Comment le cloud fait la pluie et le beau temps

L’établissement réussi de technologies de cloud et de solutions « Software as a Service » (SaaS) dans le secteur médical suppose d’adopter un regard critique à l’égard des questions en suspens. VIEW y apporte notre contribution. Nous nous sommes entretenus à ce sujet avec Bernd Schütze – l’occasion d’obtenir de précieuses réponses pour la pratique, à la fois limpides et fondées. Diplômé en médecine, informaticien et juriste, Bernd Schütze a suivi une formation complémentaire en qualité de responsable de la protection des données et dirige le groupe de travail Protection des données et sécurité informatique dans le secteur de la santé au sein de l’association GMDS¹.

Monsieur Schütze, comment définiriez-vous les solutions de cloud ?

Bernd Schütze : Le cloud est en première ligne un terme de marketing qui désigne à la base le traitement de données dans un ou plusieurs centres de données. Pas de centre de données, pas de cloud. À cela s’ajoute un logiciel qui insuffle la vie au centre de données en permettant de disposer des fonctions propres à un usage décentralisé, assurant ainsi l’interconnexion et la transformation équilibrée des données ou leur diffusion en fonction du mandant. L’idée derrière le cloud est de pouvoir acquérir ou louer des ressources à la carte plutôt que devoir soi-même réunir des ressources et les exploiter.

Jusqu’à présent, le cloud était mal vu dans le secteur médical. Cette réputation lui colle-t-elle à la peau ou s’est-elle depuis lors améliorée en termes de sécurité ?

Bernd Schütze : Oui et non. En principe, le secteur de la santé prévoit que l’on examine attentivement la localisation du centre de données et du traitement de ces dernières. La législation sociale prévoit pour les hôpitaux de strictes bases juridiques.

Et au-delà de cela, un cloud n’est en soi pas plus sûr qu’un traitement au sein du propre centre de données. Dans notre cas, on parle ici d’un cloud externe, et donc sous-traité. Cela signifie que le centre de données n’est pas exploité par le propre personnel et que des personnes tierces interviennent à un endroit parfois inconnu, ce qui implique dans un premier temps une perte de sécurité de traitement car l’on cède alors une partie de son contrôle.

L’externalisation peut cependant s’avérer avantageuse du point de vue de la sécurité informatique car les importants fournisseurs peuvent souvent mobiliser bien plus d’effectifs et de spécialistes qui ne font rien d’autre que de se consacrer aux alertes de sécurité actuelles. Confrontés à une pénurie de personnel spécialisé et à des budgets toujours plus stricts, les hôpitaux ont souvent des difficultés à trouver des responsables de la sécurité informatique et d’autres spécialistes de la sécurité informatique susceptibles de se consacrer exclusivement à ces questions.

Mais cette problématique n’est que l’un des aspects de la question du cloud. Il s’agit en effet aussi de savoir comment intégrer des solutions Saas basées sur le cloud. Cela suppose de très bien connaître la manière dont chaque hôpital fonctionne. Et c’est là que le personnel informatique s’avère indispensable. Les hôpitaux ne sont en effet pas tous identiques, même si de nombreuses procédures médicales sont standardisées. Au contraire des processus.

Les fabricants peuvent certes tenir compte des besoins standard de leur clientèle et satisfaire leurs exigences, mais leurs solutions SaaS plutôt généralistes ne permettent néanmoins pas de traiter les particularités individuelles de chaque client. Dans la pratique, cela peut se traduire par le fait que les établissements soient obligés de s’adapter à une solution standard de SaaS dans le cloud qui ne couvre pas totalement les besoins individuels de la propre structure. Dire de manière générale que les fabricants seraient plus à même de gérer le logiciel n’est donc plus pertinent et la situation doit être examinée au cas par cas. L’argument selon lequel les systèmes informatiques seraient devenus trop complexes pour être gérés en interne ne vaut pas non plus.

Quelles sont donc les questions que les établissements de santé doivent se poser pour déterminer les valeurs ajoutées d’un cloud ?

Bernd Schütze : La taille des effectifs informatiques est un important élément à prendre en compte lorsque l’on compare les avantages du cloud externalisé à ceux d’une solution sur site. De petits établissements aux effectifs informatiques réduits peuvent profiter de solutions dans le cloud. Dans ce cas, de nombreuses prestations sont déjà externalisées et le cloud n’en est que la suite logique. Mais les cliniques universitaires qui emploient 50 à 100 collaborateurs au sein de leur service informatique peuvent en revanche se targuer à juste titre de ne pas être débordées par la gestion d’un logiciel. L’utilisation de solutions de SaaS dans le cloud suppose ici d’autres arguments plus convaincants.

Vous pouvez nous en dire plus ?

Bernd Schütze : La question décisive est celle de la disponibilité. Il est en effet déjà arrivé que les services de cloud d’importants fournisseurs ne soient plus disponibles dans certaines régions du monde. Et lorsque l’on héberge son logiciel dans le cloud de cette partie du monde, on a un problème. Imaginez que les systèmes de PDMS tombent en panne quelques heures dans plusieurs hôpitaux allemands ! Une disponibilité de 99,9 % n’est donc pas forcément une bonne nouvelle lorsque les 0,1 % restants surviennent en bloc.

Il convient donc de plutôt se demander combien de fournisseurs sont impliqués et quel fabricant propose quelle prestation. Et plus concrètement : le cloud et le logiciel sont-ils proposés par un seul fournisseur, dans l’idéal basé en Allemagne ? Cela s’avère avantageux car il est alors possible de satisfaire les exigences locales avec plus de flexibilité et donc aussi d’assurer la conformité avec le RGPD. Par ailleurs, il n’existe alors vraisemblablement qu’un seul partenaire contractuel, ce qui rassure les hôpitaux en cas de doute.

C’est tout l’inverse chez les fournisseurs de SaaS qui proposent uniquement le logiciel et utilisent les services de cloud d’un important fournisseur américain. Ici, le cloud doit alors être utilisé comme il est proposé et aucune règle spécifique ne peut figurer dans les contrats. Le fournisseur de logiciel fait par ailleurs office de prestataire global, alors que l’établissement de santé à en réalité à faire avec deux partenaires contractuels. Et cela peut s’avérer problématique lorsque la législation du propre pays change et que certains fournisseurs de cloud ne peuvent alors plus être engagés. Il se pose alors la question de savoir s’il est tout simplement possible de changer de cloud ou si, du fait de l’interconnexion des interfaces, une telle manœuvre serait vouée à l’échec. Et c’est là que le bât blesse.

Merci de cet entretien !

¹ Société allemande d'informatique médicale, de biométrie et d'épidémiologie e.V.