E-santé, comment reprendre la main

Par

Publié le 14/10/2019

Et si on changeait de dimension dans la e-santé ? Tant en matière d'infrastructure que de sécurité, la France accuse un sérieux retard. L'ordonnance est pourtant prête.

Comme à son habitude, Dominique Pon, le délégué ministériel à la transformation numérique en santé a fait le show. « C'est le bazar de la e-santé en France. Cela fait vingt ans que l'on navigue entre le phantasme et la frustration. Franchement cela craint. On n’a toujours pas d'identifiant national de santé. On a toujours besoin d'une carte en plastique en tant que professionnel pour se connecter. Les logiciels ne sont pas interopérables. Cela ne va pas. Il faut s'inspirer de la gouvernance de la ville. Les villes se développent harmonieusement à partir du moment où les pouvoirs publics ont édicté un code de l'urbanisme, attribuent des permis de construire, réalisent des routes et des ponts, installent le tout-à-l'égout. Mais ne construisent pas les maisons et les buildings. Pour la e-santé, c'est l'inverse. Ce sont les acteurs du privé qui édifient leur centrale nucléaire, leur code de l'urbanisme. Et pleurent ensuite parce que cela ne communique pas avec le pont d'à côté. Les pouvoirs publics doivent poser les fondations. Et laisser les acteurs de l'écosystème créer ensuite de l'innovation. J'adore les Gafa. Mais je ne leur laisserai pas les clefs du camion. Les pouvoirs publics portent le contenant numérique, les datas comme un service de store. Puis les acteurs de l'écosystème créent les services numériques sur un socle éthique. C'est cela le bon modèle. Il faut arrêter de tchater. Il faut faire. »

Un dossier entre 30 et 200 dollars

En attendant de mettre en œuvre ce programme, les hackers ne perdent pas leur temps. Et s'attaquent avec gourmandise aux établissements de santé. « Les données de santé ont une valeur marchande, explique Vincent Trely (Assis). Sur le black-market, un dossier médical est coté entre 30 et 200 dollars. On y trouve 80 bases de données médicales. Par exemple, celle de l'hôpital d'Atlanta (397 000 patients) est à vendre 300 000 coins. On y trouve aussi une clinique de cancérologie dans le Missouri. En France un CHU a fait l'objet d'une première extirpation de base de données médicales. À Montpellier, 660 postes de travail ont été inaccessibles et les urgences désorganisées pendant une semaine. Le groupe Ramsay Générale de Santé a également été touché cet été. » Mais aujourd'hui faut-il parler de déferlante ? Dans l'Hexagone, les établissements de santé sont contraints de déclarer les incidents de sécurité. En 2017, 1 318 déclarations ont été comptabilisées. Depuis, une nouvelle plateforme a été mise en place. 476 incidents jusqu'en septembre 2019 ont été recensés.

Ransomware

Mais lorsqu'une cyberattaque se déclare, quelle doit être la ligne de défense des établissements ? Faut-il alors accepter de payer la rançon demandée ? Les avis sont partagés. « En Floride, les autorités ont accepté de payer 100 000 dollars. » En revanche, le maire de Baltimore n'a pas accepté de payer cette somme. Mais la facture au final lui aurait coûté 18 millions de dollars. Faut-il préciser que les citoyens de Baltimore n'ont guère apprécié. Ils reprochent désormais au maire de ne pas avoir payé la rançon.

Objets connectés

Les établissements de santé ne sont pas les seuls visés par les hackers. Les objets médicaux connectés ont tous des failles. Exemple, une équipe israélienne a réussi cet été à ajouter ou à retirer des images de nodules sur une IRM avant même l'interprétation du médecin. Bienvenue dans la e-santé !