Introduction
L’informatique en nuage désigne une infrastructure Internet en libre-service à la demande qui permet à l’utilisateur d’accéder à des ressources informatiques à tout moment, de n’importe où. C’est un nouveau modèle de fourniture de ressources informatiques, pas une nouvelle technologie. Des exemples d’applications non médicales couramment utilisées incluent Microsoft Hotmail et Google Docs, tandis que certaines applications plus connues dans les soins de santé incluent Microsoft HealthVault et Google Health platform (récemment abandonnées). Cependant, par rapport à l’informatique conventionnelle, ce modèle offre trois nouveaux avantages: des ressources informatiques massives disponibles à la demande, la suppression d’un engagement initial des utilisateurs et le paiement d’une utilisation à court terme selon les besoins. Plusieurs articles, forums et blogs ont rapporté ses applications dans l’industrie, les affaires, les transports, l’éducation et la sécurité nationale.
Les soins de santé, comme pour toute autre opération de service, nécessitent une innovation continue et systématique afin de rester rentables, efficaces et rapides et de fournir des services de haute qualité. De nombreux gestionnaires et experts prédisent que l’informatique en nuage peut améliorer les services de soins de santé, profiter à la recherche en soins de santé et changer le visage des technologies de l’information (TI). Par exemple, Schweitzer, Haughton et Kabachinski estiment que le cloud computing peut réduire les dépenses de démarrage du dossier de santé électronique (DSE), telles que le matériel, les logiciels, les réseaux, le personnel et les frais de licence, et encouragera donc son adoption. Les recherches de Rosenthal et al montrent que la communauté de l’informatique biomédicale, en particulier les consortiums qui partagent des données et des applications, peut tirer parti du nouveau paradigme informatique. Comme indiqué dans l’article d’Anderson et al, les problèmes de traitement des données, la complexité et les solutions informatiques coûteuses ou indisponibles aux problèmes de recherche sont des problèmes majeurs dans la gestion et l’analyse des données de recherche biomédicale. Plusieurs innovations informatiques ont démontré que le cloud computing a le potentiel de surmonter ces difficultés.
Malgré les nombreux avantages associés aux applications de cloud computing pour les soins de santé, plusieurs questions de gestion, de technologie, de sécurité et de droit doivent également être abordées. L’objectif de cet article est de discuter du concept de cloud computing, de ses applications actuelles dans les soins de santé, des défis et des opportunités, et de la mise en œuvre de la planification stratégique lorsque l’organisation a décidé de passer au nouveau modèle de service.
Cloud Computing:Un Nouveau modèle de calcul économique
Le Cloud computing est encore un paradigme en développement, et sa définition, ses attributs et ses caractéristiques évolueront avec le temps. Vaquero et al ont étudié plus de 20 définitions et ont essayé d’extraire une définition consensuelle ainsi qu’une définition minimale contenant les caractéristiques essentielles. Sur la base de l’étude, ils ont défini le cloud computing comme suit :
Les clouds sont un large pool de ressources virtualisées facilement utilisables et accessibles (telles que du matériel, des plates-formes de développement et/ ou des services). Ces ressources peuvent être reconfigurées dynamiquement pour s’adapter à une charge variable (échelle), ce qui permet également une utilisation optimale des ressources. Ce pool de ressources est généralement exploité par un modèle de paiement à l’utilisation dans lequel des garanties sont offertes par le fournisseur d’infrastructure au moyen d’accords au niveau des services personnalisés.
Du point de vue des services, le cloud computing comprend 3 modèles archétypaux : logiciel, plate-forme et infrastructure.
(1) Logiciel en tant que service (SaaS) : Les applications (par exemple, les DSE) sont hébergées par un fournisseur de services cloud et mises à la disposition des clients sur un réseau, généralement Internet.
(2) Plateforme en tant que service (PaaS): Les outils de développement (par exemple, les systèmes d’exploitation) sont hébergés dans le cloud et accessibles via un navigateur. Avec PaaS, les développeurs peuvent créer des applications Web sans installer d’outils sur leur ordinateur, puis déployer ces applications sans aucune compétence administrative spécialisée.
(3) Infrastructure en tant que service (IaaS) : L’utilisateur du cloud sous-traite l’équipement utilisé pour prendre en charge les opérations, y compris le stockage, le matériel, les serveurs et les composants réseau. Le fournisseur est propriétaire de l’équipement et est responsable de son logement, de son fonctionnement et de son entretien. L’utilisateur paie généralement par utilisation.
Pour déployer le cloud computing, le National Institute of Standards and Technology (NIST) des États-Unis a répertorié 4 modèles (voir Figure 1) :
(1)Cloud public : Un fournisseur de services cloud met des ressources (applications et stockage) à la disposition du grand public sur Internet sur une base de paiement à l’utilisation. Par exemple, Amazon Elastic Compute Cloud (EC2) permet aux utilisateurs de louer des ordinateurs virtuels sur lesquels exécuter leurs propres applications. EC2 fonctionne au sein de l’infrastructure réseau et des centres de données d’Amazon et permet aux clients de ne payer que ce qu’ils utilisent sans frais minimum.
(2) Cloud privé: Une infrastructure cloud est exploitée uniquement pour une seule organisation. En d’autres termes, le réseau propriétaire ou le centre de données fournit des services hébergés à un certain groupe de personnes. Par exemple, Microsoft Azure permet aux clients de jeter les bases d’une infrastructure de cloud privé à l’aide de la famille de produits Windows Server et System Center avec la boîte à outils Dynamic Data Center.
(3) Cloud communautaire : L’infrastructure cloud est partagée par plusieurs organisations ayant des préoccupations communes (par exemple, mission, exigences de sécurité, politiques et considérations de conformité). Par exemple, le Google GovCloud fournit au conseil municipal de Los Angeles un environnement de données séparé pour stocker ses applications et ses données qui ne sont accessibles qu’aux agences de la ville.
(4)Cloud hybride : L’infrastructure cloud comprend 2 clouds ou plus (privés, publics ou communautaires). Dans cette infrastructure, une organisation fournit et gère certaines ressources au sein de son propre centre de données et en fait fournir d’autres en externe. Par exemple, IBM collabore avec Juniper Networks pour fournir une infrastructure de cloud hybride aux entreprises afin d’étendre de manière transparente leurs clouds privés à des serveurs distants dans un cloud public sécurisé.
État et adoption du Cloud Computing dans les soins de santé
De nombreuses études antérieures ont rapporté les avantages potentiels du cloud computing et ont proposé différents modèles ou cadres pour tenter d’améliorer les services de soins de santé. Parmi eux, Rolim et al ont proposé un système basé sur le cloud pour automatiser le processus de collecte des données vitales des patients via un réseau de capteurs connectés à des dispositifs médicaux existants, et pour livrer les données au « cloud » d’un centre médical pour le stockage, le traitement et la distribution. Les principaux avantages du système sont qu’il fournit aux utilisateurs une collecte de données en temps réel 7 jours par semaine, élimine le travail de collecte manuelle et la possibilité d’erreurs de frappe, et facilite le processus de déploiement. Nkosi et Mekuria ont décrit un système de gestion de protocole de cloud computing qui fournit un traitement du signal de capteur multimédia et une sécurité en tant que service aux appareils mobiles. Le système a permis aux appareils mobiles d’exécuter des algorithmes multimédias et de sécurité plus lourds pour fournir des services de santé mobiles. Cela permettra d’améliorer l’utilisation de l’appareil mobile omniprésent pour les services sociaux et de promouvoir la prestation de services de santé aux communautés rurales marginalisées. Rao et al ont fait état d’une initiative sur le cloud généralisée appelée Dhatri, qui exploite la puissance du cloud computing et des technologies sans fil pour permettre aux médecins d’accéder aux informations sur la santé des patients à tout moment, de n’importe où. Koufi et al ont décrit un prototype de système médical d’urgence basé sur le cloud pour le Service national de santé grec intégrant le système d’urgence avec des systèmes de dossiers de santé personnels pour fournir aux médecins un accès facile et immédiat aux données des patients de n’importe où et via presque n’importe quel appareil informatique tout en limitant les coûts.
De nombreux articles et ressources ont également fait état de l’application réussie du cloud computing dans la recherche en bioinformatique. Par exemple, Avila-Garcia et al ont proposé un cadre basé sur le concept de cloud computing pour l’analyse et la recherche en imagerie du cancer colorectal à usage clinique. Bateman et Wood ont utilisé le service EC2 d’Amazon avec 100 nœuds pour assembler un génome humain complet avec 140 millions de lectures individuelles nécessitant un alignement à l’aide d’un algorithme de recherche de séquences et d’alignement par hachage (SSAHA). Kudtarkar et al ont également utilisé EC2 d’Amazon pour calculer des relations orthologues pour 245 323 comparaisons de génome à génome. Le calcul a pris un peu plus de 200 heures et a coûté 8 000 US US, soit environ 40% de moins que prévu. Memom et al ont appliqué le cloud computing pour évaluer l’impact des quadruplex G sur les tableaux Affymetrix. Le Laboratoire de médecine personnalisée du Centre d’informatique biomédicale de la Harvard Medical School a profité du cloud computing pour développer des modèles de tests génétiques qui ont réussi à manipuler d’énormes quantités de données en un temps record.
Outre les chercheurs universitaires, de nombreuses sociétés de logiciels de classe mondiale ont massivement investi dans le cloud, élargissant leurs nouvelles offres de services de dossiers médicaux, telles que HealthVault de Microsoft, Exalogic Elastic Cloud d’Oracle et Amazon Web Services (AWS), promettant une explosion du stockage des informations de santé personnelles en ligne. En outre, l’utilisation du cloud computing sanitaire est signalée dans le monde entier. Par exemple, AWS héberge un ensemble d’offres informatiques de soins de santé, telles que l’application de stockage de données de soins de santé de Spearstone basée à Salt Lake City, et DiskAgent utilise Amazon Simple Storage Service (Amazon S3) comme infrastructure de stockage évolutive.
Le réseau professionnel américain améliore les soins aux patients en numérisant les dossiers de santé et en mettant à jour ses processus cliniques à l’aide du logiciel basé sur le cloud des partenaires commerciaux d’IBM MedTrak Systems. La société peut désormais fournir une facturation plus rapide et plus précise aux particuliers et aux compagnies d’assurance, réduisant ainsi le délai moyen de création d’une facture de 7 jours à moins de 24 heures et réduisant les coûts de transcription médicale de 80%.
Le Département de la Santé des États-Unis &Le Bureau du Coordonnateur national des technologies de l’Information sur la Santé des Services humains a récemment choisi le système de gestion de la relation client et de gestion de projet basé sur le cloud d’Acumen Solutions pour la sélection et la mise en œuvre de systèmes de DSE à travers les États-Unis. Le logiciel permet aux centres régionaux de vulgarisation de gérer les interactions avec les prestataires médicaux liées à la sélection et à la mise en œuvre d’un système de DSE.
Telstra et le Royal Australian College of General Practitioners ont annoncé la signature d’un accord pour travailler ensemble à la construction d’un cloud de santé en ligne. Telstra est l’un des principaux fournisseurs de télécommunications en Australie; le Collège est le plus grand organisme représentatif de la pratique générale en Australie avec plus de membres 20,000 et plus de 7000 dans sa faculté rurale nationale. Le nuage de cybersanté hébergera des applications de soins de santé, notamment des logiciels cliniques, des outils d’aide à la décision pour le diagnostic et la gestion, des plans de soins, des outils de référence, des ordonnances, de la formation et d’autres services administratifs et cliniques.
En Europe, un consortium comprenant IBM, Sirrix AG security technologies, les fournisseurs portugais d’énergie et de solutions Energias de Portugal et EFACEC, l’hôpital San Raffaele (Italie) et plusieurs organisations de recherche universitaires et d’entreprise européennes ont fait appel à Trustworthy Clouds — un service de soins de santé à domicile centré sur le patient – pour surveiller, diagnostiquer et aider à distance les patients en dehors d’un milieu hospitalier. Le cycle de vie complet, de la prescription à la livraison en passant par la prise en charge et le remboursement, sera stocké dans le cloud et sera accessible aux patients, aux médecins et au personnel de la pharmacie.
Opportunités et défis de l’informatique en nuage dans le domaine de la santé
Des recherches récentes indiquent que 75 % des directeurs de l’information ont déclaré qu’ils auront besoin et utiliseront l’informatique en nuage dans un avenir proche. Les prévisions, menées par Mark Beccue, suggéraient que le nombre de personnes souscrivant à des applications cloud mobiles passerait de 71 millions à près d’un milliard d’ici 2014. Dans les secteurs de la santé, de nombreuses organisations, gestionnaires et experts estiment que l’approche du cloud computing peut également améliorer les services et bénéficier à la recherche. En outre, un rapport de l’Agence européenne pour la Sécurité des réseaux et de l’information (ENISA) indique que ce nouveau modèle informatique devrait faire l’objet d’investissements mondiaux massifs dans de nombreux secteurs, y compris les soins de santé. Le rapport estime également que, d’ici 2013, 44 milliards de dollars US seront dépensés dans le monde entier pour l’informatique en nuage, ce qui pourrait apporter d’énormes avantages aux soins de santé.
Comme pour toute innovation, le cloud computing doit être rigoureusement évalué avant son adoption généralisée. Peu d’articles de recherche ont systématiquement étudié l’impact du cloud computing sur l’informatique de santé en termes d’opportunités et de défis. Cette étude passe en revue la littérature et évalue les opportunités et les défis du point de vue de la gestion, de la technologie, de la sécurité et de la légalité (voir le tableau 1).
Aspects | Opportunités | Défis | |
Gestion | Coût inférieur de la nouvelle infrastructure ITa | Manque de confiance des professionnels de la santé | |
Calcul ressources disponibles sur demande | Inertie organisationnelle | ||
Paiement d’utilisation à court terme au besoin | Perte de gouvernance | ||
Conformité incertaine du fournisseur | |||
Réduction des charges de maintenance de l’ITa | Technologie | Réduction des charges de maintenance de l’ITa | Problèmes d’épuisement des ressources |
Évolutivité et flexibilité de l’infrastructure | Performances imprévisibles | ||
Avantage pour le vert l’informatique | Verrouillage des données | ||
Goulets d’étranglement de transfert de données | |||
Sécurité | Plus de ressources disponibles pour la protection des données | Échec de séparation | |
Réplication de données dans plusieurs emplacements augmentant la sécurité des données | Problèmes d’interface de gestion publique | ||
Ressources défensives à échelle dynamique renforçant la résilience | |||
Abus de privilèges | |||
Juridique | Engagements du fournisseur pour protéger les données et la confidentialité des clients | Questions relatives à la juridiction des données | |
Développement de lignes directrices et de technologies pour permettre la construction de plates-formes de confiance par des organisations à but non lucratif | Problèmes de confidentialité | ||
Promotion de réglementations par le gouvernement pour la protection des données et de la vie privée |
une technologie de l’information.
Aspect de gestion
Opportunité
Le principal avantage du cloud computing est son faible coût. Par exemple, Amazon ne facture que 0,1 USD par heure pour les « tranches » d’architecture de jeu d’instructions 1,0 GHz × 86 d’EC2. Amazon S3 facture de 0,12 $ US à 0 $.15 par gigaoctet-mois, avec des frais de bande passante supplémentaires de 0,10 à 0,15 USD par gigaoctet pour transférer des données vers et hors d’AWS sur Internet. Une organisation peut facilement obtenir une solution informatique rentable et sur site grâce au cloud computing sans avoir besoin d’acheter ou d’évaluer du matériel ou des logiciels, ou d’embaucher du personnel informatique interne pour entretenir et entretenir l’infrastructure interne. Le résultat est que l’organisation peut se concentrer sur des tâches critiques sans avoir à engager des coûts supplémentaires en matière de dotation en personnel informatique et de formation.
De plus, l’approche du cloud computing accélère le déploiement tout en conservant une flexibilité vitale (élasticité rapide et accès omniprésent aux ressources de santé). Cette capacité signifie que, à mesure que la demande évolue, les hôpitaux et autres fournisseurs de soins de santé n’ont pas besoin d’ajuster leurs infrastructures pour s’adapter aux changements.
Défis
Les principaux défis comprennent le manque de confiance des utilisateurs dans la sécurité et la confidentialité des données, l’inertie organisationnelle, la perte de gouvernance et la conformité incertaine des fournisseurs.
La confiance est au cœur de la résistance de nombreux clients au cloud. Des inquiétudes surgissent lorsque leurs données sensibles et leurs applications critiques passent à un paradigme de cloud computing où les fournisseurs ne peuvent garantir l’efficacité de leurs contrôles de sécurité et de confidentialité.
La résistance culturelle (c’est-à-dire l’inertie organisationnelle) pour partager des données et changer les méthodes de travail traditionnelles est un défi de gestion commun à l’adoption du cloud computing.
Dans certains cas, un contrat de niveau de service peut ne pas offrir un engagement permettant au client d’auditer ses données. La perte de gouvernance des données pourrait avoir un impact grave sur la stratégie d’un utilisateur du cloud et donc sur sa capacité à atteindre sa mission et ses objectifs.
Enfin, si un fournisseur ne peut pas respecter les normes de conformité requises (par exemple, les lois, réglementations, normes, contrats ou modifications de politique applicables), l’investissement d’un client peut être menacé. Dans certains cas, certains services à la clientèle (par exemple, les transactions par carte de crédit) ne peuvent pas être utilisés.
Aspect technologique
Opportunité
Les petits hôpitaux, cabinets médicaux et laboratoires ne disposent généralement pas de personnel informatique interne pour entretenir et entretenir l’infrastructure interne des applications critiques telles que les DSE. Par conséquent, l’élimination des nouveaux coûts d’infrastructure et des charges de maintenance informatique peut lever de nombreux obstacles à l’adoption du DSE. Pour les grandes organisations de santé, confier les besoins en stockage de données ou en applications informatiques à un fournisseur de cloud transfère essentiellement la charge de gestion informatique à un fournisseur tiers. Du point de vue de la gestion informatique, le cloud computing peut augmenter l’évolutivité, la flexibilité et la rentabilité de l’infrastructure.
En outre, le cloud computing présente des avantages pour ce qu’on appelle l’informatique verte — l’utilisation plus efficace des ressources informatiques pour aider l’environnement et promouvoir les économies d’énergie. L’utilisation de ressources informatiques prêtes à l’emploi adaptées aux besoins d’une organisation l’aide certainement à réduire les dépenses d’électricité. Tout en économisant de l’électricité, il économise également les ressources nécessaires pour refroidir les ordinateurs et autres composants. Cela réduit les émissions de matières dangereuses dans l’environnement.
Défis
Plusieurs défis techniques liés à l’utilisation du cloud computing incluent l’épuisement des ressources, l’imprévisibilité des performances, le verrouillage des données, les goulots d’étranglement du transfert de données et les bogues dans les systèmes cloud distribués à grande échelle.
Le faible coût et les ressources informatiques disponibles à la demande sont deux caractéristiques clés du cloud computing. Cependant, le marché est de plus en plus encombré de grands fournisseurs. En raison de la forte concurrence, de nombreux fournisseurs de cloud utilisent trop de ressources informatiques (par exemple, l’allocation d’unités de traitement centrales, l’espace de stockage, les applications) pour attirer des clients. Afin de maintenir le profit, ils ont coupé les coins ronds dans le système de livraison de valeur. Par exemple, ils peuvent limiter l’accès aux ressources du cloud, utiliser du matériel ou des logiciels obsolètes ou déployer une technologie CPU plus ancienne. Malheureusement, la plupart des clients du cloud ne sont pas en mesure de gouverner l’architecture virtuelle et les fournisseurs n’autorisent généralement pas un audit par les clients. Le résultat est variable conduisant à des performances imprévisibles dans le service. Cette différence entre les attentes du client et ce que le fournisseur peut réellement fournir représente un défi technique majeur pour le client du cloud afin de fournir un service de haute qualité à ses propres utilisateurs.
Le verrouillage des données est également un défi important. Dans certains cas, les utilisateurs du cloud peuvent devoir transférer des données ou des services vers un autre fournisseur ou vers un environnement informatique interne car le fournisseur cesse ses activités commerciales ou ses activités de service. Par exemple, Google a décidé de mettre fin à son service Google Health le 1er janvier 2012. Les utilisateurs ont un an pour télécharger leurs données de santé. Malheureusement, la plupart des infrastructures cloud offrent très peu de capacités en matière d’interopérabilité des données, des applications et des services. Il est donc difficile pour un client de migrer d’un fournisseur à un autre ou de transférer des données et des services vers un environnement informatique interne.
Certains utilisateurs du cloud (par exemple, les laboratoires de recherche biomédicale) peuvent avoir fréquemment besoin de télécharger ou de télécharger de très grandes quantités de données à partir du cloud. Les utilisateurs d’applications peuvent constater qu’il existe un goulot d’étranglement du transfert de données en raison de la limitation de la bande passante du réseau physique. Un autre risque technique spécifique est celui des bugs dans les systèmes cloud distribués à grande échelle. Par rapport aux systèmes informatiques internes, les erreurs de ces très grandes infrastructures distribuées sont plus difficiles à déboguer.
Aspect sécurité
Opportunité
La plus forte résistance à l’adoption du cloud computing dans les centres informatiques de santé concerne peut-être la sécurité des données. Néanmoins, comparé aux données hébergées localement, ce modèle n’est pas nécessairement moins sécurisé. Dans certains cas, cela améliore généralement la sécurité car les fournisseurs de cloud (par exemple, Microsoft, Google, Amazon) sont en mesure de consacrer d’énormes ressources à la résolution des problèmes de sécurité que de nombreux clients ne peuvent pas se permettre, contrairement à la destruction de nombreux dossiers médicaux et documents juridiques lors du tremblement de terre de magnitude 9.0 au Japon ou de la catastrophe de l’ouragan Katrina de la Nouvelle-Orléans.
Toutes sortes de mesures de sécurité, telles que le matériel, les logiciels, les ressources humaines et les coûts de gestion, sont moins chères lorsqu’elles sont mises en œuvre à grande échelle. La plupart des fournisseurs de cloud répliquent les données des utilisateurs à plusieurs endroits. Cela augmente la redondance des données et l’indépendance vis-à-vis des défaillances du système et fournit un niveau de reprise après sinistre. De plus, un fournisseur de cloud a toujours la possibilité de réaffecter dynamiquement des ressources de sécurité pour le filtrage, la mise en forme du trafic ou le cryptage afin d’augmenter la prise en charge des mesures défensives (par exemple, contre les attaques par déni de service distribué). La capacité à mettre à l’échelle dynamiquement les ressources défensives à la demande présente des avantages évidents pour la résilience.
Défis
L’utilisation de l’INFORMATIQUE comporte de nombreux risques pour la sécurité des données, tels que les attaques de pirates informatiques, les ruptures de réseau, les catastrophes naturelles, l’échec de la séparation, l’interface de gestion publique, une mauvaise gestion des clés de chiffrement et l’abus de privilèges. Les risques spécifiques au cloud computing sont l’échec de la séparation, l’interface de gestion publique, une mauvaise gestion des clés de chiffrement et l’abus de privilèges.
Le Cloud computing est généralement accessible à de nombreux clients différents. Si le fournisseur ne parvient pas à séparer les ressources, cela pourrait entraîner des risques de sécurité très graves. Par exemple, un client demande à supprimer des données stockées dans l’infrastructure virtuelle ; comme avec la plupart des systèmes d’exploitation, cela peut ne pas entraîner un véritable effacement des données immédiatement. Les données sont toujours stockées sur le disque mais ne sont tout simplement pas disponibles. Dans l’environnement de location multiple, les ressources matérielles sont réutilisées par d’autres clients. Dans ce cas, un tiers pourrait avoir accès aux données » supprimées » d’un autre client. Cela présente un risque plus élevé pour les clients du cloud qu’avec du matériel dédié.
L’interface de gestion publique est l’autre talon d’achille du cloud computing. Comme indiqué dans le résumé des risques liés au cloud computing de l’ENISA :
Les interfaces de gestion des clients des fournisseurs de cloud public sont accessibles sur Internet et permettent d’accéder à des ensembles de ressources plus importants (que les fournisseurs d’hébergement traditionnels) et présentent donc un risque accru, en particulier lorsqu’elles sont combinées à des vulnérabilités d’accès à distance et de navigateur Web
Un cryptage fort avec gestion des clés est l’un des mécanismes de base que les systèmes de cloud computing utilisent pour se prémunir contre la perte et le vol de données. Cependant, une mauvaise procédure de gestion des clés peut entraîner la perte des clés de chiffrement, la divulgation de clés secrètes ou de mots de passe à des parties malveillantes ou une utilisation non autorisée pour l’authentification.
Enfin, à mesure que l’utilisation du cloud augmente, les employés peuvent devenir de plus en plus des cibles pour les organisations criminelles. Si l’initié malveillant est un administrateur système, il peut utiliser ses privilèges pour voler des données critiques.
Aspect juridique
Opportunité
La protection des données et de la vie privée est essentielle pour renforcer la confiance des clients nécessaire pour que le cloud computing atteigne son plein potentiel. Si les fournisseurs adoptent des politiques et des pratiques meilleures et plus claires, les utilisateurs seraient mieux à même d’évaluer les risques connexes auxquels ils sont confrontés. Heureusement, de nombreux fournisseurs principaux se sont engagés à élaborer les meilleures politiques et pratiques pour protéger les données et la confidentialité des clients. Outre les engagements des fournisseurs envers cette protection, certaines organisations, telles que la Cloud Security Alliance, ont élaboré un guide complet pour traiter les problèmes de sécurité et de confidentialité. Le Trusted Computing Group (http://www.trustedcomputinggroup.org/), une organisation à but non lucratif, propose un ensemble de technologies matérielles et logicielles pour permettre la construction de plates-formes de confiance. Les gouvernements jouent également un rôle essentiel en favorisant une réglementation généralisée des accords pour les utilisateurs et les fournisseurs.
Défis
L’utilisation du cloud computing pose de nombreux problèmes juridiques tels que le droit des contrats, les droits de propriété intellectuelle, la juridiction des données et la confidentialité. Parmi eux, les questions de compétence en matière de données et de confidentialité sont des préoccupations majeures.
Dans le cloud, les stockages physiques pourraient être largement distribués dans plusieurs juridictions, chacune pouvant avoir des lois différentes en matière de sécurité des données, de confidentialité, d’utilisation et de propriété intellectuelle. Par exemple, le Health Insurance Portability and Accountability Act (HIPAA) des États-Unis interdit aux entreprises de divulguer des données de santé personnelles à des tiers non affiliés, et le PATRIOT (United and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism) Act donne au gouvernement américain le droit d’exiger des données s’il déclare que les conditions sont urgentes ou nécessaires à la sécurité intérieure. De même, la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE) limite les pouvoirs des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels dans le cadre d’activités commerciales. Cependant, un fournisseur peut, sans préavis à un utilisateur, déplacer les informations de l’utilisateur d’une juridiction à l’autre. Les données dans le cloud peuvent avoir plusieurs emplacements légaux en même temps, avec des conséquences juridiques différentes.
Le Cloud computing est un environnement de ressources partagées et multitenance pour la capacité, le stockage et le réseau. Le risque de confidentialité de ce type d’environnement inclut la défaillance des mécanismes de séparation du stockage, de la mémoire, du routage et même de la réputation entre les différents locataires de l’infrastructure partagée. Le stockage centralisé et la location partagée de l’espace de stockage physique signifient que les utilisateurs du cloud courent un risque plus élevé de divulgation de leurs données sensibles (par exemple, leurs dossiers de santé) à des parties indésirables.
Une mauvaise notification de violation est également un problème de confidentialité important. Par exemple, la LPRPDE a proposé une nouvelle obligation pour les organisations de signaler les atteintes importantes à la protection de la vie privée du Canada au commissaire à la protection de la vie privée du Canada et d’aviser les personnes qui présentent un risque de préjudice. Malheureusement, la notification de violation ne protège pas vraiment la vie privée d’un client. Une enquête récente montre que les consommateurs qui ont reçu des notifications de violation de données au cours de la dernière année courent un risque de fraude beaucoup plus élevé que le consommateur typique.
Planification stratégique de l’informatique en nuage
Lorsqu’un organisme de santé envisage de transférer son service dans le cloud, il a besoin d’une planification stratégique pour examiner les avantages et les risques du nouveau modèle, évaluer ses capacités à atteindre l’objectif et identifier les stratégies conçues pour sa mise en œuvre. Plusieurs références sont disponibles pour établir un plan stratégique cloud. Par exemple, Marks et Lozano décrivent la méthode du cycle de vie d’adoption du cloud computing impliquant 9 étapes pour aider les utilisateurs à démarrer un projet cloud. Il s’agit de la preuve de concept / projet pilote, de la stratégie et de la feuille de route, de la modélisation et de l’architecture, de la planification de la mise en œuvre, de la mise en œuvre, de l’expansion, de l’intégration, de la collaboration et de la maturité.
Le Project Management Institute, une association à but non lucratif pour la profession de gestionnaire de projet, a publié un livre blanc sur le cloud computing qui peut être utilisé comme référence pour tout chef de projet cloud. Le document fournit 8 étapes clés pour la mise en œuvre du cloud computing, ainsi que 2 études de cas qui soutiennent la méthode.
Stanoevska-Slabeva et al fournissent également des lignes directrices pratiques pour déplacer l’infrastructure informatique traditionnelle vers les nuages: analyse initiale de la demande et de la préparation au cloud computing, décision stratégique d’introduire le cloud computing, mise en œuvre pilote, interconnexion interne, inclusion de ressources externes et suivi et évaluation continus.
Le Plan stratégique fédéral de l’informatique sanitaire des États-Unis, publié en juin 2008, peut également être utilisé par les grands organismes gouvernementaux pour mettre en œuvre des projets de cloud sanitaire. Le Plan chargeait le Bureau du Coordonnateur national des technologies de l’information sur la santé de jouer un rôle de chef de file dans le développement et la mise en œuvre à l’échelle nationale d’une infrastructure informatique de santé interopérable afin d’améliorer la qualité et l’efficacité des soins de santé. Le plan stratégique comporte 2 objectifs : les soins de santé axés sur le patient et la santé de la population, avec 4 objectifs sous chaque objectif. Les objectifs des deux objectifs sont la confidentialité et la sécurité, l’interopérabilité, l’adoption et la gouvernance collaborative. Le plan pour atteindre chaque objectif est détaillé à travers 43 stratégies qui décrivent le travail nécessaire pour atteindre chaque objectif. Chaque stratégie est associée à une étape par rapport à laquelle les progrès peuvent être évalués et à un ensemble d’actions illustratives pour mettre en œuvre chaque stratégie.
Outre les méthodes de planification stratégique susmentionnées, cet article, basé sur une étude, propose un modèle de planification stratégique de l’informatique en nuage (HC2SP) pour les soins de santé qui peut être utilisé par un organisme de santé pour déterminer son orientation, sa stratégie et son allocation de ressources pour migrer des services de santé traditionnels vers des services basés sur le cloud. Le modèle comprend 4 étapes : identification, évaluation, action et suivi (voir Figure 2).
Étape 1: Identification
Dans ce modèle HC2SP, la première étape consiste à analyser l’état actuel du processus de service de l’organisation de santé et à identifier l’objectif fondamental d’amélioration du service en entendant la voix du client ou des patients. La méthode d’analyse des causes profondes peut être appliquée pour analyser les problèmes du processus de service actuel. Une hiérarchie typique des causes serait exprimée comme suit:
Problème #1: Le processus d’admission du patient à l’hôpital ou de sortie de l’hôpital est trop long. Pourquoi? Il y a trop de graphiques inutiles (en double). Pourquoi? Le système de cartographie sur papier est inefficace. Pourquoi? Il y a un manque de systèmes d’information automatisés tels que le DSE / DME. Pourquoi? Cela implique beaucoup d’investissements informatiques et de maintenance initiaux.
L’identification objective et sa portée doivent être clarifiées afin de servir les utilisateurs finaux (patients) de manière plus efficiente et efficace. De plus, l’équipe de planification stratégique doit définir des indicateurs de qualité des services de santé et expliquer leur objectif ainsi que l’utilisation de chaque indicateur. Cette étape du modèle fournit à l’équipe de planification stratégique une portée bien définie pour le problème de service auquel elle est confrontée.
Étape 2: Évaluation
La deuxième étape du modèle consiste à évaluer les opportunités et les défis liés à l’adoption du cloud computing. L’ENISA, la Cloud Security Alliance et le NIST ont élaboré des guides complets pour évaluer les avantages et les risques de l’adoption du cloud computing. Un utilisateur potentiel peut également appliquer une analyse SWOT (forces, faiblesses, opportunités et menaces) pour évaluer la faisabilité de l’approche basée sur le cloud.
En outre, l’utilisateur doit évaluer les méthodes pour gérer les problèmes identifiés. De nombreuses références sont disponibles à cet effet (voir tableau 2). Par exemple, Armbrust et al rapportent 10 obstacles majeurs pour le cloud computing. Chaque obstacle est associé à des opportunités (solutions), allant du développement simple de produits aux grands projets de recherche. Buyya et Ranjan discutent de plusieurs problèmes de gestion fédérés dans le cloud, tels que les goulots d’étranglement du transfert de données, la journalisation partagée et la fédération de clusters distribués. Ils fournissent également d’autres références pour traiter les questions discutées. De plus, Kuo et al proposent un médiateur basé sur XML pour résoudre les problèmes de verrouillage des données.
Défis | Ressources | Résumé de la solution | /td> |
Problèmes de gestion et problèmes techniques | Armbrust et al | Dix solutions pour gérer les problèmes techniques, stratégiques et commerciaux | |
Buyya et Ranjan | Autres références pour gérer les problèmes de gestion fédérés dans le cloud | ||
Kuo et al | Médiateur basé sur XML pour gérer le verrouillage des données – problèmes d’interopérabilité | ||
Problèmes de sécurité et problèmes juridiques | Alliance de sécurité dans le cloud | Solutions pour gérer les problèmes de gouvernance et d’exploitation du cloud (12 domaines) | |
Directives NISTa | Recommandations de précaution pour traiter les problèmes de sécurité et de confidentialité | ||
Ward et Sipior | Cinq stratégies de traitement des questions de compétence des données |
Un Institut national des Normes et de la Technologie.
La Cloud Security Alliance décrit 12 domaines de préoccupation pour le cloud computing. Les domaines sont divisés en 2 grandes catégories: gouvernance et opérations. Des recommandations de solutions sont également fournies pour chaque domaine. Les Directives du NIST sur la sécurité et la confidentialité dans le Cloud Computing public désignent de nombreux problèmes clés de sécurité et de confidentialité du cloud et les recommandations de précaution correspondantes que les organisations doivent suivre lors de la planification ou du lancement d’un accord d’externalisation de services de cloud public. Ward et Sipior se concentrent sur les questions de compétence. Ils recommandent 5 stratégies aux clients du cloud pour faire face aux problèmes de juridiction.
Étape 3: Action
Après avoir évalué le nouveau modèle informatique, l’organisation sera en mesure de déterminer s’il faut adopter le service ou non. Si la réponse est oui, il doit élaborer un plan de mise en œuvre. Ce document propose un plan en 5 étapes comme suit.
Étape 1 : Déterminer le Service Cloud et le Modèle de déploiement
Comme indiqué ci-dessus, le cloud computing peut faire référence à plusieurs types de services différents (SaaS, PaaS et IaaS) et à différents modèles de déploiement (cloud privé, public, communautaire et hybride). Chaque type de service ou modèle de déploiement a ses propres avantages et risques. Par conséquent, les considérations clés dans la passation de marchés pour différents types de services ou modèles de déploiement devraient être différentes.
Étape 2: Comparer différents fournisseurs de Cloud
Le choix d’un fournisseur de cloud approprié est la partie la plus importante du plan de mise en œuvre. Différents fournisseurs peuvent proposer différents modèles de services, schémas de tarification, procédures d’audit et politiques de confidentialité et de sécurité. L’organisation doit comparer différentes offres. En outre, il doit évaluer la réputation et les performances du fournisseur avant de signer un contrat.
Étape 3: Obtenir l’assurance Du fournisseur de Cloud sélectionné
L’organisation a besoin de l’assurance que le fournisseur sélectionné fournira une qualité de service et respectera les bonnes pratiques et réglementations en matière de confidentialité, de sécurité et juridiques. Les garanties de qualité de service incluent un accès à la demande, un paiement à l’utilisation, une élasticité rapide, une assistance de dépannage à temps et une transparence opérationnelle. Les garanties de confidentialité et de sécurité couvrent la confidentialité, l’intégrité, la disponibilité, l’authenticité, l’autorisation et la non-répudiation des données. En outre, le fournisseur doit s’assurer que les données, y compris toutes ses sauvegardes, sont stockées uniquement dans des emplacements géographiques autorisés par le contrat, l’accord de niveau de service et la réglementation.
Étape 4 : Envisager une migration future des données
L’organisation peut être amenée à transférer des données et des services vers un autre fournisseur ou vers un environnement informatique interne parce que le fournisseur cesse ses activités commerciales ou ses activités de service (par exemple, l’arrêt récent de Google Health), a une diminution inacceptable de la qualité du service ou a un différend contractuel. La portabilité des données doit être envisagée à l’avance dans le cadre du plan.
Étape 5 : Démarrer une implémentation pilote
De nombreuses méthodes de planification stratégique précédentes suggèrent qu’une organisation sans expérience préalable du cloud commence par une implémentation pilote. Le projet pilote devrait permettre de prouver les avantages du cloud computing pour l’organisation.
Étape 4 : Suivi
La dernière étape consiste à déployer l’infrastructure de cloud computing et à élaborer un plan de suivi. Le plan indique quand mesurer et comment mesurer les améliorations du service. Des objectifs raisonnables sont établis à l’avance et les résultats des nouveaux services sont mesurés par rapport aux objectifs ou indicateurs de performance spécifiés pour évaluer l’ampleur de l’amélioration. Si la nouvelle condition de service n’est pas satisfaite, l’organisme de santé doit examiner quels faits influencent l’atteinte de l’objectif. Si la principale cause de l’état de service insatisfait provient du fournisseur de cloud, l’organisation consultera et discutera avec le fournisseur pour améliorer le service ou peut envisager de transférer des données et des services vers un autre fournisseur ou de retourner dans son environnement informatique interne.
Discussion et conclusion
Le Cloud computing est un nouveau modèle de calcul qui promet d’offrir plus de flexibilité, moins de dépenses et plus d’efficacité dans les services informatiques aux utilisateurs finaux. Il offre des opportunités potentielles pour améliorer l’adoption des DSE, les services de soins de santé et la recherche. Cependant, comme nous l’avons vu plus haut, il reste de nombreux défis à relever pour promouvoir le nouveau modèle dans le domaine des soins de santé. La plus forte résistance à l’adoption du cloud computing dans les centres informatiques de santé concerne peut-être la sécurité des données et les questions juridiques. Heureusement, de nombreux fournisseurs principaux (par exemple, Microsoft, Google, Amazon) se sont engagés à élaborer les meilleures politiques et pratiques pour sécuriser les données et la confidentialité des clients. Certaines organisations à but non lucratif, telles que la Cloud Security Alliance et le Trusted Computing Group, ont élaboré des directives complètes et des technologies matérielles et logicielles pour permettre la construction d’applications cloud fiables. Les gouvernements favorisent également la réglementation (p. ex., HIPAA et LPRPDE) pour protéger la sécurité et la confidentialité des données des utilisateurs du cloud. De plus, la plupart des problèmes juridiques liés au cloud computing peuvent généralement être résolus par l’évaluation ou la négociation de contrats.
Lorsqu’une organisation de santé envisage de transférer son service dans le cloud, elle a besoin d’une planification stratégique pour examiner les facteurs environnementaux tels que la dotation en personnel, le budget, les technologies, la culture organisationnelle et les réglementations gouvernementales qui peuvent l’affecter, évaluer ses capacités à atteindre l’objectif et identifier des stratégies conçues pour aller de l’avant. Cet article fournit des références de planification stratégique utiles aux utilisateurs potentiels pour démarrer des projets cloud. Un nouveau modèle appelé HC2SP est également proposé qui pourrait être appliqué par un organisme de santé pour déterminer sa direction, sa stratégie et son allocation de ressources pour passer au paradigme du cloud. Le modèle comprend 4 étapes : identification, évaluation, action et suivi. Dans un premier temps, l’organisation analyse l’état actuel du processus de service et identifie l’objectif fondamental du service. L’étape 2 consiste à évaluer les opportunités et les défis liés à l’adoption du cloud computing. En utilisant l’analyse SWOT, l’organisation peut déterminer les facteurs de force et de faiblesse internes ainsi que les facteurs d’opportunité et de menace externes liés à l’adoption du nouveau modèle. Certaines solutions potentielles pour gérer les problèmes de cloud ont également été fournies. Ensuite, à l’étape 3, l’organisation établit un plan de mise en œuvre du cloud computing. L’auteur suggère que cela devrait inclure au moins les éléments suivants: déterminez le service cloud et le modèle de déploiement, comparez différents fournisseurs de cloud, obtenez l’assurance du fournisseur de cloud sélectionné, envisagez une future migration de données et démarrez une implémentation pilote. La dernière étape consiste à déployer l’infrastructure de cloud computing et à élaborer un plan de suivi pour mesurer les améliorations des services de santé.
Comme l’a commenté le Directeur général d’une société informatique en nuage:
Si vous vous êtes réveillé ce matin et que vous avez lu dans le Wall Street Journal que, disons, Overstock.com a cessé d’utiliser UPS et FedEx et les États-Unis. courrier, et avait acheté des flottes de camions et commencé à louer des centres aéroportuaires et à livrer eux-mêmes des produits, on dirait qu’ils étaient hors de leur esprit. Pourquoi est-ce beaucoup plus fou qu’une entreprise de soins de santé qui dépense 2 milliards de dollars par an en technologies de l’information (traditionnelles)?
Le Cloud computing présente une opportunité intéressante pour les consommateurs d’informatique et les producteurs de services d’information. Les recherches de Gartner ont également révélé que le cloud computing était la priorité technique des directeurs de l’information en 2011. Cependant, l’adoption du cloud computing est un processus complexe impliquant de nombreux facteurs. Il nécessite une évaluation rigoureuse avant d’introduire le nouveau modèle informatique dans une organisation. Ce document se concentre sur 4 aspects de l’évaluation et de la planification stratégique, qui aideront les organisations de santé à déterminer s’il faut (ou comment) migrer des services de santé traditionnels vers des services de santé basés sur le cloud.