vous êtes ici :/, Éditos, Fiches thématiques/Sécurité informatique, un enjeu de la transformation numérique en santé

Sécurité informatique, un enjeu de la transformation numérique en santé

Au cours du mois de mai 2017, plusieurs dizaines d’établissements du système de santé britannique ont été attaqués par un ransomware. En quelques minutes, les boîtes mails puis les logiciels de gestion des patients sont devenus inaccessibles, soumis à rançon. Partout dans le monde, les systèmes d’information de santé sont ciblés par le cyber-terrorisme. Parallèlement, l’utilisation croissante du numérique dans les établissements de santé augmente mécaniquement les risques de défaillances et de dysfonctionnements. Ajoutons que l’interconnexion des systèmes met en contact des architectures d’une maturité numérique très variable. La sécurité des données de santé est devenue une brique essentielle de la e-santé.

 

Le système français n’a pas encore subi une attaque de l’ampleur de celle que vient de connaître le NHS. À ce stade, c’est une question de chance ou de temps. C’est aussi parce nous avons un usage du numérique encore peu développé dans la santé. Pourtant, l’impact d’un incident grave ou d’un acte de malveillance paralyserait simultanément 3 niveaux d’un établissement de santé. Économique d’abord : une attaque pourrait bloquer toute la gestion de l’établissement, sa capacité à payer ses fournisseurs et ses salariés, à établir les factures. Rien de très différent par rapport à une entreprise. Second aspect plus spécifique, un dysfonctionnement grave perturberait nécessairement l’organisation des soins et la prise en charge des patients. Les interventions chirurgicales seraient déprogrammées et les agendas des rendez-vous effacés. Enfin, un incident grave mettrait directement en danger la vie des patients, via l’interconnexion numérique des plateaux techniques.

La sécurisation des données de santé est le grand chantier de la prochaine décennie. Elle demandera de la persévérance face à la complexité du secteur. Le monde hospitalier se compose de plus de 3000 établissements dont la culture et la maturité numériques sont loin d’être homogènes. L’ASIP Santé a pour mission d’accompagner les acteurs du système dans l’identification, la qualification et le traitement des incidents graves et significatifs. Ce sont les incidents qui menacent la prise en charge des patients ou qui peuvent se propager dans le système, au-delà d’un seul établissement, comme c’est le cas pour les logiciels.

Depuis le 1er octobre, les établissements sont tenus de signaler aux Agences Régionales de Santé et à l’ASIP Santé ces incidents significatifs via le portail de signalement des événements sanitaires indésirables. Naturellement, nous ne laissons pas les responsables qui font cette déclaration livrés à eux-mêmes. Nous leur proposons un accompagnement personnalisé, des formations et des outils. Mais il nous faut trouver les moyens d’une action plus systémique pour relever le niveau général de la culture de sécurité. C’est pourquoi l’ASIP Santé a développé un portail de cyberveille pour fournir aux différents acteurs les éléments sur les vulnérabilités décelées, les attaques connues et les bonnes pratiques existantes. Ce portail permettra aux acteurs de la sécurité informatique de partager leurs expériences et d’échanger grâce à un forum dédié. Nous voulons créer une communauté de responsables autour de la prévention des risques pour accélérer la métabolisation de la sécurité des données sanitaires à l’échelle du pays.

Pour cela, la France fixe un cadre strict. D’une part, les hébergeurs de données de santé doivent obtenir un agrément spécifique. D’autre part, l’ASIP Santé élabore la politique générale de sécurité des systèmes d’information de santé pour ce qui concerne les processus d’échanges, de partage, d’accès aux données et de gouvernance de la sécurité. Ce corpus, qui peut paraître contraignant, construit en réalité les bases solides de la sécurité des données de santé.

Notre prochain objectif vise à rendre 3 nouveaux référentiels opposables, sur la gouvernance, l’identification et l’authentification.

Pourquoi multiplier encore les contraintes ?

Durant les dernières années, la maturité des établissements était trop faible pour leur imposer des règles contraignantes en matière de sécurité. Tout simplement parce que les acteurs, même de la meilleure volonté, n’étaient pas en capacité de les appliquer. Nous avons préféré favoriser l’élaboration d’une doctrine et son appropriation. Aujourd’hui, nous entrons dans une nouvelle phase. Parce que de grands projets nationaux comme le Dossier Médical Partagé ou les Messageries sécurisées de santé sont visibles et qu’ils s’appuient sur les standards de sécurité, parce que les établissements de santé s’informatisent et sont naturellement confrontés aux problématiques de sécurité, tout le système perçoit mieux l’urgence et les enjeux. Nous sommes dans une approche où l’opposable ne suffit plus et pour laquelle  nous devons aller au-delà de l’accompagnement.

Aujourd’hui, la responsabilisation de chacun constitue notre levier d’action le plus sûr.

La responsabilité des pouvoirs publics, des établissements, mais aussi des professionnels de santé hospitaliers et libéraux, et des patients eux-mêmes. La responsabilité, c’est pour les établissements de développer une approche systémique de la sécurité, qu’elle soit physique, logistique ou numérique. La responsabilité, c’est pour les professionnels de réaliser que la sécurité de leur identification est un facteur direct de la prise en charge et parfois de la vie des patients. Trop souvent, on voit des mots de passe écrits sur des post-it, offerts au regard de tous. Les compromis cédés à l’usage, parce que c’est trop compliqué de verrouiller l’accès à un logiciel par exemple, constituent à chaque fois de nouvelles failles potentielles de sécurité. La responsabilité enfin, c’est pour les patients de réfléchir à la mise en circulation de leurs propres données, notamment à destination directe des géants du numérique. Chacun doit prendre conscience qu’il est un maillon irréductible et nécessaire de la sécurité.

Veillons cependant à ce que la sécurisation ne fasse pas obstacle au développement des échanges et de partage des informations de santé. Le renforcement de ces échanges est indispensable à une prise en charge personnalisée et efficace des patients, indispensable aussi à la viabilité économique du système de santé. À nous de chercher avec constance la voie étroite entre sécurité raisonnable et facilitation des usages.

À propos de l'auteur :