8

Développer les systèmes informatiques

En 2017, en plus de 37 projets stratégiques et d'une dizaine de projets tactiques, la Direction des systèmes d'information du CHUV (DSI) a dû changer ses méthodes de défense informatique, afin de faire face à l'arrivée d'un nouveau type d'attaques cybercriminelles.

Les systèmes d'information au CHUV en 2017

Vue globale des réalisations

Pas moins de 17 projets ont été lancés cette année. La DSI a modifié son organisation avec efficacité afin de pouvoir être plus réactive et piloter le nombre croissant de projets qui lui incombe.

Créé en 2016 dans le but d’autoriser et de prioriser le lancement des projets stratégiques de la Direction des systèmes d'information de l'hôpital (DSI), le Comité du Système d’information du CHUV (COSI) s’est réuni à trois reprises en 2017. Ses membres ont formellement autorisé le démarrage de 17 projets et quatre études.

Durant la même période, 16 projets se sont terminés avec succès par une mise en service de systèmes d’information. Trois roadmaps (programmes généraux de projets) ont également été validées en 2017: ERP Qualiac, e-Health et Imagerie médicale.

Les chiffres clés de la DSI en 2017

  • 37 projets stratégiques
  • 12'000 postes de travail
  • 7'500 téléphones IP fixes
  • 5'500 téléphones mobiles et 1'900 smartphones
  • 119’000 contacts au Service Desk en 2017 (38% pour des incidents, 62% pour des demandes et de l'assistance)
  • 75'500 appels téléphoniques (temps de réponse moyen: 42 secondes)

Parmi les réalisations marquantes de la DSI en 2017, on peut mettre en évidence:

  • le déploiement de la prescription informatisée Soarian;
  • l’adaptation de quatre logiciels nécessaires à l’ouverture du bloc opératoire complémentaire;
  • la mise en place d’armoires à pharmacie informatisées;
  • la gestion des absences de longue durée pour le personnel;
  • de nouveaux catalogues TARMED;
  • la mise à niveau du client d’imagerie PACS;
  • des mesures techniques et organisationnelles visant à assurer la sécurité du système d’information de l’hôpital.

Le portefeuille des projets de la DSI comprend en moyenne 37 projets stratégiques, ainsi qu’une dizaine de projets tactiques (changements de version de logiciels, remplacements de matériel informatique, projets internes à la DSI…).

Dossier patient informatisé: généralisation des prescriptions

Le déploiement des prescriptions à tous les départements du CHUV permet désormais un meilleur suivi des patients.

Le dossier Soarian

En 2017, le déploiement du système de prescription généralisée, intégré au dossier patient informatisé nommé Soarian, a de nouveau fait partie des priorités principales de la Direction des systèmes d’information. Ce système, qui inclut les ordres de prescription médicamenteuse, d’examens de laboratoire, de radiologie ainsi que les demandes de consultance interne, a été déployé à un rythme soutenu tout au long de l’année, en particulier en psychiatrie, en chirurgie et aux Urgences. A la fin de l’année 2017, plus de 2’000 patients et patientes du CHUV bénéficiaient quotidiennement de ces prescriptions électroniques qui permettent une prise en charge sans papier.

Le dossier patient Soarian en chiffres mensuels

450’000 accès au dossier patient

7’500 documentations ou révisions d’allergies

45’000 notes cliniques

175’000 ordres (médicament, infirmiers et infirmières…)

750’000 évaluations cliniques

60’000 lettres de sortie

Sécurité informatique

Nombre d'attaques croissant

185 attaques
1800 virus filtrés
15 tentatives de hacking
...

Le nombre croissant d'attaques informatiques et de logiciels malveillants ainsi que la digitalisation toujours plus grande de nos processus accroissent notre exposition aux risques cybercriminels. La sécurité informatique est donc devenue une préoccupation de premier plan.

Lutte contre la cybercriminalité en 2017

2017 marque un tournant dans le domaine de la cybersécurité avec l’arrivée sur le devant de la scène des logiciels malveillants, et notamment des ransomwares. Avec la médiatisation importante de la cyber attaque mondiale Wannacry, le grand public a découvert les effets dévastateurs de ces logiciels, notamment dans les hôpitaux numériques.

L’attaque informatique Wannacry

Issu d’un croisement entre un ver informatique (logiciel qui se propage automatiquement d’un ordinateur à l’autre au travers d’un réseau) et d’un ransomware (logiciel qui prend les données des utilisateurs en otage en chiffrant celles-ci), Wannacry a connu un déploiement très rapide avec des effets dévastateurs.

L’attaque a débuté le vendredi 12 mai 2017 en Angleterre et en Espagne. En quelques heures, plus de 100'000 ordinateurs étaient infectés, entraînant des perturbations majeures dans plus de 50 hôpitaux de la NHS britannique (soit 20% du système de santé).

Au CHUV, la grande majorité des postes de travail (plus de 90%) étaient déjà protégés contre cette attaque, qui utilisait des vulnérabilités récemment découvertes.

Au cours du week-end du 13 mai, de nombreux échanges entre les personnes mobilisées de la DSI ont permis de comprendre le phénomène et de mettre en place des mesures de surveillance et de protection.

Aucune infection n’a été constatée sur les équipements informatiques du CHUV, mais depuis cet épisode, la vigilance reste importante.

Dans le monde de la sécurité informatique, cette mise en lumière a provoqué un changement des méthodes de lutte contre ces logiciels malveillants. Par analogie avec la sécurité physique, l’ancienne méthode consistait à augmenter sans cesse la hauteur des murs de la forteresse pour empêcher les ennemis de pénétrer, en ajoutant des contraintes aux habitants. Les nouvelles tendances vont vers la mise en place de mesures de surveillance efficaces et d’équipes d’interventions rapides.

Dans cet esprit, au cours de l'année 2017, la DSI CHUV a déployé un système de surveillance du réseau informatique interne permettant de détecter le trafic des logiciels malveillants, puis d’alerter immédiatement en cas de compromission. L’antivirus a été également renforcé par un module permettant une observation automatique du comportement des documents douteux lors de leur ouverture.

Les conseils et mesures de protection

Au-delà d'un impératif général de vigilance, les collaborateurs et collaboratrices du CHUV ont reçu quelques conseils pour la sécurité informatique:

  • Maintenir à jour les équipements privés (nouvelles versions, correctifs de sécurité, antivirus);
  • garder les identifiants secrets. Ne pas réutiliser les mots de passe. Utiliser des logiciels coffre-fort de mots de passe;
  • ne pas contourner les mesures de protections en place;
  • limiter la diffusion d’informations personnelles sur internet (réseaux sociaux...);
  • ne pas cliquer sur les liens dans les messages reçus, se connecter sur le site internet avec la procédure habituelle (favoris...);
  • ne jamais répondre à une demande d’informations confidentielles;
  • dans la chaîne de la sécurité, jouer le rôle de maillon fort en signalant les évènements qui paraissent suspects.

Mais aussi efficaces qu’elles soient, toutes ces techniques ne dispensent pas les utilisateurs de faire preuve de vigilance. Aujourd’hui, des nouvelles formes d’arnaques réapparaissent, facilitées par la simplicité de collecte d’informations sur les personnes. Avec la multiplication des réseaux sociaux et du partage d’informations, nous laissons de plus en plus de traces numériques. Toutes ces informations sont facilement exploitées pour monter des scénarii d’attaques toujours plus sophistiqués. C'est pourquoi la DSI a initié un programme de sensibilisation des utilisateurs pour faire face à ces nouveaux dangers (voir encadré).

En 2017, la cybersécurité est donc devenue une des préoccupations majeures de la Direction des systèmes d’information du CHUV et le restera pour les prochaines années.

Autres mesures de sécurité

La sécurité informatique ne se résume pas à la lutte contre la cybercriminalité. D’autres évènements indésirables sont susceptibles de générer des dysfonctionnements informatiques.


Après la mise en place du dossier patient Soarian, la Direction des systèmes d'information du CHUV a lancé une initiative visant à renforcer la fiabilité de l’infrastructure informatique de l’hôpital. Ce projet a permis la mise en place, en 2017, d’une salle machine virtuelle répartie dans deux emplacements physiques distincts. L’objectif est d’avoir une infrastructure plus résiliente face aux pannes et aux interventions de maintenance préventives.

Une analyse des risques informatiques a été menée par la DSI début 2017: elle a permis d’identifier les faiblesses et risques principaux et de construire un plan d’action pour les réduire. Cette opération a permis de déterminer les actions à mettre en priorité dans le domaine de la sécurité informatique. De plus, dans les projets informatiques, une analyse d’impact sur la sécurité est maintenant systématisée afin d’anticiper des problèmes lors de la mise en service du projet.

Nouvelle plateforme pour le e-recrutement

Le e-recrutement a été un des principaux chantiers de transformation numérique des ressources humaines cette année. Grâce à la mise en place de notre nouvelle plateforme et à la centralisation du process, nous avons pu améliorer notre efficacité et diminuer nos coûts.

Mise en place de la plateforme

L’objectif du projet e-Recrutement était de doter le CHUV d'une plateforme de recrutement afin d'automatiser, centraliser, optimiser et uniformiser le processus au sein de l'institution.


Le premier défi a été de coordonner les différents départements et métiers, afin de valider un processus commun de recrutement. Ce processus a été favorisé par la gestion collaborative entre les différentes parties prenantes, lors de l’appel d’offre et au sein des groupes de travail.

Le deuxième défi a été de paramétrer le nouvel outil, afin de répondre aux besoins (droits, workflow soins/hors soins, gestion des candidatures, paramétrage de formulaires par type de poste, campagne HES). Il fallait ensuite gérer la conduite du changement, afin de pousser à l’adoption du nouvel outil. Il était enfin nécessaire d'accompagner les utilisateurs dans ce processus.

e-Recrutement 2017 en chiffres

  • 432 utilisateurs
  • 36'005 candidatures reçues, soit une augmentation de 55% par rapport à 2016
  • 61% d’économies sur les frais d’annonces et mandats de recrutement par rapport à la moyenne des quatre années précédant la mise en service (soit CHF 475'000.- d'économie)

Tous les objectifs ont pu être atteints grâce à la mise en place de la traçabilité de la validation des annonces (workflow), à la publication en live des annonces, à la gestion simplifiée et en masse des candidatures (réception des dossiers de candidature centralisés, partage d’avis entre collaborateur et collaboratrice pour un recrutement, notation des candidats, communication sur modèles d’e-mail, rejets groupés, classement automatique des candidats selon leurs réponses aux formulaires de candidature, prise de rendez-vous simplifiée…). Mais la fin de la réception des candidatures papier, la mise en place d’un recrutement prioritaire en interne, le suivi de l’origine des candidatures pour être plus pertinent sur les réseaux ont aussi joué leur rôle pour atteindre les objectifs.

La plateforme e-recrutement a permis de réduire les frais d’annonce et de mandat de recrutement, et de gagner en efficacité et efficience.

Le logiciel a également permis d’offrir un support à l’ARH, grâce à un formulaire en ligne permettant aux candidats engagés de déposer toutes les pièces administratives utiles à leur dossier. Cet outil a permis de simplifier le processus de gestion des engagements et des contractualisations. Il a aussi renforcé le lien avec les offices régionaux de placement, notamment par la transmission directe des annonces.