Spelling suggestions: "subject:"gestion dde lla sécurité"" "subject:"gestion dde laa sécurité""
1 |
Moving towards software-defined security in the era of NFV and SDN / Vers une programmabilité de la sécurité dans les environnements réseaux logiciels et virtualisés (NFV et SDN)Pattaranantakul, Montida 20 June 2019 (has links)
Ce travail de thèse, vise à explorer les problèmes de sécurité et les solutions, dans les environnements réseaux logiciels et virtualisés, avec les deux hypothèses suivantes:(1) Les changements de paradigmes introduits par les réseaux SDN et NFV permettent de développer de nouvelles approches en matière de gestion de la sécurité; (2) L’ensemble des menaces et vulnérabilités dans les environnements NFV/SDN doivent être intégralement pris en compte. Donc, dans une première partie, nous proposons une étude détaillée et complète, du point de vue de la sécurité, des architectures et protocoles SDN/NFV, mais aussi de la gestion et de l’orchestration des fonctions réseaux dans ces environnements (architecture MANO). Plusieurs cas d’usage sont spécifiés et proposés, en guise d’illustrations. Cette première étude a conduit à deux contributions majeures: (1) une architecture complète pour la gestion et l’orchestration de la sécurité (appelé SecMANO) basé sur NFV MANO. SecMANO permet de gérer un ensemble de fonctions service, de mécanismes de sécurité (contrôle d’accès, IDS/IPS, isolation, protection) basées sur un ensemble de règles; (2) une analyse complète des menaces et vulnérabilités dans le contexte NFV, à partir de cinq cas d'usage spécifiques, et des contre-mesures associées. Cette analyse a permis de proposer, une classification (taxonomie) complète et détaillée, des différents types de menace spécifique, associés à un ensemble de recommandations, pour une meilleure sécurité des services NFV. Nous estimons que ces deux premières contributions ouvrent des perspectives de recherche intéressantes, dans le domaine de la sécurité des réseaux NFV/SDN.Cette première étude, nous a amenés à proposer en guise de troisième contribution, une nouvelle architecture pour l’orchestration de fonctions de sécurité dans les environnements virtualisés. Cet orchestrateur de sécurité a été spécifié et développé comme un module d’extension pour les orchestrateurs existants. L’objectif est d’assurer un déploiement dynamique, flexible, à la demande, ainsi qu’une orchestration efficace des différents services de sécurité de base. Plus précisément, un mécanisme de contrôle d’accès, défini et appliqué à partir d’un langage de haut niveau, basé sur les piles "Tacker" (un service OpenStack pour orchestrateur NFV utilisant le modèle de donnés TOSCA), a été prototypé, implanté et testé. Ce prototype, permet de personnaliser et d’adapter dynamiquement, le modèle et la stratégie de contrôle d’accès, pour différents domaines utilisateurs concurrents. Ces domaines de sécurité indépendants, restent potentiellement protégés et isolés, dans les environnements à grande échelle, multi-opérateurs et multi-clouds. Le prototype et les expérimentations menées dans des conditions pratiques, montrent la faisabilité et l'efficacité de l’approche proposé.L’étude proposées dans la première partie, à partir d’une approche "cross-layer", mettent en évidence de nouveaux types de menaces et vulnérabilités et démontrent que dans ces environnements logiciels, virtualisés, la sécurité est l’élément critique. La quatrième contribution (SecSFC) vise à sécuriser et à fiabiliser, la composition et le chaînage de fonctions service (Service Function Chaining, SFC) dans les environnements NFV/SDN. SecSFC s’appuie sur un mécanisme de type "identity-based ordered multisignature" pour garantir les propriétés suivantes: (1) L’authentification de chaque fonction service, associée à une chaîne de fonctions service particulière; (2) La cohérence et le séquencement de l’ensemble des fonctions service associées à une composition ou à un chaînage particulier de fonctions service ("VNF forwarding graph"). L’analyse théorique du modèle proposé "SecSFC" et les résultats expérimentaux, montrent le caractère résilient de l’approche, en particulier face à un certain nombre d’attaques spécifiques (ex. modification des règles ou de la topologie) avec un temps de traitement et une latence, limités / This thesis is intended to explore security issues in the virtualized and software-defined world, and starts with two important hypotheses: (1) SDN and NFV offer plenty of opportunities for us to rethink security management in the new networking paradigms; (2) both legacy and new security threats and vulnerabilities in NFV/SDN enabled environments need to be sufficiently addressed in order to pave the way for their further development and deployment. To validate the hypotheses, we carry out an in-depth study on NFV/SDN from security perspective, including its architecture, management and orchestration (MANO) framework, and use cases, leading to two major contributions, (1) a security management and orchestration framework (called SecMANO) based on NFV MANO, which has the potential to manage a set of policy-driven security mechanisms, such as access control, IDS/IPS, network isolation, data protection; (2) a comprehensive threat analysis on five NFV use cases and the state-of-the-art security countermeasures, resulting in a NFV layer-specific threat taxonomy and a set of security recommendations on securing NFV based services.We believe that both of the two contributions lay down a foundation for security research in NFV/SDN domain. In particular, based on the two contributions, we further develop a security orchestrator as an extension of available NFV orchestrator, with an objective to enabling the basic security functions to be effectively orchestrated and provided as on-demand services to the customers, meanwhile allowing high-level security policies to be specified and enforced in a dynamic and flexible way. Specifically, a software-defined access control paradigm is implemented and prototyped with OpenStack and Tacker (a NFV orchestrator using TOSCA model), which allows the security administrators to dynamically customize the access control models and policies for different tenant domains, eventually achieving flexible and scalable protection across different layers and multiple cloud data centers. Both prototype of concept and real-life experiments on testbed have been carried out, clearly demonstrating the feasibility and effectiveness of our security orchestrator.In addition, as our NFV cross-layer threat taxonomy indicates, a large set of novel threats will be introduced, among which VNF (Virtualized Network Function) is a unique and important asset that deserves careful protection. The fourth contribution of this thesis is therefore devoted to achieving secure and dependable SFC (Service Function Chaining) in NFV and SDN environment. Specifically, an identity-based ordered multisignature scheme called SecSFC is designed and applied to ensure that, (1) each service function involved in a particular service chain is authenticated and legitimate; (2) all the service functions are chained in a consistent, optimal, and reliable way, meeting with the pre-defined high-level specifications like VNF Forwarding Graph. Both theoretical security analysis and experimental results demonstrate that our scheme can effectively defend against a large set of destructive attacks like rule modification and topology tempering, moving an important step towards secure and dependable SFC. Importantly, the signature construction and validation process is lightweight, generating compact and constant-size keys and signatures, thereby only incurring minimal computational overhead and latency
|
2 |
Gestion de la sécurité dans une infrastructure de services dynamique : Une approche par gestion des risquesBou Nassar, Pascal 21 December 2012 (has links) (PDF)
Les changements de contexte économiques imposent de nouvelles stratégies organisationnelles aux entreprises : recentrages métier et développement de stratégies de collaboration interentreprises. Ces tendances du marché laissent prévoir une croissance exponentielle d'écosystèmes de service accessibles à la fois aux clients finaux et aux partenaires. Tout laisse prévoir que ces écosystèmes s'appuieront largement sur les architectures orientées services permettant de construire des systèmes d'information capable d'avoir l'agilité requise et de supporter l'interconnexion des processus métier collaboratifs en composant dynamiquement les processus à partir de services distribués. Ce type d'architecture qui permet d'assurer l'alignement du système d'information sur les besoins métier de l'entreprise, rend indispensable la prise en compte des contraintes de sécurité tant au niveau individuel des services qu'au niveau de la composition. Dans un environnement de services distribués et dynamiques, la sécurité ne doit pas se limiter à fournir des solutions technologiques mais à trouver une stratégie de sécurité prenant en compte les dimensions métier, organisationnelle et technologique. En outre, la sécurité doit être appréhendée comme un processus continu qui vise l'optimisation des investissements de sécurité et assure la pérennité des mesures de sécurité mises en œuvre. Or les modèles et architectures de référence du domaine des services ont sous-estimé la définition des besoins en termes de sécurité, les biens à protéger et l'identification des risques pesant sur ces biens. Pour cela, nous proposons d'aborder la problématique de la sécurité par une approche de gestion des risques permettant d'identifier les différents types de risques et de proposer les mesures de sécurité les plus adéquates au contexte. Toutefois, la gestion des risques s'avère un vrai défi dans un environnement ouvert de services collaboratifs. En effet, les méthodes de gestion des risques développées dans le cadre des systèmes d'information ne répondent pas aux exigences de sécurité dans un environnement ouvert et ne sont pas adaptées aux environnements dynamiques. Pour pallier ces limites, nous proposons un cadre méthodologique de gestion de la sécurité portant sur les phases préparation, conception, exécution et supervision du cycle de vie des services. Nous proposons un modèle de services sécurisés permettant de définir des patrons de sécurité, un modèle de classification des biens à protéger et une ontologie pour définir les concepts associés à ces biens. En outre, nous développons une méthodologie de conception d'une architecture orientée services sécurisée puis abordons la construction de processus métier sécurisés avant de proposer un service de gestion des vulnérabilités de l'infrastructure.
|
3 |
Gestion unifiée et dynamique de la sécurité : un cadriciel dirigé par les situations / Dynamic security management : a unified framework oriented by situationsKabbani, Bashar 29 October 2015 (has links)
Les systèmes de gestion de la sécurité (SGS) font le lien entre les exigences de sécurité et le domaine d'application technique. D'un côté, le SGS doit permettre à l'administrateur sécurité de traduire les exigences de sécurité en configurations de sécurité (appelé ici le processus de déploiement). De l'autre, il doit lui fournir des mécanismes de supervision (tels que des SIEM, IDS, fichiers de logs, etc.) afin de vérifier que l'état courant du système est toujours conforme aux exigences de sécurité (appelé ici processus de supervision). Aujourd'hui, garantir que les exigences de sécurité sont respectées nécessite une intervention humaine. En effet, les processus de déploiement et de supervision ne sont pas reliés entre eux. Ainsi, les SGS ne peuvent garantir que les exigences de sécurité sont toujours respectées lorsque le comportement du système change. Dans le cadre du projet européen PREDYKOT, nous avons tenté de boucler la boucle de gestion en intégrant les informations sur le changement de comportement du système et en les injectant dans le processus de déploiement. Cela permet de faire appliquer des mesures de sécurité dynamiques en fonction des changements de comportement du système. Toutefois, il existe diverses approches pour exprimer et mettre en œuvre des politiques de sécurité. Chaque solution de gestion est dédiée à des problématiques de gestion des autorisations ou à celles des configurations de sécurité. Chaque solution fournit son propre langage de politique, son propre modèle architectural et son propre protocole de gestion. Or, il est nécessaire de gérer à la fois les autorisations et les configurations de sécurité de manière unifiée. Notre contribution porte principalement sur trois points : Le retour d'information de supervision : Le processus de supervision capture le comportement dynamique du système au travers d'évènements. Chaque évènement transporte peu de sens. Nous proposons de considérer non pas les évènements individuellement mais de les agréger pour former des situations afin d'amener plus de sémantique sur l'état du système. Nous utilisons ce concept pour relier les exigences de sécurité, les changements dans le système et les politiques de sécurité à appliquer. Un nouvel agent, appelé gestionnaire de situations, est responsable de la gestion du cycle de vie des situations (début et fin de situation, etc.) Nous avons implanté cet agent grâce à la technologie de traitement des évènements complexes. Expression de la politique : Nous proposons d'utiliser le concept de situation comme élément central pour exprimer des politiques de sécurité dynamiques. Les décisions de sécurité peuvent être alors automatiquement dirigées par les situations sans avoir besoin de changer la règle courante. Nous appliquons l'approche de contrôle d'accès à base d'attributs pour spécifier nos politiques. Cette approche orientée par les situations facilite l'écriture des règles de sécurité mais aussi leur compréhension. De plus, ces politiques étant moins techniques, elles sont plus proches des besoins métiers. L'architecture de gestion : Nous présentons une architecture de gestion orientée événement qui supporte la mise en œuvre de politiques de sécurité dirigées par les situations. Considérer les messages de gestion en terme d'évènements, nous permet d'être indépendant de tout protocole de gestion. En conséquence, notre architecture couvre de manière unifiée les approches de gestion des autorisations comme des configurations (obligations) selon les modèles de contrôle de politiques en externalisation comme en approvisionnement. De plus, les agents de gestion sont adaptables et peuvent être dynamiquement améliorés avec de nouvelles fonctionnalités de gestion si besoin. Notre cadriciel a été complètement implanté et est conforme au standard XACMLv3 d'OASIS. Enfin, nous avons évalué la généricité de notre approche à travers quatre scénarii. / A Security Management System (SMS) connects security requirements to the technical application domain. On the one hand, an SMS must allow the security administrator/officer to translate the security requirements into security configurations that is known as the enforcement process. On the other hand, it must supply the administrator/officer with monitoring features (SIEM, IDS, log files, etc.) to verify that the environments' changes do not affect the compliance to the predefined security requirements known as the monitoring process. Nowadays, guarantying security objectives requires a human intervention. Therefore, the SMS enforcement process is disconnected from the monitoring process. Thus, an SMS cannot dynamically guarantee that security requirements are still satisfied when environment behavior changings are observed. As part of the European project PREDYKOT, we have worked on closing the management loop by establishing a feedback on the dynamic behavior, captured from the environment, to impact the enforcement process. As a result, expressing and applying a dynamic security policy will be possible. However, many policy expression and enforcement approaches exist currently. Each security management solution is dedicated to some specific issues related to authorization or to system/network management. Each solution provides a specific policy language, an architectural model and a management protocol. Nevertheless, closing the management loop implies managing both authorizations and system/network configurations in a unified framework. Our contribution tackles the following three main issues: Feedback: The monitoring process captures the highly dynamics of the behavior through events. However, each event is not semantically associated with other events. We propose to get more semantics about behavior's changings thus introducing the concept of "situation" to be dealt with in security management applications. This concept aggregates events and links relevant security requirements, relevant behavior changes, and relevant policy rules. A new management agent, called the situation manager, has been added. The latter is responsible for the management process of the situations lifecycle (situation beginning and ending, etc.). We implement this software module using the complex event processing technology. Policy Expression: We propose to specify dynamic security policies oriented by situations. By doing so, the expression of the security policy rules becomes simpler to understand, easier to write and closer to the business and security needs. Hence, each relevant situation orients automatically the policy evaluation process towards a new dynamic decision that doesn't require updating the policy rules. We apply the attribute-based expression approach because of its ability to represent everything through attribute terms, which is a flexible way to express our dynamic policy rules. Enforcement Architecture: we propose a unified and adaptive architecture that supports situations-oriented policies enforcement. We choose to build an event-driven architecture. Exchanging management messages in terms of events allows our architecture to be independent from the management protocols. Thus, it covers in a unified way authorizations as well as configurations management approaches considering both provisioning and outsourcing policy control models. In addition, management agents are adaptable and can be upgraded dynamically with new management functionalities. Our framework has been implemented and is compliant with the OASIS XACMLv3 standard. Finally, we evaluated our contributed according to four different scenarios to prove its generic nature.
|
4 |
Gestion de la sécurité dans une infrastructure de services dynamique : Une approche par gestion des risques / Security management in a dynamic services' infrastructure : A risk management approachBou Nassar, Pascal 21 December 2012 (has links)
Les changements de contexte économiques imposent de nouvelles stratégies organisationnelles aux entreprises : recentrages métier et développement de stratégies de collaboration interentreprises. Ces tendances du marché laissent prévoir une croissance exponentielle d’écosystèmes de service accessibles à la fois aux clients finaux et aux partenaires. Tout laisse prévoir que ces écosystèmes s’appuieront largement sur les architectures orientées services permettant de construire des systèmes d’information capable d’avoir l’agilité requise et de supporter l’interconnexion des processus métier collaboratifs en composant dynamiquement les processus à partir de services distribués. Ce type d’architecture qui permet d’assurer l’alignement du système d’information sur les besoins métier de l’entreprise, rend indispensable la prise en compte des contraintes de sécurité tant au niveau individuel des services qu’au niveau de la composition. Dans un environnement de services distribués et dynamiques, la sécurité ne doit pas se limiter à fournir des solutions technologiques mais à trouver une stratégie de sécurité prenant en compte les dimensions métier, organisationnelle et technologique. En outre, la sécurité doit être appréhendée comme un processus continu qui vise l’optimisation des investissements de sécurité et assure la pérennité des mesures de sécurité mises en œuvre. Or les modèles et architectures de référence du domaine des services ont sous-estimé la définition des besoins en termes de sécurité, les biens à protéger et l’identification des risques pesant sur ces biens. Pour cela, nous proposons d’aborder la problématique de la sécurité par une approche de gestion des risques permettant d’identifier les différents types de risques et de proposer les mesures de sécurité les plus adéquates au contexte. Toutefois, la gestion des risques s’avère un vrai défi dans un environnement ouvert de services collaboratifs. En effet, les méthodes de gestion des risques développées dans le cadre des systèmes d’information ne répondent pas aux exigences de sécurité dans un environnement ouvert et ne sont pas adaptées aux environnements dynamiques. Pour pallier ces limites, nous proposons un cadre méthodologique de gestion de la sécurité portant sur les phases préparation, conception, exécution et supervision du cycle de vie des services. Nous proposons un modèle de services sécurisés permettant de définir des patrons de sécurité, un modèle de classification des biens à protéger et une ontologie pour définir les concepts associés à ces biens. En outre, nous développons une méthodologie de conception d’une architecture orientée services sécurisée puis abordons la construction de processus métier sécurisés avant de proposer un service de gestion des vulnérabilités de l’infrastructure. / Changes in economic environment impose new organizational strategies to companies: refocusing business and creating collaboration strategies. These trends point to an exponential growth of service ecosystems accessible to both end users and partners. All foreshadows that these ecosystems rely heavily on service-oriented architectures that can build information systems having the required agility and supporting the interconnection of collaborative business processes by composing processes dynamically from distributed services. This type of architecture that ensures business and information systems alignment, makes it essential to take into account security constraints at the services’ and the composition’s levels. In a distributed and dynamic services’ environment, security should not be limited to providing technological solutions but to find a security strategy taking into account the business, organizational and technological dimensions. Besides, the security must be considered as an ongoing process that aims to optimize security investments and ensures the sustainability of implemented security measures. However, the models and reference architectures in the services’ domain have underestimated the definition of security requirements, assets to protect and the identification of risks to those assets. Therefore, we propose to address the security management issues by a risk management approach to identify the different types of risks and propose the most appropriate security measures to the context. Nevertheless, risk management is a real challenge in an open collaborative services’ environment. The methods of risk management developed in the context of information systems do not meet the security requirements in an open environment and are not suitable for dynamic environments. To overcome these limitations, we propose a methodological framework for security management covering the phases: preparation, design, execution and supervision of the services’ lifecycle. We propose a model of secure services to identify security patterns, an assets’ classification model and an ontology defining the concepts associated with those assets. Moreover, we develop a methodology for designing secure service oriented architectures, we address the development of secure business processes then we propose a security service for managing and supervising the infrastructure components’ vulnerabilities.
|
5 |
Contribution à l'amélioration de la qualité de service et de la sécurité pour les communications de données en environnement réseau contraintLarrieu, Nicolas 13 June 2014 (has links) (PDF)
Ce manuscrit présente les travaux que j'ai mené depuis 2002 sur les thématiques d'amélioration de la Qualité de Service (QdS) et de la sécurité des réseaux dans les environnements réseaux dits contraints. Ces travaux ont été menés successivement au travers de différentes structures. Dans un premier temps, j'ai été doctorant puis ATER au LAAS-CNRS et à l'INSA de Toulouse. J'ai eu l'opportunité d'avoir une expérience de post doctorant à l'étranger pendant cette période au sein du KAIST en Corée du Sud. En 2006, j'ai été recruté par l'ENAC et son laboratoire TELECOM pour exercer les fonctions d'enseignant chercheur. Le fil directeur de ma contribution pour ce mémoire d'habilitation à diriger les recherches est centré sur la notion d'environnement réseau contraint. Un environnement réseau contraint dispose par définition d'un niveau limité de ressources (de calcul, réseau ou énergétique) pour rendre un service à ses usagers. Dans ce manuscrit nous nous intéresserons en particulier à l'optimisation de l'utilisation des ressources réseaux : pour cela, les paramètres de QdS tels que la "capacité" ou encore le "délai d'acheminement" des liens réseaux considérés seront déterminant pour l'optimisation de l'utilisation des ressources réseaux. Néanmoins, il est important de noter que nous ne considérons pas spécifiquement la problématique de l'optimisation de la gestion de l'énergie dans cet environnement. Le contexte d'application des réseaux contraints est très vaste. Ainsi, nous nous intéresserons au travers de ce manuscrit aux réseaux mobiles qui peuvent intégrer une ou plusieurs liaisons sans fil (satellite, Wifi, Wimax) qui, par construction, offrent un niveau de service plus faible qu'un réseau classique filaire lorsqu'on considère les paramètres traditionnels d'estimation de la QdS : débit, délai ou encore taux de perte. Nous verrons en particulier comment différentes solutions novatrices ont été proposées par l'intermédiaire des travaux que nous avons menés afin de pouvoir optimiser l'utilisation des ressources réseaux dans ce contexte et élever le niveau de robustesse offert par ce dernier.
|
6 |
Building safer health systems : strategies used in the institutionalization of patient engagement for patient safetyAho-Glele, Ursulla 05 1900 (has links)
Contexte : Quatre patients sur dix qui reçoivent des soins de santé en milieu hospitalier sont victimes d’évènements indésirables et 80 % de ces évènements auraient pu être évités (OMS, 2019). Des données récentes montrent que 15 % des dépenses et activités hospitalières totales dans les pays de l'OCDE sont le résultat direct d'événements indésirables, ce qui représente des milliards de dollars US chaque année (Slawomirski, 2017). Selon un rapport de l'Institut canadien pour la sécurité des patients publié en 2016, les incidents survenus dans les établissements de soins de courte durée et à domicile ont entraîné des coûts supplémentaires de 2,75 milliards de dollars chaque année. Il n'est donc pas surprenant que l'investissement dans le coût de la prévention soit bien inférieur au coût des soins dus aux préjudices. Aujourd'hui, la recherche suggère que l'engagement des patients (EP) peut contribuer à améliorer les résultats et à réduire la charge des établissements de santé. Cependant, l'utilisation de l'EP dans diverses stratégies de gestion des risques et de promotion de la sécurité des patients n'est pas encore totalement intégrée dans les organisations et systèmes de soins de santé au Canada, aux États-Unis et dans de nombreux pays de l'OCDE.
Objectifs : L'objectif de cette étude de recherche est d'identifier les mécanismes et stratégies d'EP émergents et innovants mis en place par les dirigeants des principaux établissements de santé dans la province du Québec (Canada) après la mise en œuvre de la loi 10 en 2015, qui permettraient l'institutionnalisation de l'EP dans le système de santé pour la sécurité des patients (SP). Deux questions spécifiques ont été posées.
Question de recherche 1 : Quels sont les différents mécanismes/stratégies d'EP mis en place par les dirigeants des établissements de santé (CISSS et CIUSSS) pour institutionnaliser l'EP pour la SP?
Question de recherche 2 : Quelles sont les pratiques émergeantes et innovatrices (stratégies, mécanismes) ainsi que les facteurs limitatifs et habilitants mis en place par les leaders institutionnels dans un des centres de santé intégrés du Québec (étude de cas) qui permettraient d'institutionnaliser complètement l'EP dans la gestion des risques pour l'amélioration de la SP?
Méthodes : Le projet d’étude est une recherche descriptive longitudinale avec des niveaux d'analyse imbriqués (stratégique, organisationnel et clinique) séparés en deux phases.
Phase 1 : La phase 1 se divise en deux sous-étapes. La première sous-étape est le développement d'un outil pour les dirigeants afin d'identifier et d’évaluer les stratégies émergentes d'intégration de l'EP et leurs mises en œuvre dans les établissements de santé pour améliorer la SP (article 1 des résultats de la thèse). Suite à ce développement d’outil, la deuxième sous-étape est une collecte de données sur les stratégies émergentes et innovantes d'EP pour la SP dans les établissements de santé (N= 24 : 9 CIUSSS, 11 CISSS, 2 établissements de santé universitaires non intégrés) à travers le Québec (Canada) qui a été complétée en envoyant le questionnaire aux différents établissements participants. De plus, pour approfondir les réponses apportées par les participants, une collecte de données qualitative a été complétée en appui par le biais d'entretiens semi-structurés de 1 heure avec les dirigeants de ces établissements de santé (responsables de la qualité et de la gestion des risques, dirigeants ou équipes en charge de l'EP dans leur établissement (intégrant un patient partenaire (PP)) (article 2 des résultats de la thèse).
Phase 2 : La phase 2 est une analyse d'une étude de cas, qui a commencé à mettre en œuvre des stratégies visant à faire participer un PP à la SP (analyse d'un projet pilote de prévention et de réduction des chutes par une équipe clinique intégrant un PP) dans leur établissement de santé, a été menée dans un établissement de soins de longue durée. Une approche de collecte de données qualitatives a été utilisée pour mener des entretiens semi-structurés de 40 min à 2 h 30 min chacun avec des responsables stratégiques, organisationnels et cliniques (N = 7) (article 3 des résultats de la thèse). Pour ces deux phases, l'observation, ainsi que l'analyse de documents internes et externes ont également été menées.
Résultats: En phase 1 : 1) (Article 1 des résultats de la thèse), un outil d'évaluation des stratégies d'intégration de l’EP et leurs mises en œuvre dans les établissements de santé pour améliorer la SP a été créé, composé de 82 questions. 2) (Article 2 des résultats de la thèse), sept sous-stratégies émergentes/innovantes de l'EP pour la SP ont été identifiées et discutées à travers le processus d'acquisition, de partage et de préservation des connaissances aux trois niveaux de gouvernance : clinique, organisationnel et stratégique. Sept sous-stratégies principales ont été identifiées.
Dans la phase 2 : (Article 3 des résultats de la thèse), une étude de cas mettant en œuvre une stratégie de processus d'analyse des chutes par l'équipe clinique intégrant un PP pour la prévention et la réduction des chutes, a été sélectionnée pour participer. Trois sous-stratégies principales ont été révélées ici.
Conclusion : Cette étude est la première du genre au niveau provincial. Les travaux futurs devraient se concentrer sur (1) des études comparatives entre les provinces, les nations et leur évolution. Il existe actuellement deux projets de recherches en cours : un au niveau pancanadien et un autre au niveau brésilien, basés sur l’étude originale du Québec. En outre, la France a également mené cette étude pour décrire ses stratégies d'EP pour la SP en utilisant l'outil créé dans cette thèse. Des recherches supplémentaires devraient se concentrer sur (2) les mécanismes et stratégies de collaboration utilisés dans l'institutionnalisation d'initiatives concrètes / meilleures pratiques ou pratiques innovantes (études de cas) de l'EP pour la SP, le rôle des groupes de patients, des bénévoles, ainsi que les modèles de compensation de l'EP pour la SP dans ces mécanismes et stratégies de collaboration. Il faudra aussi mener davantage de recherches sur (3) les meilleures pratiques de leadership afin d'inculquer une culture de non-blâme au moyen d'exemples concrets (études de cas) pour mettre en œuvre une culture de sécurité fondée sur des expériences pratiques de leadership. De plus, les recherches futures devraient évoluer vers (4) l'engagement des citoyens pour la sécurité, en particulier pendant ces périodes de pandémie (ex. Covid-19). / Background: Worldwide, four out of 10 patients are harmed while receiving health care in a hospital setting, of which 80 % could have been prevented (WHO, 2009; WHO, 2002; Slawomirski, 2017; WHO, 2019). Recent evidence demonstrates that 15 % of total hospital expenditure and activities in OECD countries is a direct result of adverse events, amounting to trillions of US dollars every year (Slawomirski, 2017). According to a Canadian Patient Safety Institute report in 2016, incidents in both the acute and home care settings resulted in additional costs of $2.75 billion each year. Therefore, it is no surprise that investing in the cost of prevention is much lower than the cost of care due to harm. Today, research suggests that patient engagement (PE) can help improve outcomes and reduce the burden on health institutions. However, the use of PE in various strategies to promote PS has yet to be fully integrated across healthcare organizations and systems in Canada, the USA and many OECD countries. Objectives: The aim of this research study is to identify emerging and innovative PE mechanisms and strategies put in place by organizational leaders in leading healthcare institutions after implementation of Bill 10 in 2015, that would allow the institutionalization of PE in the health care system for patient safety (PS). Two specific questions were asked. Research question 1: What are the different PE strategies/mechanisms put in place by leaders in health institutions (CISSS and CIUSSS) to institutionalize PE for PS? Research question 2: What are the innovative practices (strategies, mechanisms) as well as the limiting and enabling factors put in place by institutional leaders in one of the integrated healthcare centers in Quebec (case study) that would allow PE to be fully institutionalized in risk management for the enhancement of patient safety? Methods: The project is a longitudinal descriptive research project by design with interwoven levels of analysis (strategic, organization and clinical) separated into two phases. Phase 1: 1) development of a tool for leaders to assess emerging PE integration strategies implemented in healthcare institutions to enhance PS (Article 1 of the thesis results); 2) collect ongoing emerging and innovative strategies of PE for PS in health institutions (N= 24: 9 CIUSSS, 11 CISSS, 2 non-integrated universities health institutions) across Quebec (Canada) by using the tool created in phase 1, and collect qualitative data through semi-structured interviews with leaders of these health institutions. Phase 2: 3) Analysis of a case study, which started implementing strategies to engage patients for PS (analysis of fall prevention and reduction pilot project by a clinical team integrating a PP) in their health institution was conducted in a long-term care facility. A qualitative data collection approach was used to conduct semi-structured interviews of strategic, organizational and clinical leaders (N = 7) of 40 min to 2 h 30 min each. Observation, as well as internal and external documents analysis was also conducted (Article 3 of the thesis results). Findings: In phase 1: 1) (Article 1 of the thesis results) a tool assessing emerging PE integration strategies implemented in healthcare institutions to enhance PS was created consisting of 82 questions. 2) (Article 2 of the thesis results), seven main emerging/innovative sub strategies of PE for PS were identified and discussed through the process of knowledge acquisition, knowledge sharing, and knowledge preservation at the three levels of governance: clinical, organizational and strategic. In phase 2: (Article 3 of the thesis results), one case study implementing a strategy of fall analysis process by the clinical team integrating a PP for prevention and reductions of falls, was selected to participate (CISSS Montérégie-Est). Three main sub-strategies were revealed in this article. Conclusion: The research study is the first of its kind at a provincial level. Future work should focus on (1) comparative studies between provinces, nations, and their evolution. There is currently an ongoing Pan-Canadian and a Brazilian research project based on the original research project from Quebec’s. In addition, France, have also conducted this study to describe their PE for PS strategies using the tool created in this thesis. Moreover, additional research should focus on (2) collaboration mechanisms and strategies used in the institutionalization of concrete initiatives / innovative practices (case studies) of PE for PS, the role of patient groups, volunteers, as well as compensation models for PE for PS in these collaboration mechanisms and strategies. In addition, more research on (3) best leadership practices to instill a no-blame culture by way of concrete examples (case studies) will be required to implement a safe culture based on practical leadership experiences. Furthermore, moving from a hospital setting, future research should evolve into (4) Citizen’s engagement for safety, especially during these pandemic periods (e.g. Covid-19).
|
Page generated in 0.146 seconds