant paysage montagneux, il n’est pas besoin d’une grande imagination pour comprendre pourquoi cette région est appréciée autant des randonneurs que des skieurs. L’air de la montagne est bon pour la santé; et de toute évidence, il favorise la créativité. On ne le constate pas seulement par le grand nombre d’artistes célèbres originaires des Grisons ou installés ici, mais jusqu’aux bureaux d’informatique hospitalière, où un projet innovant est en train de voir le jour.
Martin Pfund, CIO de l’hôpital, entreprend des projets innovants grâce à un système d’information clinique (SIC) sur le cloud. Si les alpinistes n’apprécient guère les nuages, le responsable de l’informatique y voit l’avenir de l’informatique hospitalière. «Pour moi, le cloud est un pilier de la transformation numérique», souligne-t-il.
Un SIC sur le cloud public
Avec ses projets, Martin Pfund souhaite atteindre les mêmes hauteurs que les sommets du canton. Un Proof of Concept (PoC) vient de lui permettre de prouver qu’il est possible d’exploiter un système d’information clinique (SIC) sur le cloud – et plus précisément sur le cloud public de Microsoft Azure. Pour ce faire, une version cloud native du SIC de CompuGroup Medical (CGM), un système moderne s’appuyant sur des technologies cloud de pointe, est utilisée.
Une solution ultramoderne, cela ne fait aucun doute. Cependant, stocker les données extrêmement sensibles des patients sur le cloud public semble aussi tentant, du point de vue de la sécurité, qu’un éboulement imminent. Certes, l’infrastructure cloud elle-même est mieux protégée contre les cyberattaques que la plupart des installations sur site. Mais comment garantir la protection des données sur le cloud public? «Bien sûr, la protection des données était l’obstacle majeur du projet», admet Martin Pfund sans détour.
«Protéger les solutions cloud SaaS avec un modèle «Bring your own encryption» comme le CASB d’e3, Centraya, nécessite un équilibre entre protection et fonctionnalité. Concernant le cryptage, il y a aussi toujours une part de scepticisme, auquel il est important de répondre. Le PoC a permis de surmonter ces deux aspects.»
Thomas Fürling, CEO d’e3
La solution consiste à stocker les informations sensibles de manière illisible dans le cloud. Afin de répondre aux exigences en matière de protection des données, ces informations sont cryptées sur une passerelle du fournisseur de sécurité suisse e3 avant être stockées dans le cloud. Si cettes données tombent entre les mains d’un tiers non autorisé, ce dernier ne peut pas en faire grand-chose, et encore moins tirer des conclusions sur les informations personnelles des patients. «Cela nous permet de garantir un traitement responsable des données des patients», souligne Martin Pfund.
Crypter les informations sensibles lors de la sauvegarde ne suffit toutefois pas, ajoute-t-il. «Il ressort clairement des directives du Préposé fédéral à la protection des données (PFPDT) qu’il nous revient de gérer la clé de cryptage des données, et non au fournisseur du cloud.» En d’autres termes, ni Microsoft, en tant qu’exploitant de l’environnement cloud, ni CGM ne peuvent lire les données sensibles sur leur logiciel SIC. Toute personne ayant accès aux données des patients en dehors de l’hôpital cantonal des Grisons (KSGR) ne reçoit aucune information utile. Le cryptage sert en quelque sorte de «bambois» et protège alors des fuites de données et des accès indésirables.
«SIC as a Service», une première (européenne)
Avec un SIC basé sur le cloud, Martin Pfund s’aventure en terre inconnue. Un jour peut-être, les brochures touristiques mentionneront non seulement que le canton des Grisons abrite la ville la plus haute d’Europe, Davos (1560 mètres d’altitude), mais aussi qu’on y utilise le premier «SIC as a Service» basé sur le cloud public d’Europe.
Mais pourquoi cet esprit pionnier est-il apparu au KSGR? «La pénurie de main-d’œuvre qualifiée en informatique est l’un des moteurs de ce projet», explique Martin Pfund. «Pour l’approvisionnement en soins décentralisé dans le canton des Grisons, vu le grand nombre d’hôpitaux régionaux du fait de la topographie, avoir une base commune pour les SIC individuels permet de réduire la charge de travail informatique» – notamment parce que cela permet aux rares professionnels de l’informatique de ne pas avoir en plus à s’occuper de l’exploitation de l’infrastructure. Cette tâche revient aux différents partenaires du projet. Ainsi, si quelqu’un doit se rendre à l’hôpital dans la ville la plus haute d’Europe, selon les plans de Martin Pfund, les données des patients seront saisies dans une infrastructure similaire à celle utilisée à Coire, près de 1000 mètres plus bas.
Mais un SIC identique dans tous les hôpitaux permet aussi de faciliter le travail du personnel. «Du fait de la pénurie de main-d’œuvre qualifiée, l’échange de spécialistes entre les différents sites va augmenter», déclare Martin Pfund. «Et qu’ils puissent travailler partout avec le même système familier est un avantage.»
Un pas dans la bonne direction
Bien sûr, le cloud simplifie une telle collaboration entre les différents hôpitaux. Martin Pfund souligne que la compatibilité du SIC joue également un rôle important: «Avec le cloud, nous avons trouvé une approche qui permet à tous les hôpitaux de travailler sur la même plateforme, tout en préservant leur indépendance et en utilisant les fonctions du SIC qui sont importantes pour eux».
«Nous sommes très heureux que l’hôpital cantonal des Grisons, pionnier du système de santé suisse, ait testé avec succès le système d’information clinique (SIC) de CGM lors d’un PoC sur le cloud de Microsoft Azure. Ce PoC précurseur, «CGM on Azure», a été mis en œuvre en collaboration avec nos partenaires Swisscom, CGM et e3 et constitue une étape importante pour Microsoft Suisse. Il encourage l’innovation et le progrès technologique dans le secteur de la santé et répond aux exigences les plus élevées du Microsoft Swiss Data Center en matière de conformité et de protection des données. Cette solution compatible et évolutive sans cycles de vie d’infrastructure offre au KSGR des exigences de sécurité et une flexibilité optimales, l’accent étant mis sur une meilleure prise en charge des patients. La mise en œuvre finale contribuerait de manière significative à la numérisation du secteur de la santé en Suisse.»
Denise Richard, Account Executive & Public Sector Industry Lead Health, Microsoft Suisse
Ce modèle n’est pas sans rappeler ceux de stations de ski à proximité: celles-ci se sont en partie regroupées afin de proposer une offre plus attrayante à la clientèle. Et tout le monde en profite. L’architecture développée par les architectes du cloud de Swisscom en collaboration avec le KSGR offre, en quelque sorte, le maximum à tous. Les hôpitaux régionaux bénéficient d’une plus grande gamme de fonctionnalités avec le SIC, ce qui ne serait guère rentable en tant que solution individuelle. Et la rentabilité est clairement un facteur, comme le souligne Martin Pfund: «En gérant correctement le cloud et en n’utilisant que les ressources dont nous avons réellement besoin, nous réaliserons des économies par rapport aux solutions sur site».
Cela signifie par exemple arrêter des systèmes de test et de développement du jour au lendemain, mais aussi augmenter les ressources aux périodes de pointe. L’évolutivité est l’un des avantages du cloud qui a rendu cette architecture populaire.
Le chemin à parcourir pour parvenir au Proof of concept a toutefois été long et difficile. «Nous avons clairement ressenti une pression sur ce projet prometteur», admet Martin Pfund. «Le partenariat avec Swisscom nous a grandement facilité la tâche. Les deux parties ont su reconnaître le potentiel de ce projet.» Cet esprit pionnier a été soutenu par le courage, la persévérance et le pragmatisme des participants – les mêmes qualités dont ont eu besoin les alpinistes qui ont gravi le massif du Calanda il y a près de 500 ans, lors de la première ascension à avoir été documentée.
«On parle beaucoup des applications sur le cloud, mais pas encore dans tous les secteurs. Dans celui de la santé en particulier, il y a des réserves sur la sécurité et la disponibilité des données. Ce sont précisément ces aspects qui ont pu être résolus par le PoC. Swisscom a mis à profit son expertise dans d’autres secteurs, comme le secteur bancaire, pour mener le projet à bien. Swisscom donne ainsi une impulsion importante à la numérisation du secteur médical et confirme son rôle de partenaire pour les prestataires de santé.»
Christian Westerhoff, Head Vertical Healthcare, Swisscom
Azure Consulting: sur le cloud avec les expert(e)s Swisscom
Une bonne planification est indispensable à la réussite d’une stratégie cloud. Nos spécialistes vous conseillent sur la planification, la mise en œuvre et l’exploitation de solutions avec Microsoft Azure – et préparent votre informatique pour l’avenir.