Logo ANAP
Ce site requiert l'activation de javascript pour être utilisé, merci de l'activer.
S'abonner

Méthode

 825 vues

Contexte et périmètre

Contexte et objectifs

Le socle commun du programme HOP’EN est constitué de 4 prérequis indispensables à une gestion sécurisée des soins dans un contexte de décloisonnement des prises en charge, dont la mise en place, par l’ensemble des établissements de santé est attendue d’ici la fin du programme :

  • Identités, mouvements (P1) ;

  • Sécurité (P2) ;

  • Confidentialité (P3) ;

  • Échanges et partages (P4).

Il comprend également 7 domaines fonctionnels pour lesquels le programme définit des exigences en matière d’usage du système d’information.

  • Les résultats d’imagerie, de biologie et d’anatomopathologie (D1) ;

  • Le dossier patient informatisé et interopérable et le DMP (D2) ;

  • La prescription électronique alimentant le plan de soins (D3) ;

  • La programmation des ressources et l’agenda du patient (D4) ;

  • Le pilotage médico-économique (D5) ;

  • La communication et les échanges avec les partenaires (D6) ;

  • La mise à disposition de services en ligne aux usagers et aux patients (D7).

En lien avec le prérequis 2 « Sécurité », le présent document met à la disposition des établissements de santé une méthode de formalisation d’un Plan de Reprise d’Activité ainsi que pour l’élaboration de procédures de fonctionnement en mode dégradé.

Les méthodes décrites dans cette fiche ont vocation à être améliorées et partagées au sein de la communauté de pratique ainsi que les réseaux et groupes d’entraide.

Indicateurs concernés

La fiche concourt principalement à l’obtention de :

  • L’indicateur P2.1 portant sur l’existence d’un Plan de Reprise d’Activité (PRA) du système d’information formalisé.

  • L’indicateur P2.3 portant sur l’existence de procédures assurant d’une part un fonctionnement dégradé du système d’information au cœur du processus de soins en cas de panne et d’autre part un retour à la normale.

Enjeux

Les exigences réglementaires en matière de sécurité des données et notamment l’application de la PGSSI-S imposent aux établissements de santé de prévoir et de mettre en place un ensemble de dispositions pour assurer le fonctionnement en mode dégradé en cas de crise temporaire perturbant ou arrêtant de fonctionnement au l’accès au centre informatique et la reprise de l’activité de son système d’information pour un retour à la normale avec récupération des données et réactivation des services perdus.

Chaque service ou entité qui utilise des applications logicielles « métier » critiques doit pouvoir maintenir son activité afin de prévenir tout dysfonctionnement pouvant engendrer des conséquences cliniques majeures tel que l’absence ou le retard dans l’administration du traitement et des actes, des répétitions d’actes, des retards voire des erreurs de diagnostic, l’impossibilité de réaliser des actes ou des examens, la discontinuité du suivi médical.

Plan de Reprise d’Activité

Objectif du document

Le Plan de Reprise d’Activité (PRA) du système d’information représente un plan d’action décrivant les moyens techniques, organisationnels et humains permettant d’assurer la reprise de l’activité du système d’information en cas d’indisponibilité totale ou partielle.

Plan de reprise dans le contexte d’un GHT

Les enjeux de continuité des services et de reprise de l’activité des systèmes d’information sont renforcés dans le cadre de la mise en place des GHT et des évolutions applicatives que cela engendre : Concentration des services numériques sur une architecture centralisée (interne ou externe) augmentant le nombre d’utilisateurs et donc l’impact d’un dysfonctionnement ; augmentation du nombre et de la complexité des dispositifs techniques nécessaires à l’accès aux services numérique (Réseau physique, VPN, Firewall…) ; hétérogénéité des configurations des terminaux utilisateurs.

Pour ces raisons, il est souhaitable que l’ensemble des établissements du GHT élaborent un PRA harmonisé tenant compte des particularités de chaque établissement et de l’organisation mise en place dans le cadre du GHT notamment en termes d’astreintes.

Cette démarche d’harmonisation est d’autant plus importante lorsque des établissements sont en situation de partage des infrastructures telles que des salles serveur impliquant, dans ce cas particulier, la nécessité d’une mise en commun de leur PRA.

Contrôle et mise à jour du PRA

Le plan de Reprise d’Activité est un ensemble de procédure et de dispositifs techniques qu’il est indispensable de faire évoluer en cohérence avec les évolutions du système d’information et de son déploiement. Ainsi, l’opportunité de mettre à jour le PRA doit être étudiée dans les cas suivants :

  • Déploiement d’un nouveau service numérique au sein du SIH ;

  • Mise en place d’une fonctionnalité significative pouvant entrainer une modification dans l’analyse de la criticité d’un système ;

  • Changement ou déplacement d’un composant d’architecture technique soutenant un service numérique ;

  • Évolution organisationnelle ou dans l’activité de l’établissement incluant une dépendance au système d’information ;

  • Périodiquement pour garantir la pertinence du PRA.

En complément de ce dernier point, le PRA doit être éprouvé et testé de façon régulière afin d’en évaluer la fiabilité au travers de phases de tests ou de remontées suite à échec en condition maitrisée sans attendre sa mise en application lors de l’apparition d’un incident réel.

Fonctionnement en mode dégradé et retour à la normale du système d’information

Objet

Le « fonctionnement en mode dégradé » couvre :

  • La bascule du mode de fonctionnement nominal vers le mode dégradé ;

  • Le fonctionnement en mode dégradé durant la durée d’indisponibilité du système ;

  • Le retour au fonctionnement nominal une fois le système disponible et la reprise de l’activité réalisée en mode dégradé.

Cette démarche est à faire globalement en impliquant chaque service ou entité qui utilise des applications métier critiques pour assurer ses activités :

  • Les unités de soins ;

  • Les unités de soins critiques ;

  • Le bloc opératoire ;

  • Les plateaux techniques : radiologie, biologie ;

  • Etc.

Elle est menée en association entre un référent des services concernés et le référent de la DSI.

En pratique, chaque service doit s’approprier les procédures dégradées définies par l’établissement, s’assurer de leur mise à jour et les adapter, le cas échéant, à ses modalités spécifiques de fonctionnement..

Une démarche en 4 étapes

Étape 1 : Lister les procédures à élaborer

A minima il faut prévoir pour chacune des applications critiques (recensées dans la cartographie applicative) une procédure pour basculer en mode dégradé, une procédure de fonctionnement en mode dégradé et une procédure pour revenir en fonctionnement normal. Pour une même application, ces procédures devraient être adaptées aux services et usages.

Pour les procédures, Il faut d’abord envisager le cas de l’arrêt programmé ; il est dans ce cas, possible d’anticiper et de préparer l’arrêt et le basculement en mode dégradé. Les documents nécessaires au maintien de l’activité peuvent être imprimés avant l’arrêt. Cette tâche sera d’autant moins lourde que l’arrêt programmé doit être prévu dans une période d’activité réduite (nuit, week-end).

Les procédures prévues pour le cas de l’arrêt programmé doivent être adaptées à ce qui est possible pour les cas de pannes.

Étape 2 : Identifier les fonctions et les informations essentielles pour le service concerne

Parmi toutes les fonctionnalités de l’application métier concernée, se limiter aux fonctions majeures, indispensables au maintien de l’activité, en distinguant :

  • Les activités relatives aux échanges avec des services extérieurs ;

  • Les activités propres au fonctionnement interne du service.

Activités relatives aux échanges avec les services extérieurs

Pour une unité de soins, il s’agit d’une part de pouvoir continuer à produire des demandes (imagerie, biologie, examens complémentaires, prescription de médicaments), d’autre part de recevoir et consulter les résultats.

Pour un plateau technique, il s’agit de recevoir les prescriptions et demandes diverses, et pouvoir y répondre.

Recenser l’ensemble des services avec lequel le service concerné travaille et les informations échangées avec ces services, par exemple :

  • L’identité du patient ;

  • L’objet de la demande ;

  • Le service prestataire ;

  • Des informations complémentaires du patient ;

  • Etc.

Activités propres au fonctionnement interne du service

Pour une unité de soins, il faut par exemple pouvoir continuer à prescrire et administrer les soins et les produits de santé.

Pour un plateau technique, il faut pouvoir continuer à réaliser les examens demandés et produire les résultats, donc par exemple pour la radiologie, avoir la liste des rendez-vous et examens programmés pour la journée.

Chaque service liste les informations nécessaires à son fonctionnement, par exemple :

  • Les prescriptions ;

  • Le plan de soins ;

  • Les rendez-vous du jour ;

  • Etc.

Étape 3 : Mettre en œuvre les moyens techniques pour maintenir les activités

Une fois identifiées les informations indispensables à la poursuite des activités, il s’agit de préciser et définir :

Pour ce faire, il conviendra de tenir compte des logiciels associés aux dispositifs médicaux susceptibles de détenir ces informations.

Pour mettre en œuvre ces moyens, il faut s’appuyer sur les solutions proposées par les éditeurs des applications informatiques et bâtir la procédure à mettre en œuvre avec son support. Souvent, les solutions et procédures sont différentes pour les arrêts programmés et pour les pannes. Tout arrêt programmé d’une application critique doit faire l’objet d’une proposition de fonctionnement en mode dégradé par l’éditeur ou l’intégrateur.

Le principe général de ces solutions est de dupliquer les informations essentielles (typiquement une synthèse du dossier patient, le plan de soins, la prescription en cours, etc.) en dehors de la base de données de l’application, sous une forme directement imprimable (par exemple des PDF.). Cette extraction des données sous un format imprimable peut être faite à une fréquence adaptée aux besoins ; les données sont alors stockées sur un serveur central ou des postes locaux dans les services (cette étape peut nécessiter un paramétrage spécifique à réaliser dans l’application, avec le support de l’éditeur (paramétrage des traitements batch, réalisation des modèles de documents à imprimer, etc.). Il faut veiller à la confidentialité des informations contenues dans ces postes.

Il faut ensuite prévoir les procédures pour imprimer les supports en cas d’arrêt programmé ou de panne pour assurer le fonctionnement en mode dégradé ; la diffusion des documents aux utilisateurs est à prévoir.

Pour d’autres cas, des moyens simples doivent être prévus, souvent en s’appuyant sur les suggestions des utilisateurs, par exemple l’impression de bordereaux vierges (par exemple, aux admissions, ou pour les demandes d’examens des unités de soins) conservés dans les services.

Étape 4 : Définir le mode de bascule du fonctionnement nominal vers le fonctionnement en mode dégradé

Une fois les moyens « techniques » préparés qui permettent d’assurer le fonctionnement en mode dégradé, il est nécessaire de préciser les procédures de bascule en mode dégradé, en continuant à distinguer les arrêts programmés et les pannes.

En effet en cas d’arrêt programmé (typiquement pour une mise à jour de version), la direction et le personnel sont informés à l’avance ; en particulier, la durée prévisionnelle de l’arrêt est indiquée (sur la base des informations fournies par l’industriel réalisant la maintenance) ; les informations et documents nécessaires sont imprimés avant l’arrêt de l’application de façon à ce qu’ils soient déjà disponibles dans le service au moment de l’arrêt. Les arrêts programmés sont prévus à des moments de plus faible activité ; le volume d’informations à imprimer est de ce fait réduit.

En cas de panne, les mêmes documents sont imprimés, autant qu’il est possible avec les moyens disponibles, et transmis aux utilisateurs. Informer la direction et les utilisateurs doit être prévu.

Étape 5 : Définir le mode de bascule du fonctionnement nominal vers le fonctionnement en mode dégradé

La procédure de fonctionnement en mode dégradé doit prévoir le retour à la normale.

Durant la période de fonctionnement en mode dégradé, des informations ont été produites principalement sur des documents papier.

Une fois le système de nouveau disponible, il est nécessaire de reprendre manuellement dans le système les informations, pour que l’application soit de nouveau à jour. Il faut donc conserver les documents utilisés et définir quelles sont les données à reprendre et par qui. Il est nécessaire de prendre en compte le temps total de perte de données qui peut être supérieur au temps de l’arrêt lorsque les données sont restaurées à partir de la sauvegarde.

Exemples de procédures

Pour une unité de soins :

  • En fonctionnement normal

    • Un correspondant de la DSI est identifié pour préparer le fonctionnement en mode dégradé et faciliter la bascule (par exemple, il s’assure de la disponibilité des documents et supports nécessaires au fonctionnement en mode dégradé) ;

    • Anticiper la disponibilité dans les services des différents bordereaux vierges de demandes nécessaires aux échanges avec les autres services ;

    • Informer de l’existence de cette procédure et la tenir à disposition dans le service.

    • Maintenir la procédure à jour en fonction des changements fonctionnels, techniques, de paramétrage, de déploiement de fonctionnalités.

  • Fonctionnement en mode dégradé

    • Décision de déclencher le fonctionnement en mode dégradé ;

    • Information des personnels (du service et des services extérieurs) que la procédure de fonctionnement en mode dégradé s’applique ;

    • Utilisation des supports prévus et mise en œuvre de l’organisation prévue ;

    • Mise à disposition du service des données de secours permettant la poursuite de l’activité (impression des documents stockés sur un serveur centralisé ou localement, mise à disposition de matériel autonome…).

  • Retour à la normale

    • Décision de reprise suite à une confirmation de la remise en fonction des services numériques ;

    • Information des personnels (du service et des services extérieurs) ;

    • Identification des données « perdues » (en cas de restauration des données à partir des données de sauvegarde, il peut y avoir eu perte de données, entre la date de la dernière sauvegarde et le moment où la procédure en mode dégradé a été appliquée)

    • Collecte des informations à reprendre dans le système ;

    • Saisie des informations dans le système.

Procédures de fonctionnement en mode dégradé dans le contexte d’un GHT

Dans le cadre d’un GHT, il est recommandé qu’un travail soit mené entre les établissements parties du GHT sur l’uniformisation des procédures dégradées et particulièrement sur les applicatifs en cours de convergence ou convergés dans le cadre d’un Système d’Information de GHT tel que la loi n° 2016-41 et Décret n° 2016-524 du 27 avril 2016 le définissent.

Les outils pour la mise en œuvre

Un modèle de plan de reprise d'activité est proposé.

De plus, dans le cadre de l’élaboration de son PRA du système d’information, ainsi que des procédures de fonctionnement en mode dégradé et de retour à la normale du système d’information l’établissement de santé pourra également s’appuyer sur les documents suivants :

Cette réponse vous paraît-elle utile ?
Date de parution : 04/06/2019

Commentaires - Soyez le premier à déposer un commentaire

Pour ajouter un commentaire vous devez vous identifier

Vous êtes actuellement sur la page consacrée à Atteindre les prérequis HOP'EN (Méthode).

Vous êtes perdu ?

Haut de page

Vous êtes actuellement sur la page consacrée à Atteindre les prérequis HOP'EN (Méthode).

Vous êtes perdu ?