En 2017, en plus de 37 projets stratégiques et d'une dizaine de projets tactiques, la Direction des systèmes d'information du CHUV (DSI) a dû changer ses méthodes de défense informatique, afin de faire face à l'arrivée d'un nouveau type d'attaques cybercriminelles.
Pas moins de 17 projets ont été lancés cette année. La DSI a modifié son organisation avec efficacité afin de pouvoir être plus réactive et piloter le nombre croissant de projets qui lui incombe.
Créé en 2016 dans le but d’autoriser et de prioriser le lancement des projets stratégiques de la Direction des systèmes d'information de l'hôpital (DSI), le Comité du Système d’information du CHUV (COSI) s’est réuni à trois reprises en 2017. Ses membres ont formellement autorisé le démarrage de 17 projets et quatre études.
Durant la même période, 16 projets se sont terminés avec succès par une mise en service de systèmes d’information. Trois roadmaps (programmes généraux de projets) ont également été validées en 2017: ERP Qualiac, e-Health et Imagerie médicale.
Parmi les réalisations marquantes de la DSI en 2017, on peut mettre en évidence:
Le portefeuille des projets de la DSI comprend en moyenne 37 projets stratégiques, ainsi qu’une dizaine de projets tactiques (changements de version de logiciels, remplacements de matériel informatique, projets internes à la DSI…).
Le déploiement des prescriptions à tous les départements du CHUV permet désormais un meilleur suivi des patients.
En 2017, le déploiement du système de prescription généralisée, intégré au dossier patient informatisé nommé Soarian, a de nouveau fait partie des priorités principales de la Direction des systèmes d’information. Ce système, qui inclut les ordres de prescription médicamenteuse, d’examens de laboratoire, de radiologie ainsi que les demandes de consultance interne, a été déployé à un rythme soutenu tout au long de l’année, en particulier en psychiatrie, en chirurgie et aux Urgences. A la fin de l’année 2017, plus de 2’000 patients et patientes du CHUV bénéficiaient quotidiennement de ces prescriptions électroniques qui permettent une prise en charge sans papier.
450’000 accès au dossier patient
7’500 documentations ou révisions d’allergies
45’000 notes cliniques
175’000 ordres (médicament, infirmiers et infirmières…)
750’000 évaluations cliniques
60’000 lettres de sortie
185 attaques
1800 virus filtrés
15 tentatives de hacking
...
Le nombre croissant d'attaques informatiques et de logiciels malveillants ainsi que la digitalisation toujours plus grande de nos processus accroissent notre exposition aux risques cybercriminels. La sécurité informatique est donc devenue une préoccupation de premier plan.
2017 marque un tournant dans le domaine de la cybersécurité avec l’arrivée sur le devant de la scène des logiciels malveillants, et notamment des ransomwares. Avec la médiatisation importante de la cyber attaque mondiale Wannacry, le grand public a découvert les effets dévastateurs de ces logiciels, notamment dans les hôpitaux numériques.
Issu d’un croisement entre un ver informatique (logiciel qui se propage automatiquement d’un ordinateur à l’autre au travers d’un réseau) et d’un ransomware (logiciel qui prend les données des utilisateurs en otage en chiffrant celles-ci), Wannacry a connu un déploiement très rapide avec des effets dévastateurs.
L’attaque a débuté le vendredi 12 mai 2017 en Angleterre et en Espagne. En quelques heures, plus de 100'000 ordinateurs étaient infectés, entraînant des perturbations majeures dans plus de 50 hôpitaux de la NHS britannique (soit 20% du système de santé).
Au CHUV, la grande majorité des postes de travail (plus de 90%) étaient déjà protégés contre cette attaque, qui utilisait des vulnérabilités récemment découvertes.
Au cours du week-end du 13 mai, de nombreux échanges entre les personnes mobilisées de la DSI ont permis de comprendre le phénomène et de mettre en place des mesures de surveillance et de protection.
Aucune infection n’a été constatée sur les équipements informatiques du CHUV, mais depuis cet épisode, la vigilance reste importante.
Dans le monde de la sécurité informatique, cette mise en lumière a provoqué un changement des méthodes de lutte contre ces logiciels malveillants. Par analogie avec la sécurité physique, l’ancienne méthode consistait à augmenter sans cesse la hauteur des murs de la forteresse pour empêcher les ennemis de pénétrer, en ajoutant des contraintes aux habitants. Les nouvelles tendances vont vers la mise en place de mesures de surveillance efficaces et d’équipes d’interventions rapides.
Dans cet esprit, au cours de l'année 2017, la DSI CHUV a déployé un système de surveillance du réseau informatique interne permettant de détecter le trafic des logiciels malveillants, puis d’alerter immédiatement en cas de compromission. L’antivirus a été également renforcé par un module permettant une observation automatique du comportement des documents douteux lors de leur ouverture.
Au-delà d'un impératif général de vigilance, les collaborateurs et collaboratrices du CHUV ont reçu quelques conseils pour la sécurité informatique:
Mais aussi efficaces qu’elles soient, toutes ces techniques ne dispensent pas les utilisateurs de faire preuve de vigilance. Aujourd’hui, des nouvelles formes d’arnaques réapparaissent, facilitées par la simplicité de collecte d’informations sur les personnes. Avec la multiplication des réseaux sociaux et du partage d’informations, nous laissons de plus en plus de traces numériques. Toutes ces informations sont facilement exploitées pour monter des scénarii d’attaques toujours plus sophistiqués. C'est pourquoi la DSI a initié un programme de sensibilisation des utilisateurs pour faire face à ces nouveaux dangers (voir encadré).
En 2017, la cybersécurité est donc devenue une des préoccupations majeures de la Direction des systèmes d’information du CHUV et le restera pour les prochaines années.
La sécurité informatique ne se résume pas à la lutte contre la cybercriminalité. D’autres évènements indésirables sont susceptibles de générer des dysfonctionnements informatiques.
Après la mise en place du dossier patient Soarian, la Direction des systèmes d'information du CHUV a lancé une initiative visant à renforcer la fiabilité de l’infrastructure informatique de l’hôpital. Ce projet a permis la mise en place, en 2017, d’une salle machine virtuelle répartie dans deux emplacements physiques distincts. L’objectif est d’avoir une infrastructure plus résiliente face aux pannes et aux interventions de maintenance préventives.
Une analyse des risques informatiques a été menée par la DSI début 2017: elle a permis d’identifier les faiblesses et risques principaux et de construire un plan d’action pour les réduire. Cette opération a permis de déterminer les actions à mettre en priorité dans le domaine de la sécurité informatique. De plus, dans les projets informatiques, une analyse d’impact sur la sécurité est maintenant systématisée afin d’anticiper des problèmes lors de la mise en service du projet.
Le e-recrutement a été un des principaux chantiers de transformation numérique des ressources humaines cette année. Grâce à la mise en place de notre nouvelle plateforme et à la centralisation du process, nous avons pu améliorer notre efficacité et diminuer nos coûts.
L’objectif du projet e-Recrutement était de doter le CHUV d'une plateforme de recrutement afin d'automatiser, centraliser, optimiser et uniformiser le processus au sein de l'institution.
Le premier défi a été de coordonner les différents départements et métiers, afin de valider un processus commun de recrutement. Ce processus a été favorisé par la gestion collaborative entre les différentes parties prenantes, lors de l’appel d’offre et au sein des groupes de travail.
Le deuxième défi a été de paramétrer le nouvel outil, afin de répondre aux besoins (droits, workflow soins/hors soins, gestion des candidatures, paramétrage de formulaires par type de poste, campagne HES). Il fallait ensuite gérer la conduite du changement, afin de pousser à l’adoption du nouvel outil. Il était enfin nécessaire d'accompagner les utilisateurs dans ce processus.
Tous les objectifs ont pu être atteints grâce à la mise en place de la traçabilité de la validation des annonces (workflow), à la publication en live des annonces, à la gestion simplifiée et en masse des candidatures (réception des dossiers de candidature centralisés, partage d’avis entre collaborateur et collaboratrice pour un recrutement, notation des candidats, communication sur modèles d’e-mail, rejets groupés, classement automatique des candidats selon leurs réponses aux formulaires de candidature, prise de rendez-vous simplifiée…). Mais la fin de la réception des candidatures papier, la mise en place d’un recrutement prioritaire en interne, le suivi de l’origine des candidatures pour être plus pertinent sur les réseaux ont aussi joué leur rôle pour atteindre les objectifs.
La plateforme e-recrutement a permis de réduire les frais d’annonce et de mandat de recrutement, et de gagner en efficacité et efficience.
Le logiciel a également permis d’offrir un support à l’ARH, grâce à un formulaire en ligne permettant aux candidats engagés de déposer toutes les pièces administratives utiles à leur dossier. Cet outil a permis de simplifier le processus de gestion des engagements et des contractualisations. Il a aussi renforcé le lien avec les offices régionaux de placement, notamment par la transmission directe des annonces.
