Comme dans bien d’autres secteurs, l’ère numérique ouvre le champ des possibles dans le milieu hospitalier. Mais la multiplication des data de santé est aussi source de cyber-risques accrus qu’il faut anticiper.
Depuis le 25 mai 2018, date d’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données), la notion de « données de santé » est, pour la première fois, clairement définie. Le décret français de janvier 2006 relatif à l’hébergement de données de santé à caractère personnel définissait les exigences de stockage pour les prestataires, mais pas les données en elles-mêmes. Elles correspondent désormais aux « données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ». Cette définition large englobe alors les données à caractère personnel, comme celles collectées par les bracelets et autres objets connectés.
Les promesses de l’hôpital connecté
Une nouvelle donne qui arrive au moment où, avec le vieillissement de la population, l’hôpital – qui doit plus que jamais devenir un lieu d’accueil, d’accessibilité et de confort – compte bien s’appuyer sur les nouvelles technologies pour l’y aider.
L’ère numérique ouvre également celle de la télémédecine (téléconsultation, télé-expertise, télésurveillance médicale, téléassistance et régulation médicale), qui promet d’améliorer l’accès aux soins et la qualité de prise en charge. Un levier pour résoudre un problème structurel de la médecine en France : les déserts médicaux. Le 13 février 2018, le gouvernement annonçait ainsi, entre autres mesures, la création d’une mission e-santé dont l’objectif sera de faciliter l’accessibilité en ligne, la dématérialisation des prescriptions et la simplification du partage d’information entre tous les professionnels de santé.
Recrudescence des cyberattaques contre le secteur de la santé
Mais la numérisation est aussi synonyme de cyber-risques accrus. Selon un rapport McAfee Labs Threats Report de décembre 2017, la santé, comptant parmi les deux cibles les plus attaquées avec les institutions publiques, a connu tous secteurs confondus la plus forte augmentation du nombre de cyberattaques l’an dernier (+35% de rançongiciels, +24% de logiciels malveillants Mac OS). Un autre acteur de la cybersécurité avance même le chiffre de 32 000 attaques en moyenne par entreprise de santé en 2017. La santé serait-elle alors une cible de choix ?
Effectivement, les données de santé sont essentielles au bon fonctionnement des établissements hospitaliers : ne plus avoir accès à ces données reviendrait à travailler à l’aveugle pour certains praticiens. En outre, de par leur criticité, les machines à usage médical sont des actifs intéressants pour les cybercriminels, une indisponibilité de ces machines suite à une attaque pouvant avoir des conséquences désastreuses.
Or, en raison de budgets limités, le niveau de sécurité est bien souvent insuffisant. Mais des problèmes de sécurité récurrents (mots de passe intégrés codés en dur*, exécution de code à distance…) témoignent également d’une méconnaissance ou d’une sous-évaluation du risque dans certaines organisations hospitalières. Il y a donc plus de chance pour les cybercriminels d’obtenir un retour financier à leurs attaques en ciblant ce secteur. D’autant plus que les cybercriminels ne cessent de changer de tactiques, passant des traditionnels ransomwares à l'exécution de logiciels malveillants sans fichier via la suite logicielle PowerShell de Microsoft.
Peu sécurisés par manque de moyens mais pourtant critiques, les établissements de santé sont des proies faciles
Robert Wakim, offer manager Industry chez Stormshield
« Peu sécurisés par manque de moyens mais pourtant critiques, les établissements de santé sont des proies faciles », confirme Robert Wakim, offer manager Industry chez Stormshield. « Maître-chanteurs (ransomwares), mafieux (vol de données confidentielles) ou même apprentis pirates (script kiddies), tous y trouvent un intérêt. Il est grand temps que les pouvoirs publics donnent plus de moyens aux établissements afin qu’ils puissent investir plus massivement dans la sécurité des données personnelles. Ce qui est pour nous, patients, le plus précieux ».
Avec le RGPD, une nouvelle étape pour les établissements hospitaliers
« Or, ayant peu de moyens, les professionnels de santé utilisent souvent des outils gratuits et peu protégés nativement comme Dropbox par exemple. Ils sont par ailleurs peu sensibilisés à la protection des données », remarque Jocelyn Krystlik, Business Unit Manager chez Stormshield.
Pourtant, les services informatiques des hôpitaux vont rapidement devoir envisager une mise à niveau, avec l’entrée en vigueur du RGPD. « Des actions simples s’imposent, comme le verrouillage automatique des sessions ; et d’autres plus sophistiquées, comme le chiffrement des disques durs et de la donnée, ou encore la protection par des pare-feux des machines médicales connectées comme les scanners », conseille Jocelyn Krystlik.
Les professionnels de santé sont peu sensibilisés à la protection des données
Jocelyn Krystlik, Business Unit Manager chez Stormshield
La mise à jour des systèmes d’exploitation et des applications doit devenir un réflexe. Ce point est d’autant plus critique que, dans le domaine hospitalier, il existe toujours des machines fonctionnant sur des systèmes d’exploitation obsolètes, et donc extrêmement vulnérables, comme l’a démontré l’attaque WannaCry.
Des solutions pour remédier aux faiblesses des établissements de santé
Mais la fragilité des hôpitaux provient également du besoin de collaboration avec de nombreux professionnels de santé externes à leurs organisations (autres établissements, praticiens indépendants…). Autant de points d’échanges et donc de risques informatiques. La sécurité se joue ainsi à tous ces niveaux, pour pouvoir apporter des services de collaboration sécurisés et s’assurer du bon niveau de protection de ces tiers.
La CNIL (Commission nationale de l'informatique et des libertés) a pour sa part publié une série de recommandations, assortie d’une démarche à suivre en six étapes que les établissements de santé peuvent appliquer :
- désigner un pilote du traitement des données,
- cartographier ses différents modes de traitement des données personnelles,
- prioriser les actions à mener,
- gérer les risques,
- organiser les processus internes,
- documenter et tenir à jour la conformité au règlement.
Pour remédier aux faiblesses, souvent structurelles, des établissements de santé, une autre piste se présente : celle offerte par la blockchain, permettant de sécuriser le stockage et la transmission des énormes quantités de données que les organismes de santé doivent gérer. Une récente étude d'IBM a révélé que 16% des dirigeants du secteur de la santé avaient prévus de recourir en 2017 à cette technologie et 56% comptaient mettre en place de telles solutions d'ici 2020. Reste à convaincre toute la chaîne médicale, de l’administration aux praticiens !
* Mots de passe intégrés codés en dur : mettre des mots de passe non-chiffrés (en texte clair) ainsi que d’autres données secrètes (telles que des clés privées) directement dans le code source.