Santé : Orpéa met la gouvernance de la sécurité et l’UX au cœur de la protection de ses data

Le contexte de la mise en application du RGPD rend les partis-pris en termes de protection des données d’autant plus visibles. Le groupe français Orpéa, qui gère près de 800 établissements d’accueil des personnes âgées dans 10 pays, s’est assuré de pouvoir répondre à ces enjeux, tant d’un point de vue de gouvernance de la sécurité de l’information, qu’en accordant une place centrale aux utilisateurs eux-mêmes.

| Cet article fait partie du dossier « Nouvelles stratégies data et RGPD : Une route encore bien longue ».

Santé : Orpéa met la gouvernance de la sécurité et l’UX au cœur de la protection de ses data

©Orpéa

Un focus sur la gouvernance et une attention particulière portée à l’expérience des collaborateurs. Ce sont les deux axes qui permettent à Orpéa, groupe fondé en 1989 et qui administre des centaines de maisons de retraites et de cliniques spécialisées en France et à l’étranger, d’aligner une vision cohérente en matière de sécurité de l’information et d’innovation. Le groupe a annoncé 3,1 milliards d’euros de chiffres d’affaires pour l’année 2017, en croissance de 10,5%, soit plus que ses prévisions. Pourtant, comme toutes les grandes entreprises, Orpéa a remarqué l’intensité croissante des cybermenaces ces derniers mois, qui l’ont poussé à réagir. « En 2017, comme de très nombreuses organisations, nous avons dû faire face à des vagues de ransomwares. Cela a été aussi une opportunité pour sensibiliser et faire passer de nombreux messages clés aux collaborateurs, tout en améliorant nos architectures techniques. L’un n’allant pas sans l’autre », explique à ce titre Mauro Israël, manager cybersécurité du groupe.

Amélioration continue autour de la protection des données de santé

Dans le secteur de la santé, la protection des données et de l’information a toujours eu une dimension différente. Mais en 2018, la mise en application du règlement général sur la protection des données à caractère personnel pousse les acteurs du secteur à se montrer plus que jamais irréprochable. « La protection des données de santé est une responsabilité inhérente à notre métier, et l’arrivée du RGPD le 25 mai prochain, va rendre le sujet encore plus sensible. C’est à la fois un axe d’amélioration continue et de respect des exigences règlementaires européennes. Nous travaillons depuis plusieurs mois, sous l’égide de notre CIL, sur une approche globale, stratégique, tout en tenant compte des exigences de la transformation numérique » rappelle ainsi Mauro Israël.

Guide RGPD et collaborateurs

Ce travail de fond veille en effet à faire s’inscrire en harmonie la dynamique d’innovation du groupe et sa vision de la sécurité des données. Deux points que les entreprises ont habituellement la tentation d’opposer. Pour Mauro Israël, ce sont pourtant différents aspects d’un cercle vertueux : « L’approche cybersécurité, devenue un sujet stratégique au sein du groupe, est rattachée à la Direction de la Conformité et Transformation numérique, créée en 2017. Elle est en lien direct avec la Direction Générale, qui a été à l’initiative de cette organisation. Nous sommes un des rares groupes à avoir ainsi lié conformité et transformation. Cela a favorisé la transversalité entre les métiers et l’informatique. »

Orpéa, première organisation dans le domaine de la santé à avoir été certifiée ISO 27001, peut capitaliser sur une organisation particulière, pour assurer cette cohérence entre l’utilisation des données, centrale dans son activité, et leur protection.  « Une spécificité de notre activité est d’avoir un Département Information Médicale dirigé par un médecin qui gère l’extraction des informations, avec son propre système, complètement séparé du SI de gestion », illustre ainsi le manager cybersécurité.  Une organisation qui permet d’appréhender les sujets d’avenir pour l’organisation comme l’Internet des Objets ou les réseaux sociaux, un peu plus sereinement.

Collaborer avec l’écosystème pour transformer l’expérience des utilisateurs

Au-delà d’une attention particulière portée aux aspects organisationnels, l’autre cheval de bataille du groupe Orpéa est l’expérience utilisateur (UX). Pour générer de la valeur, être utile aux établissements et aux patients, les données doivent circuler, souvent sous forme de fichiers sensibles à protéger. Et beaucoup d’entreprises qui cadenassent complètement cette circulation ne font au final qu’ouvrir la voie à de multiples « contournements » de la part des utilisateurs de toute sorte. Or, à l’heure du RGPD ce « shadow IT », soit l’utilisation d’applications et de logiciels non maitrisés par l’entreprise, représente un risque toujours plus important. Les stratégies de protection de données doivent donc s’adapter.  « Notre grand défi a été de rendre ces stratégies compatibles avec les usages de mobilité qui se sont répandus dans l’entreprise. Le transfert de fichiers sensibles et de données médicales doit être, certes sécurisé, mais aussi ‘user friendly’.» reconnait Mauro Israël. Il prend l’exemple du travail commun mené avec un éditeur de logiciel pour y parvenir.  « Forecomm, l’éditeur de la solution BlueFiles que nous utilisons, a accepté d’apporter des modifications profondes d’un point de vue UX, après que nous ayons fait tester le logiciel à nos médecins. Le but étant qu’ils puissent l’installer et l’utiliser intuitivement ! Aujourd’hui, ils font des transferts de fichiers littéralement ‘en un clic’ ». Pour le manager cybersécurité d’Orpéa, le marché manque encore de maturité : « C’est une des rares solutions sur le marché français qui assure ces deux points, sécurité et UX, conjointement ».

L’attention portée à l’UX n’est pas neutre à l’échelle d’une organisation internationale. « Elle nous permet d’endiguer l’usage de  solutions grand public qui sont installées par les utilisateurs eux-mêmes, et qui sont, par nature, très difficiles à superviser. Un très grand nombre d’entreprises sont surprises quand elles découvrent l’utilisation réelle de ces solutions grand public, non-maîtrisées, par leurs collaborateurs ! Réduire ce « shadow IT » réduit de fait, l’exposition à de nombreux risques », constate Mauro Israël. Et le lien avec le travail mené en termes de gouvernance est en ce sens absolument nécessaire : « Pour s’assurer que la réponse en termes d’UX soit à la hauteur, nous avons créé une équipe en mode « scrum », un management de type agile, qui regroupe le médecin dirigeant le DIM et les utilisateurs clés. Les « sprints » s’enchainent sur tous nos sujets et les retours d’expérience et l’amélioration, sont donc permanents. L’évolution rapide des usages rend aujourd’hui vitale cette souplesse de fonctionnement ». Ces pratiques, souvent plus volontiers liées à des stratégies d’innovations rapides autour des données, s’avèrent donc trouver également tout leur sens quand il s’agit de protéger plus efficacement les dites données.