Avec 260 entreprises innovantes, une cinquantaine de laboratoires de recherche publics et 200 établissements de soins publics et privés, la Bretagne se positionne comme leader sur l'échiquier de l’innovation en santé. Au-delà du soutien apporté par Biotech Santé Bretagne, les porteurs de projets innovants bénéficient de l’accompagnement d'un écosystème dynamique, soutenu par les technopoles, pôles de compétitivité et incubateurs, les centres et plateformes technologiques et les réseaux professionnels. Autant d’arguments qui font de la Bretagne un terreau fertile pour l'émergence et la croissance de projets innovants en santé. 

Trois tiers-lieux en santé numériques, qui visent principalement à tester et évaluer en conditions réelles de nouvelles solutions ou de nouveaux usages à partir de solutions existantes, existent désormais en Bretagne, positionnant la région parmi les plus actives pour la co-construction des innovations.

Le tiers-lieu JINNOV du CHU de Rennes (lauréat de la vague 2 de l’AAP « Tiers-Lieux d’Expérimentation ») adopte une approche de décloisonnement territorial « ville - hôpital ». Il réunit à cette fin un consortium couvrant l’intégralité des parcours et filières de soins (CHU, Hospitalité Saint-Thomas de Villeneuve, URPS ML, CTPS …), ainsi que les usagers eux-mêmes (France Assos Santé). JINNOV porte deux projets emblématiques : une unité de médecine post-urgence connectée, pour un suivi médical à domicile grâce à l’Internet des objets (avec l’entreprise Hoppen) ; et une solution de dispositif médical pour simplifier la prise de mesures anatomiques, via une application mobile et l’utilisation d’un jumeau numérique (avec l’entreprise UVASC LAB).

W.INN (pour We Innovate), le tiers-lieu du CHU de Brest, permet pour sa part aux entreprises innovantes de concevoir et de tester leurs briques technologiques en lien avec l’établissement de santé, mais aussi de monter des projets d’innovations avec les collaborateurs internes, les patients et les étudiants. W.INN facilite ainsi les rencontres pour permettre d’imaginer des solutions répondant le mieux aux besoins médicaux. Les success-stories récentes des entreprises Deneo et OSO-AI (projets lauréats de l’AAP « Tiers-Lieux d’Expérimentation »), ainsi que le développement des start-ups Intradys ou Oxyledger, illustrent bien l’intérêt, pour une entreprise innovante, de collaborer avec les soignants dès la phase de conception de sa solution.

Le tiers-lieu INH Lab fait quant à lui référence au niveau national sur le handicap et l’autonomie. Sa force réside dans la fédération des experts bretons sur les doubles champs de l’innovation et du handicap. Il réunit ainsi deux centres d’innovation, le CoWork’HIT et Biotech Santé Bretagne, se nourrissant de leurs compétences en matière de coordination, prospection, réglementation ou encore dissémination des innovations. Il y associe trois structures de soin, le Centre Mutualiste de Kerpape, l’Association Saint-Hélier et la Fondation ILDYS qui, en rassemblant 8 000 patients et 2 000 professionnels, s’imposent comme un vivier formidable pour expérimenter des innovations en vie réelle et au plus proche des usages.

Ces trois tiers-lieux complémentaires font de la Bretagne un territoire très favorable à l’innovation et à l’expérimentation en santé numérique.

> Plus d'informations sur le site de Biotech Santé Bretagne

> Article paru dans Hospitalia #65, édition de mai 2024, à lire ici 

En septembre dernier, l'Agence du numérique en santé, Interop’santé et IHE Europe – initiateur du fameux Connectathon – organisaient la Semaine européenne de la e-santé à Rennes, ville numérique par excellence. Accueillie dans le cadre unique du Couvent des jacobins, cette édition 2023 a fédéré de nombreux éditeurs et start-ups, mais aussi des directeurs de systèmes d’information et des acteurs institutionnels, invités à échanger et expérimenter autour de ces enjeux stratégiques que sont l’interopérabilité logicielle et la connectivité en santé. Partie prenante de l’événement, Biotech Santé Bretagne a également apporté sa pierre à l’édifice, organisant une conférence dédiée aux bonnes pratiques pour innover en e-santé. Se concentrant sur les éléments clés de succès dès la phase de développement d’un produit ou d’un service, BSB a notamment mis en lumière trois prérequis incontournables : la co-construction avec les utilisateurs et les usagers, l’exploitation des données de santé et la sécurisation des data. 

Ce centre de référence a également témoigné de l’expertise bretonne en la matière. Il a ainsi présenté le système régional de recherche et d’innovation autour de l’exploitation sécurisée des données de santé, dont le développement a mobilisé des acteurs incontournables de l’écosystème breton – à l’instar du Ouest Data Hub, la plateforme interrégionale des données de santé des Hôpitaux Universitaires Grand Ouest (HUGO) –, tout en mettant en lumière l’équipe pluridisciplinaire de recherche « Cyber Health », créée par l’INSERM et qui est, aujourd’hui, la première équipe à être dédiée aux enjeux cyber sur ce domaine spécifique. Biotech Santé Bretagne s’est également attardé sur deux projets régionaux emblématiques pour relever le double défi de l’interopérabilité et de la cybersécurité : <Balise>, le démonstrateur de cybersécurité du Groupement régional e-santé Bretagne, et Onco-Fair, une plateforme de partage des données de santé de chimiothérapie, co-développée par l’Université de Rennes 1 et la société Kereval. Les très dynamiques tiers-lieux bretons pour l’expérimentation en santé numérique [voir ci-après – NDLR], le centre d’innovation W.INN du CHRU de Brest, et le centre spécialisé dans le handicap et le maintien de l’autonomie INH Lab, ont eux aussi été sous les feux des projecteurs.

Tous les automnes, Rennes est également le théâtre de la European Cyber Week, le forum européen de l’autonomie stratégique en cybersécurité et cyberdéfense, qui a accueilli le 23 novembre dernier la 5ème édition de la conférence Cyber & Santé, co-organisée par le GIP SIB et Biotech Santé Bretagne. Particulièrement riche en enseignements, cette rencontre a permis aux acteurs du secteur d’évoquer les nouvelles dynamiques nationales en la matière, à l’instar de la transposition de la directive européenne NIS 2, de la feuille de route du numérique en santé 2023-2027, et de la certification HAS V2022. La matinée dédiée à la cyber en santé a notamment fait le point sur le programme CaRE, comme « Cybersécurité, accélération et résilience des établissements de santé », mis en place par la puissance publique pour muscler la réponse face à des cyberpirates toujours plus outillés. 

Dans cette même optique, et dans la continuité de la création du CERT-Santé, rattaché à l’Agence du numérique en santé, et de celle, plus récente, du CERT-FR de l’ANSSI, qui font référence pour la gestion des menaces cyber en santé, les régions commencent à leur tour à structurer leurs propres équipes CSIRT (Computer Security Incidence Response Team), plus particulièrement tournées vers l’accompagnement des PME et TPE. C’est notamment le cas de la Bretagne avec son Breizh Cyber, lancé le jour de l’ouverture de l’European Cyber Week. Autant d’actions complémentaires qui permettront de proposer une réponse coordonnée pour accélérer l’orientation des victimes vers les interlocuteurs adéquats. Toujours en Bretagne, le SIB et BSB ont également constitué un groupe de travail « Cyber et Santé », réunissant les acteurs de ces deux filières pour contribuer à l’émergence d’outils véritablement opérationnels. Est ainsi prochainement attendue une checklist cybersécurité, qui permettra d’évaluer la maturité cyber d’une solution avant son intégration en établissement de santé. Portés par le Pôle d’excellence Cyber, dont Biotech Santé Bretagne est membre, ces travaux ambitionnent également de nourrir les réflexions nationales.

Terre d’élection des technologies numériques, notamment sur le champ des télécommunications, la Bretagne continue de capitaliser sur cette expertise historique. Les coopérations entre acteurs du numérique et de la santé s’y sont multipliées au cours des deux dernières décennies, donnant lieu à la naissance d’un écosystème dynamique, centré sur les technologies médicales et la e-santé. Il y a une dizaine d’années, y ont également émergé des terrains d’expérimentation visant à rapprocher les visions des patients et celles des professionnels de santé. Ce fut le cas des living labs, désormais organisés en réseau et labellisés, c’est aujourd’hui celui des tiers-lieux d’expérimentation, qui semblent suivre une tendance similaire.

Reconnus à l’échelle nationale, les living labs bretons ont par exemple remporté nombre d’appels à projets nationaux, comme « Structures 3.0 » dans le cadre duquel le centre de rééducation de Kerpape a été retenu en 2021 pour son projet « Life Companion », et le pôle Saint-Hélier en 2022 pour son projet d’oreille augmentée des soignants. En 2023, deux tiers-lieux bretons ont à leur tour été labellisés dans le cadre de l’appel à projets France 2030 autour des « Tiers-lieux d’expérimentation » : W.INN, le centre d’innovation ouvert, né au CHRU de Brest et qui porte déjà plus de 35 projets provenant aussi bien de soignants que d’entreprises implantées sur son territoire ; et INH Lab, le tiers-lieu de référence sur le handicap en France. Fédérant deux centres d’innovation – le CoWork’Hit et Biotech Santé Bretagne – et trois centres de rééducation (le centre de Kerpape, le Pôle Saint-Hélier et la Fondation Ildys), celui-ci s’impose déjà comme un formidable vivier pour expérimenter des innovations en vie réelle et améliorer ainsi le quotidien des personnes handicapées.

Biotech Santé Bretagne

Biotech Santé Bretagne (BSB) est un centre d’innovation technologique expert dédié aux filières santé et biotechnologies. Les porteurs de projets innovants dans le secteur des technologies médicales, de la e-santé, des biotechs pharma ou de la nutrition santé peuvent être accompagnés par son équipe tout au long de leur processus d’innovation : cadrage et accompagnement réglementaire, formation, montage de projets, labellisation par le pôle Atlanpole Biotherapies…Biotech Santé Bretagne bénéficie du soutien de l’État, des collectivités territoriales et de l’Europe. 

>  Plus d’informations sur https://www.biotech-sante-bretagne.fr/

> Article paru dans Hospitalia #63, édition de décembre 2023, à lire ici

« Conçue pour sécuriser les transferts de messages et de fichiers, BlueFiles propose différents modes afin de répondre à une large variété de besoins, a fortiori dans le contexte spécifique des établissements de santé. Permettant de créer des messageries individuelles, notamment utiles aux agents non éligibles au système MSSanté, ou des boîtes de dépôt fonctionnelles et génériques, utilisables à l’échelle d’un service hospitalier, BlueFiles peut soit être installée sur site et intégrée aux outils Outlook, soit être accessible en mode Webservice, donc directement via Internet », explique Philippe Loudenot, longtemps Fonctionnaire de sécurité des systèmes d’information (FSSI) auprès de plusieurs ministères et désormais Cyber Sécurity Strategist pour BlueFiles.

Ce dernier mode a récemment été précieux pour le CHRU de Brest, où la solution BlueFiles est déployée depuis 2019 sous toutes ses configurations. En effet, le 9 mars 2023, le centre hospitalier universitaire breton subissait une violente cyberattaque, au cours de laquelle il lui avait été nécessaire d’interrompre ses échanges numériques avec l’extérieur, y compris sa messagerie. Une action « lourde de conséquences », note le CHU, car les liens de ses professionnels de santé avec leurs interlocuteurs territoriaux – mais aussi avec leurs patients – étaient de fait eux aussi suspendus. La solution installée BlueFiles, directement accessible depuis la messagerie de l’établissement, était également à l’arrêt. En revanche, « le serveur Exchange étant isolé d’Internet, la solution BlueFiles en mode Webservice a permis de continuer à échanger avec l’extérieur », poursuit l’établissement. Il a, naturellement, fallu créer des comptes en urgence pour les services qui n’en étaient pas encore dotés. Mais BlueFiles est nativement pensée pour un tel cas de figure : « Ses concepteurs ont dès le départ souhaité développer un système souple, agile et particulièrement simple à utiliser, afin de permettre une montée en puissance rapide si la situation l’exige – ce qui est précieux en contexte de crise », souligne Philippe Loudenot.

Durant la cyberattaque, les équipes BlueFiles se sont d’ailleurs mobilisées aux côtés du CHRU afin d’aplanir tout écueil éventuel. « Une difficulté a initialement été rencontrée pour la création des comptes Bluefiles : le message de validation est transmis par mail », raconte le CHRU de Brest. Mais celle-ci « a rapidement été surmontée avec l'appui de l'équipe de BlueFiles, en redirigeant les validations via les comptes de l’hôpital de Morlaix. Cela a permis, avec l'aide des personnels, de continuer à créer des boîtes fonctionnelles génériques par service […] et quelques boîtes personnelles ». Et l’établissement de conclure : « La solution BlueFiles a contribué à la continuité des échanges nécessaires pour le CHU, ses professionnels et les patients en cette période de gestion de crise à la suite de l'attaque subie, et de remise au niveau nominal de l'ensemble des SI du CHU ». Un défi relevé, donc, pour un cas d’usage initialement peu identifié par l’établissement mais qui, testé et éprouvé depuis en conditions réelles, a incontestablement fait ses preuves.

> Pour en savoir plus, venez rencontrer les équipes de BlueFiles lors des prochaines éditions de SantExpo (Paris, 23-25 mai, stand G-66), du Congrès national de la SSI en santé (Le Mans, 13-15 juin) et des Assises de la cybersécurité (Monaco, 11-14 octobre).

Article publié dans l'édition de mai 2023 d'Hospitalia à lire ici.

Pourriez-vous nous présenter W. inn ?

Stéphanie Dioszeghy : Ouverte en décembre 2021, cette structure entend favoriser le développer d’innovations répondant aux problématiques de santé, tout en offrant un espace d’expérimentation. Elle vient à cet égard sanctuariser les dynamiques existantes, mais nous permet aussi d’aller plus loin encore en ouvrant l’innovation à l’ensemble des professionnels exerçant au CHU – médecins, soignants, agents administratifs, techniciens, ouvriers… Installé dans un lieu dédié, à proximité immédiate de l’établissement mais non en son sein, le centre W. inn est donc pour eux l’occasion de sortir du quotidien, de faire un pas de côté, pour donner corps à leurs idées. Mais W. inn s’emploie aussi à rapprocher tous les acteurs de l’innovation du territoire, Bpifrance Bretagne, Technopôle Brest-Iroise, Biotech Santé Bretagne, et à faire le lien avec l’Université et les sociétés d’accélération du transfert de technologies (SATT).

C’est donc véritablement un lieu ouvert…

Quel que soit, en effet, le profil du porteur de projet, W. inn permet aux innovations d’être caractérisées, développées en mode agile, et potentiellement évaluées. Pas moins de 20 projets ont ainsi été lancés en 2021, parmi lesquels 40 % étaient à l’initiative des agents du CHU. Cette dynamique est amenée à s’accélérer car, depuis, W. inn a été labellisé Tiers lieu d’expérimentation en santé numérique dans le cadre du plan de relance France 2030. Nous pourrons donc bénéficier de financements supplémentaires pour être plus proactifs auprès des autres acteurs sanitaires et médico-sociaux de notre territoire, et identifier ainsi de nouveaux projets et de nouveaux besoins. Ce maillage territorial renforcé permettra d’offrir des propositions à forte valeur, dont bénéficieront tous les innovateurs de l’écosystème brestois.

Pourriez-vous évoquer quelques projets déjà développés au sein de W. inn ?

Je citerai par exemple une oreille connectée, capable d’identifier une chute avec un taux de précision remarquable. Cette solution est notamment pertinente dans les EHPAD, où elle permet au personnel d’être plus réactif et de prioriser ses interventions. Autre innovation notable, un boîtier intelligent pour l’ouverture automatique des portes, particulièrement adapté aux personnes à mobilité réduite. Capable de détecter l’encombrement pour adapter la durée d’ouverture de la porte, il évite également les ouvertures intempestives pour notamment limiter les déperditions de chaleur.

La création de W. inn a en outre favorisé de nouvelles dynamiques au sein du CHU.

Par exemple, l’un de nos manipulateurs radio s’intéressait beaucoup aux technologies d’impression 3D. Il va donc coordonner la plateforme d’impression 3D, qui ouvrira ses portes prochainement afin que les salariés du CHU puissent recréer des objets du quotidien ou développer des dispositifs qui n'existent pas encore – y compris, à terme, des dispositifs médicaux de classe I. De la même manière, la naissance de W. inn, et plus particulièrement sa récente labellisation comme Tiers lieu, permettra d’accélérer le développement de l’entrepôt de données de santé (EDS) du CHU de Brest, qui lui-même viendra en appui de nos activités de recherche et d’innovation. Les perspectives à venir sont donc enthousiasmantes, et cette belle aventure ne fait que commencer !

Article publié dans l'édition de février 2023 d'Hospitalia à lire ici.
 

Pourriez-vous revenir sur votre parcours ?
Jean-Sylvain Chavanne : J’ai commencé des études de médecine, puis me suis réorienté vers un master de droit privé et de sciences criminelles, où j’ai acquis une expertise juridique et géopolitique. Mais il me manquait une expertise technique. J’ai alors également suivi une formation d'ingénieur en cybersécurité, avant d’intégrer l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), où je suis resté six ans et demi. J'y ai occupé trois principaux postes. J'ai commencé par être chargé de mission à la sous-direction Expertise, et ai ensuite rejoint la sous-direction Stratégie pour mettre en place des référents régionaux en cybersécurité. Un poste que j’ai fini par occuper moi-même, en devenant délégué à la sécurité numérique de la région Pays de la Loire.  

Dans quel contexte avez-vous alors rejoint le CHRU de Brest ?  
Étant originaire de la ville, j’ai profité d’une opportunité pour y revenir. Après l’ANSSI, j’avais travaillé pendant un peu plus d’un an pour une société de cybersécurité privée. Rejoindre le CHRU de Brest était, aussi, l’occasion de retrouver le secteur public, et plus particulièrement le secteur de la santé. Même si je n’ai pas poursuivi mes études de médecine jusqu’à leur terme, ce monde me tient toujours à cœur et je suis heureux d’y intervenir. C’est ainsi que je suis devenu, en novembre 2020, le responsable de la sécurité des systèmes d'information du CHRU de Brest et du GHT de Bretagne Occidentale, dont il est l’établissement support.

Quelles sont vos missions au quotidien ?
La mission principale d'un RSSI est, sans surprise, d'assurer un niveau de cybersécurité adéquat pour l'établissement. Mais cet objectif premier se décline en plusieurs sous-parties, puisque le système d’information d’un hôpital, et plus encore d’un CHRU, est composé d’une multitude de solutions et d’applications, en fonction des domaines adressés. Il nous faut donc à chaque fois identifier et définir des mesures de sécurité pertinentes, c’est-à-dire qui permettront d’atteindre le niveau attendu sans pour autant bloquer l’activité des professionnels de santé. Nous sommes également tenus de contrôler leur mise en place et leur respect effectifs. Nous agissons ici un peu comme des médecins qui s’assurent qu’une prescription ou une préconisation sont bien suivies.  

Sur quels paramètres reposent ces mesures de sécurité que vous évoquez ?
Les facteurs considérés sont nombreux et dépendent des évolutions techniques, mais aussi, du contexte politique. Les tensions russo-ukrainiennes, par exemple, font évoluer les mesures de sécurité que nous avons pu mettre en place précédemment. Pour garantir la pertinence des mises à jour, je consacre d’ailleurs une vingtaine de minutes tous les matins à la lecture d’articles relatifs à la cybersécurité. Cette veille quotidienne me permet également de suivre l'évolution des modes opératoires des attaquants. Pour pouvoir adapter en permanence les mesures de cybersécurité, le RSSI doit en effet avoir une vision en quasi-temps réel de la manière dont les systèmes d’information seront exposés.                                                                           

Quelle part la prévention représente-t-elle dans vos missions ?
La prévention, c’est près de 80 % de mon travail. Il faut en effet régulièrement sensibiliser les agents hospitaliers aux bons gestes de sécurité informatique, mais aussi anticiper les crises potentielles de manière à ce qu’elles aient le moins d’impact possible sur le fonctionnement de l’établissement. Il est d’autant plus indispensable d’y être préparés que notre système d'information est de plus en plus ouvert, et donc de plus en plus exposé. Des réunions pluriprofessionnelles, des sessions de formation, ont ainsi lieu pour que chaque équipe soit prête et puisse mettre en place les organisations les plus adaptées à son service et à ses besoins.

Qu’en est-il des 20 % restants ?
Cette part de mon travail est consacrée à la remédiation, dont fait partie la levée de doute : je vérifie que la structure réputée fragile ne soit pas corrompue, ou que l’alerte émise par un logiciel de surveillance des risques soit bien réelle. Dans la majorité des cas, il s’agit heureusement de faux positifs, c’est-à-dire d’alertes dues à une mauvaise coordination ou à une mauvaise utilisation du système. Mais il peut aussi y avoir un « vrai positif ». Nous sommes alors accompagnés par une entreprise privée pour analyser et expertiser la situation, et pouvoir ensuite la gérer de la manière la plus adéquate. Mais, et je tiens à le préciser, dans la majorité des cas, ce n’est pas spectaculaire. Les attaques ne sont pas toutes destinées à voler de la donnée ou à installer un rançongiciel, certains scripts consomment par exemple uniquement de la ressource pour miner du bitcoin. Dans tous les cas, nous devons ensuite qualifier l’incident et surtout, savoir si les données patients ont été touchées.

Vous l’avez dit, vous êtes également le RSSI du GHT Bretagne Occidentale…
Chaque établissement du GHT dispose d’un référent en cybersécurité présent sur site, mais je fais office de centre de ressources. Pour résumer, quand il y a des vulnérabilités ou des tensions, je dois en informer le référent. C'est un travail d'adaptation assez important, car les systèmes d'information équipant les autres établissements du groupement ne sont pas forcément les mêmes que ceux du CHRU de Brest. Par ailleurs, en tant que coordonnateur de la cybersécurité pour le GHT, j’utilise également les outils de l’ANSSI pour auditer l’ensemble des annuaires des établissements. Toutes ces actions visent un même objectif, assurer un niveau de cybersécurité qui soit le plus homogène possible à l’échelle du groupement.

Un dernier mot sur la manière dont vous percevez les enjeux de votre métier ?
Le principal, celui qui sous-tend tout ce que nous faisons pour maintenir la cybersécurité, a trait à la confiance. L’enjeu, pour un RSSI, est d'assurer la confiance dans les systèmes d'information des centres hospitaliers. Et cela est d’autant plus nécessaire que le numérique occupe une place grandissante dans le secteur de la santé et du diagnostic. Le praticien doit pouvoir avoir une confiance aveugle dans les données statistiques. Le patient n’est pas en reste car, quand il vient au CHRU, il doit pouvoir nous confier ses données sensibles sans crainte. C’est pour cela que tous doivent être sensibilisés aux risques cyber. Si les professionnels de santé semblent s’en être rendu compte et adaptent de plus en plus leurs pratiques, force est de constater que ce pas n’a pas encore été franchi par le grand public. Je vois encore trop de patients qui photographient leur carte d'identité et l'envoient par mail. Il faut que tous aient conscience de la valeur de leurs données personnelles et des menaces qui y pèsent.

Article publié dans l'édition de mai 2022 d'Hospitalia à lire ici.