Accueil > Parcours de soins > Outils professionnels > Choisir sa messagerie sécurisée de santé Choisir sa messagerie sécurisée de santé L’Asip santé régule depuis 2014 l’offre en matière de messageries sécurisées de santé. Un passage obligé pour les établissements de santé désireux de dématérialiser les échanges de données de santé, dans un contexte où le virage numérique en santé s’accélère et où la coordination ville/hôpital se fait de plus en plus nécessaire. Mais seul un tiers de ces acteurs est aujourd’hui équipé. Mode d’emploi du raccordement à une MSS et panorama des opérateurs du marché. Par . Publié le 02 septembre 2019 à 10h50 - Mis à jour le 02 septembre 2019 à 10h50 Ressources En juin 2019, l’Agence des systèmes d’information partagés de santé (Asip santé) dénombrait 1 226 établissements de santé – sur 3 300 – raccordés à une messagerie sécurisée de santé recensée par “l’espace de confiance” MSSanté. Cette plateforme, créée par l’Asip en avril 2014 pour le compte des pouvoirs publics, regroupe l’ensemble des messageries réservées aux professionnels de santé selon des standards d’interopérabilité, de sécurité et de conformité à la loi. Un raccordement obligatoire : “l’échange de données de santé est encadré par la loi, rappelle Mathieu Slosar, chargé de mission au pôle Appui aux acteurs et relations avec les clients de l’Asip et responsable du déploiement de MSSanté. Si un établissement veut faire des échanges dématérialisés de données de santé, il doit utiliser une messagerie qui respecte les règles de MSSanté”. En assurant leur interopérabilité, l’Asip garantit aussi que des messageries sécurisées de santé (MSS) sont capables de communiquer entre elles, quel que soit l’opérateur du destinataire. Son “espace de confiance” identifie en outre l’ensemble des professionnels habilités à échanger des données de santé, soit un annuaire des acteurs ayant besoin d’échanger des données de santé et habilités à le faire, sécurisant ainsi les échanges. L’adresse MSSanté fait en effet partie des traits d’identité des personnes physiques et morales présentes dans l’annuaire santé national, au même titre que les identifiants RPPS, Adeli ou Finess. Enfin, la traçabilité des échanges est ainsi maîtrisée et le dossier patient informatisé (DPI) peut être raccordé à l’espace de confiance, permettant des échanges automatisés de comptes-rendus par exemple, depuis le DPI. Sur les 1 226 établissements dit “compatibles”, soit “la plupart des centres hospitaliers (CH) et centres hospitalo-universitaires (CHU)” souligne Mathieu Slosar, “il y a ceux qui ont mis en place leur propre service de messagerie, et ceux qui passent par un opérateur tiers”, poursuit-il. L’Asip comptabilise 215 MSS, dont 179 portées par des établissements, 13 par des groupements régionaux d’appui au développement de l’e-santé (Grades), 1 opérée pour le compte des Ordres (Mailiz) et 22 offres industrielles, dont les fournisseurs contractualisent avec l’Asip. En revanche, l’Asip ne recense pas encore les offres compatibles MSSanté des éditeurs de système d’information hospitalier (SIH), “n’ayant pas de contrat avec eux, précise Mathieu Slosar. Toutefois, nous travaillons avec le GIE Sesam-Vitale (qui facilite les échanges sécurisés entre professionnels de santé et organismes d’assurance maladie, ndlr) pour inscrire dans leur catalogue la MSS Compatibilité des solutions portées par ces éditeurs. D’ici la fin de l’année, nous devrions disposer de quelques informations sur le sujet”. Certains SIH comme ceux de Maincare ou Softway proposent en effet une brique MSS. Un indicateur Hop’En Si “plus d’un tiers des établissements sont connectés” à MSSanté, relève Mathieu Slosar, deux tiers utilisent donc une messagerie classique ou une messagerie interne et n’ont toujours pas dématérialisé leurs échanges entre établissements ou avec la médecine de ville. Or “MSSanté est un premier flux d’interopérabilité possible, une première étape pour un établissement”. Dans le cadre de la stratégie Ma Santé 2022, il constitue aussi “un outil au sein du ‘socle commun’ nécessaire à un développement cohérent de la e-santé”. En outre, “si une structure veut postuler au programme de financement Hop’En, elle doit être raccordée à MSSanté : c’est un pré-requis et c’est nous, Asip, qui transmettons la liste des établissements raccordés, souligne Mathieu Slosar. Il existe plusieurs niveaux d’indicateurs : l’un d’entre eux est de disposer d’un annuaire local à jour des correspondants. Un autre indicateur se base sur le taux de courriers, compte-rendus et lettres de liaison transmis par MSSanté aux correspondants équipés. Il faudra que 60 % des messages envoyés aux correspondants équipés le soient par MSS. C’est une très bonne chose que l’usage soit enfin pris en compte”. Autre argument : dans le contexte particulier de la mise en place des groupements hospitaliers de territoire (GHT), “ce qui nous intéresse, c’est que MSSanté soit bien présent dans la trajectoire des établissements. Il ne s’agit pas de dire ‘allez-y vite’, chaque établissement établit ses priorités, mais qu’in fine MSSanté soit bien dans les plans”. Qui plus est, “la démarche est gratuite. Rejoindre l’espace de confiance fait gagner du temps en termes de développement des usages, eu égard à l’écosystème déjà existant, défend Mathieu Slosar. Tous les plus gros acteurs sur le marché de la messagerie asynchrone, hors instantanée, et plus de 200 000 professionnels de santé ont aujourd’hui rejoint MSSanté. Une messagerie professionnelle de santé qui n’est pas compatible MSSanté ne serait pas interopérable avec le reste des acteurs du secteur. Elle serait isolée. Il n’existe pas d’obligation d’adopter spécifiquement MSSanté ou de structurer les messages d’une certaine manière mais, si tout le monde souhaite se comprendre, il est utile de se baser sur les référentiels nationaux de l’Asip”. Bref, une MSS hors MSSanté “serait contre-productif à mon sens”. Internaliser ou externaliser ? Reste à savoir pour les établissements encore vierges d’une MSS qui fait quoi et à choisir son opérateur. L’établissement a donc le choix de passer par son éditeur de SIH s’il en est équipé, de choisir un opérateur industriel tiers ou de déployer sa propre messagerie sécurisée de santé. L’établissement deviendra alors lui-même opérateur de MSS – il contractualisera avec l’Asip santé et assurera les aspects juridiques et techniques – mais devra se doter d’un connecteur MSSanté pour pouvoir se connecter avec l’ensemble des autres opérateurs de messagerie. Il existe ainsi des éditeurs de connecteurs, que recense aussi l’Asip santé. Choisir de déployer sa propre messagerie ou de faire appel à un opérateur dépendra “beaucoup de la taille et des moyens de la direction des systèmes d’information (DSI)”, note Mathieu Slosar. Cela dit, malgré sa taille, “l’Assistance publique-Hôpitaux de Paris (AP-HP) passe par un opérateur tiers. Cette décision relève aussi d’un choix stratégique. Faire appel à un opérateur tiers présente aussi un avantage de rapidité de mise en oeuvre, mais offre moins de flexibilité sur le service de messagerie par exemple : l’établissement est lié à son opérateur. Cela peut aussi coûter plus cher que d’héberger en propre”. À l’inverse, internaliser sa messagerie facilite l’intégration du SIH par exemple et permet de contrôler un outil sensible. mind Healh s’est penché sur les offres de sept industriels et éditeurs parmi les plus implantés en milieu hospitalier (voir tableau ci-dessous), bien sûr certifiés hébergeurs de données de santé (HDS), tout en intégrant un nouveau prestataire sur le marché plus connu jusqu’ici des pharmacies d’officine, Pharmagest avec sa filiale Axigate. Il est difficile de comparer le coût de chacune d’entre elles : il varie de 5 € HT/mois pour l’offre SaaS de Wraptor à une licence de 25 000 € pour le service proxy du même opérateur. De plus, les tarifs ne sont pas toujours communiqués et reposent sur plusieurs critères, principalement le nombre de boîtes aux lettre (BAL) nécessaire ou la taille de l’établissement. Mais toutes permettent d’échanger du contenu structuré, fonctionnent de la même manière qu’une BAL standard, sont accessibles via un webmail et proposent les trois types de BAL MSSanté : nominative, applicative et organisationnelle. La boîte nominative n’est accessible qu’à un seul professionnel (prénom.nom@chu.mssante.fr – le suffixe “mssante.fr” étant généralement la marque d’une BAL MSSanté), la boîte organisationnelle est accessible, sous la responsabilité d’un professionnel et de l’établissement, à l’ensemble d’un service (gerontologie@chu.mssante.fr) et la boîte applicative permet uniquement des envois automatisés. Cette dernière est couplée au DPI et “a pour but d’envoyer automatiquement un compte-rendu en sortie du SIH”, cite pour exemple Mathieu Slosar. En matière de structuration des données, “l’Asip conseille une structuration de l’information qui permette une interprétation directement du destinataire plutôt qu’un fichier au format PDF sans interprétation possible, qui permette également que le document se range directement dans le dossier du patient, évitant une charge de travail supplémentaire au professionnel. Outre les compte-rendus de biologie médicale, cela peut être également la structuration des lettres de liaison : toute la conciliation médicamenteuse y est notamment codée et s’intègre directement au logiciel du libéral”. Proxy ou Saas ? La plupart des industriels proposent deux types de solutions (Inovelan, Wraptor, Enovacom…) : la mise à disposition d’un proxy lorsque l’établissement dispose de son propre serveur et le mode Saas. Les plus grosses structures préfèrent ainsi plus souvent la première option. Christian Gourdin, directeur général d’Inovelan, explique que “le proxy se colle derrière l’outil de messagerie de l’établissement, par exemple un serveur Exchange. L’utilisateur dispose alors de son adresse mail classique et d’une adresse MMSanté. Un correspondant peut lui écrire sur cette dernière, le message sera réceptionné dans la boîte mail de son établissement : sur le même client de messagerie, il relève les mails de sa boîte standard non sécurisée et de sa boîte sécurisée”. Dans ce cas, c’est l’établissement qui fixe la capacité de stockage de la BAL et la taille maximum des messages, donc les règles de la BAL, en fonction de la capacité de son serveur. “Une solution totalement transparente pour l’utilisateur, ajoute Sébastien Wetter, product marketing manager dédié à la cybersécurité chez Enovacom : il n’a pas à se connecter sur une autre plateforme, il reste sur son Outlook et, quand il veut envoyer un mail MSSanté, il l’envoie à un destinataire MSsanté.” Car tous les industriels intègrent l’annuaire MSSanté, permettant de trouver un destinataire et de rejeter un mail ne s’adressant pas à un professionnel habilité. “C’est un comportement attendu dans MSSanté, indique Sébastien Wetter (Enovacom) : lorsqu’un même mail s’adresse à plusieurs destinataires sur des systèmes de messagerie différents, l’opérateur est censé le rejeter. Le proxy le fait nativement mais peut être paramétré pour savoir comment réagir : soit il bloque le mail et s’en tient à la réglementation, soit il laisse passer quand même le message MSSanté et bloque les ‘mauvais’ destinataires.” Enfin, le délai de mise en place s’avère très court, de 48 h à un mois, mais un délai reste incompressible : un nom de domaine s’obtient auprès de l’Asip en deux semaines environ, se dont se chargera l’opérateur tiers si telle est l’option retenue. Dans tous les cas, l’Asip met à disposition des établissements, sur sa plateforme de formation en ligne, un kit de déploiement en onze modules, depuis la mise en place de l’équipe projet à la formation des utilisateurs et à la communication avec son bassin de santé. Complet et interactif, il détaille également tout le processus de raccordement à MSSanté, que l’établissement soit public, privé, dépendant ou non d’un GHT et quelle que soit la solution technique retenue. 1,5 million de mails sécurisés ont été échangés au mois de juin Le dernier recensement de l’Asip santé fait état de 1 522 934 mails échangés via MSSanté sur le seul mois de juin 2019. Un chiffre qui a “plus que doublé en un an et été multiplié par 4,3 en deux ans”. 72 % des émissions proviennent des 1 226 établissements de santé aujourd’hui raccordés ; ils étaient 981 en février 2018. La création de boîtes aux lettres (BAL) MSSanté a elle aussi fortement évolué, passant de 65 744 en juin 2017 à 135 596 en juin 2018 et 224 478 en juin 2019. 93 % des BAL sont des boîtes personnelles (et non de service par exemple). “Le travail de déploiement entamé notamment par l’Asip en 2014 a permis une montée des usages exponentielle, une acculturation des établissements sur ce sujet et les précisions techniques et juridiques nécessaires au développement de l’offre”, se félicite Mathieu Slosar, chargé de mission au pôle Appui aux acteurs et relations avec les clients de l’Asip et responsable du déploiement de MSSanté. Pourquoi en tant de temps ? “Il a fallu que la synergie se mette en oeuvre : l’offre industrielle a dû se structurer, MSSanté a dû être intégrée dans les schémas directeurs du système d’information (SDSI) pluriannuels des établissements et dans les plans régionnaux de santé quinquennaux…, mais les DSI des GHT ont oeuvré à cela s’il faut le temps que la MSS s’inscrive dans leur schéma directeur. Le travail réalisé par l’Assurance maladie et son réseau pour le déploiement auprès des libéraux depuis 2016 permet d’avoir de grandes chances de retrouver son correspondant de ville dans MSSanté. Il a fallu aussi que l’Asip intègre 215 services de messagerie – une centaine est en attente d’intégration – et accompagne les acteurs, comprenne leurs difficultés, les aide sur les plans technique et organisationnel… Nous pouvons être contents.” “Carte postale ou lettre recommandée avec accusé de réception ?” En octobre 2018, le ministère de l’Économie a lancé un téléservice de vérification du niveau de sécurité de sa messagerie, que les DSI des établissements de santé peuvent toujours essayer à l’adresse https://ssi.economie.gouv.fr. Il suffit de saisir le nom de domaine puis “le serveur va analyser une demi-douzaine de critères” selon les standards techniques en vigueur. Bercy explique que “l’ambition de ce téléservice est semblable aux étiquettes énergie et vise à apporter de la transparence sur les mesures de sécurité effectivement déployées car leur empilement n’est pas toujours assuré”. Outre une note, de E à A, est fournie une “fiche d’analyse” permettant aux équipes informatiques de l’organisation ou à ses fournisseurs de se mettre à niveau. Sept offres de MSS passées au crible : Cliquer sur le tableau pour y accéder dans son intégralité. Données de santéHôpitalmessagerie sécurisée Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind