Retour d’expérience : analyse de risques d’un Système d’Information (SI) du secteur des préparations galéniques
2 Centre Régional d’Informatique Hospitalière, Hôpitaux Universitaires de Strasbourg, France
Introduction
L’informatisation des hôpitaux génère des risques tout en contribuant à leur maîtrise. La gestion des risques en établissement de santé doit être mise en œuvre selon la norme ISO 31000 et l’analyse de ces risques est aussi incluse dans la norme ISO 9001 v2014. Le secteur des préparations galéniques est certifié depuis 2013 et a pour projet l’acquisition d’un logiciel de préparation.
Objectif
identifier, évaluer et hiérarchiser les risques liés à la mise en place du Système d’Information (SI) du secteur des préparations, et définir un plan d’action permettant de réduire les risques à un niveau acceptable.
Matériel & Méthode
La méthode d’Expression des Besoins et Identification des Objectifs de Sécurité (EBIOS) permet la description détaillée des risques potentiels et la MEthode HArmonisée d’analyse des RIsques (MEHARI) fixe l’occurrence des risques bruts. Les impacts sont définis grâce à une échelle interne. L’analyse s’est déroulée en 3 phases : définition des évènements redoutés, liste des menaces (incidents internes 2015 et participation du personnel), et cartographie des risques bruts, nets et résiduels (avec les mesures d’amélioration envisagées).
Résultats
35 risques ont été évalués, permettant une analyse complète du circuit des préparations, de la prescription à la délivrance via l’analyse des cartographies. Les résultats finaux ont été présentés sous forme de plan de traitement et de fiches de risque.
Discussion
La méthode institutionnelle permet une vision et une démarche globales, avec une approche a priori compréhensible par tous. Cependant, il est impossible de garantir l’exhaustivité ou l’objectivité de l’analyse, et il est nécessaire de l’actualiser périodiquement.
Conclusion
Ce travail a permis une meilleure connaissance du SI et des risques liés. Les résultats ont été communiqués aux personnels et ont conduit à un audit de bon usage du SI.