Le tout numérique est en train de révolutionner le système de santé. Mais de récentes affaires montrent que la protection des données de santé est un vrai casse-tête, celles-ci pouvant devenir la proie des hackers. Tous les experts le disent : une sécurisation mal maîtrisée laisse la porte ouverte aux malveillances informatiques. De ce point de vue, préserver les données de ses patients, c’est se préserver soi-même. Mais comment faire ?
« Admis dans l’intimité des personnes, je tairai les secrets qui me sont confiés. ». 2 500 ans après que son auteur l’a érigé en règle, ce grand principe d’Hippocrate risque-t-il d’être mis à mal par la numérisation des communications médicales ? L’actualité récente montre qu’une kyrielle de risques nouveaux menace la confidentialité des données de santé.
Et s’ils ne sont pas les premiers visés par les hackers, les médecins libéraux ne sont pas forcément épargnés. Prendre en charge un patient implique le recueil de ses données tant personnelles qu’en rapport avec sa santé et de les partager. Bien que destinées à une certaine circulation entre plusieurs acteurs - professionnels ou institutions -, ces informations doivent être maintenues dans un cadre d’extrême confidentialité.
Du cyber-espionnage à la cyber-criminalité
[[asset:image:10046 {"mode":"small","align":"left","field_asset_image_copyright":["DR"],"field_asset_image_description":["Fondateur de l\u2019Association pour la Promotion de la S\u00e9curit\u00e9 des Syst\u00e8mes d\u2019Informations de Sant\u00e9"]}]]Qu’il s’agisse d’un cabinet médical indépendant, d’une maison de santé ou d’un centre hospitalier, les dangers de perte des données numériques sont innombrables. Ainsi, du simple vol de matériel à la défaillance technique, du virus pouvant détruire en un clin d’œil toutes vos données à la malveillance de pirates informatiques à l’affût de rançons astronomiques pour rendre l’accès aux données, les dangers sont potentiellement nombreux. Et personne ne serait épargné, puisqu’un récent rapport de la Cour des Comptes a pointé les risques de faille du système de l’Assurance Maladie en matière de sécurité et l’obsolescence du dispositif protégeant l’anonymat des assurés…
De récentes affaires, en France et à l’étranger nous prouvent combien une extrême vigilance est nécessaire en matière de conservation des données. On se souvient en effet de la mésaventure récente subie par le Centre Médical Presbytérien de Hollywood, cet hôpital de Los Angeles contraint de verser 17 000 dollars (la rançon exigée était de 3,6 millions de dollars) à des pirates pour restaurer son système informatique et rendre à l’hôpital l’accès à ses sauvegardes.
Une belle frayeur également pour le groupe américain MedStar qui gère une dizaine d’hôpitaux et 30 000 employés. Le 28 mars dernier, un virus a totalement paralysé le système informatique du groupe (messagerie, agenda de rendez-vous, données patients…), contraignant les employés à revenir au papier. Aucune communication n’ayant été autorisée par le FBI, difficile de savoir si l’établissement a payé une rançon pour la restauration de son système.
En France, l’affaire du site internet des Agences Régionales de Santé indisponible pendant plusieurs jours en janvier 2014 suite à un acte de piratage, soulève quelques inquiétudes. Tout comme celle des sites internet de plusieurs hôpitaux dont le CHU de Strasbourg et le CH de Pontarlier, piratés et infiltrés en janvier 2015. Si l’on ne déplore à ce jour, en France, aucun vol de données avéré, l’assureur santé américain Anthem sait, lui, qu’en février 2015, des cyber-espions ont eu accès aux données de 80 millions d’Américains, leurs actuels clients…
La valeur des données
[[asset:image:10051 {"mode":"small","align":"right","field_asset_image_copyright":["DR"],"field_asset_image_description":["Charg\u00e9 de la cyber-s\u00e9curit\u00e9 chez Trend Micro"]}]]L’Hexagone serait-il plus à l’abri ? Pas si sûr. Vincent Trely, ingénieur expert en sécurité et fondateur de l’Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé (APSSIS), rappelle qu’en France, « les données de la recherche ne sont pas correctement protégées. Elles circulent dans les CHU, sur les serveurs de fac, sur les portables des médecins… Pourtant, elles intéressent un grand nombre ». Pour remédier au problème, cet ingénieur préconise l’installation d’un serveur national qui centraliserait l’ensemble des résultats de la recherche scientifique et permettrait de se prémunir contre leur vol.
Johanne ULLOA
Le business model est très rentable pour les cyber-criminels qui monnaient la restitution des données cryptées
Car le jour où les données seront piratées, elles ne seront pas perdues pour tout le monde ! Aussi fragiles soient-elles, les données de santé peuvent recouvrir une valeur inestimable, ne serait-ce qu’au regard du temps consacré par le médecin pour les recueillir. Les cyber-espions, cyber-criminels ou simples racketteurs l’ont bien compris, ces informations numérisées se monnaient et les acheteurs pointent leur nez. Du cyber-criminel aux producteurs de services ou même aux états (recherches publiques, statistiques médicales, définition de profils régionaux…) les « clients » potentiels sont nombreux. « Le business model est très rentable pour les cyber-criminels qui monnaient la restitution des données cryptées », remarque Johanne Ulloa, chargé de la cyber-sécurité chez Trend Micro, un éditeur de logiciels.
Les généralistes exposés eux aussi
[[asset:image:10056 {"mode":"small","align":"left","field_asset_image_copyright":["GARO\/PHANIE"],"field_asset_image_description":["Pr\u00e9sident de l\u2019UNOF"]}]]Qu’adviendrait-il si des racketters malveillants réclamaient aux médecins une rançon en échange du décryptage de leur ordinateur ou menaçaient de divulguer son contenu ? À l’échelle nationale, le marché serait fructueux pour ces acteurs et très dangereux pour les médecins dont le risque majeur serait de retrouver les données personnelles de leurs patients sur internet.
Devant un tribunal, le patient gagne à coup sûr
Vincent TRELY
À cet égard, Philippe Loudenot, spécialiste de la sécurité des systèmes d’information au ministère des Affaires Sociales conseille : « En cas de cyber-attaque, la meilleure suggestion est de ne surtout pas payer la rançon. Cela prouve que l’on plie aux exigences des pirates et rien ne garantit qu’ils rendront l’accès aux données une fois la rançon payée ». Cela dit, en cas de divulgation des données, la responsabilité du médecin serait immédiatement engagée. « La diffusion des données de santé à caractère personnel peut être punie d’une peine allant jusqu’à 70 000 euros », remarque le Dr Duquesnel, président de l’UNOF. Et « devant un tribunal, le patient gagne à coup sûr », prévient Vincent Trely, qui suggère l’existence d’un coffre-fort dans chaque cabinet médical pour stocker les données sauvegardées.
Une mesure qui peut paraître excessive mais qui, au regard des compétences des cyber-espions, suit une certaine logique. Car les hackers savent même neutraliser les sauvegardes comme l’illustre l’affaire du Centre Médical Presbytérien de Hollywood. Celles-ci doivent être scrupuleusement réalisées, prévient Johanne Ulloa, stockées en lieu sûr et la restauration des données doit fonctionner correctement. Ce qui n’est pas toujours le cas : « Il est nécessaire de mettre en place des process pour que la restauration des données soit toujours possible. Les back-ups doivent impérativement être faits off-line et non pas sur les réseaux qui peuvent être piratés ».
Si les données médicales partent dans la nature, la plupart des médecins ne savent pas qui prévenir
Dr Luc DUSQUESNEL, président de l’UNOF
Mais les médecins maitrisent-ils ces procédures ? Pas sûr car l’évolution numérique a été extrêmement rapide avec la configuration d’architectures parfois mal pensées en matière de sécurité. Vincent Trely regrette que le corps médical n’ait pas été correctement formé. Il note que l’acculturation à la numérisation est inexistante et que les niveaux de maîtrise informatique sont très disparates tout comme la modernité des équipements des médecins. Cet ingénieur ajoute qu’il n’y a guère plus de cinq ans, personne ne se préoccupait des process de sécurité dans la santé alors que dans la banque ou l’industrie c’était déjà le cas il y a vingt ans. Un retard à combler d’urgence… « Si les données médicales partent dans la nature, prévient Luc Duquesnel, la plupart des médecins n’ont aucune compétence pour résoudre un tel problème et ne savent même pas quelle procédure adopter ou qui prévenir ». Plus grave encore, explique-t-il, « si ses données sont piratées, il se peut que le médecin n’en ait même pas connaissance et qu’il retrouve par hasard un jour le dossier d’un patient sur Google ».
Les dangers du mésusage
[[asset:image:10061 {"mode":"small","align":"right","field_asset_image_copyright":["Twitter"],"field_asset_image_description":["Vice-pr\u00e9sident du conseil de l\u2019Ordre"]}]]Culturellement et éthiquement, les médecins libéraux et hospitaliers sont très imprégnés de la nécessité de protéger les données soumises au secret professionnel, rassure Jacques Lucas, vice-président et délégué général aux systèmes d’information en santé du CNOM. Cela établi, « la première des failles est une défaillance humaine due au non-respect des procédures de sécurité », indique-t-il. Le mésusage des systèmes d’information, engendré généralement par le manque de connaissances des utilisateurs, est à l’origine de la plupart des problèmes.
Parmi ces mésusages citons la conservation trop longue d’un même mot de passe, sa divulgation à un tiers, le prêt occasionnel de son matériel informatique, l’envoi par messagerie électronique non protégée (Gmail, Yahoo…) de données confidentielles, la copie de fichiers sur des clefs USB transporteuses de virus, l’ouverture de messages sans objet, l‘absence de sauvegardes régulières hors ligne et de mise à jour des anti-virus et des logiciels, le stockage sur Dropbox plutôt que sur un hébergeur agréé par la CNIL…
C’est dans la pratique quotidienne que, sournoisement, les risques se développent. « Il est de plus en plus courant qu’un médecin prenne une photo avec son téléphone et envoie l’image à un confrère, notamment en dermatologie où les rendez-vous sont difficiles à obtenir », note le Dr Duquesnel. Un procédé totalement insécurisé mais qui pourrait l’être si la télé-expertise et la téléconsultation étaient correctement encadrées et cotées. Le chemin risque d’être encore long car les propositions de l’Assurance Maladie sont loin de satisfaire tous les syndicats. Pourtant, la menace de compromission est très forte avec le mail.
La multiplicité des hébergeurs de données médicales pose problème
Dr Jean-Jacques FRASLIN
Dans l’idéal, préconise Johanne Ulloa, « les médecins devraient avoir recours à des outils qui s’appuient sur des systèmes de signalement, sur de l’analyse comportementale ». Concrètement, utiliser le « sandboxing », une technique consistant à faire transiter le fichier joint au mail sur un serveur dédié à l’analyse et qui en détermine l’innocuité. Autre option, l’utilisation de la messagerie Apicrypt, une solution qu’a toujours soutenue la FMF. Le message est chiffré lorsqu’il part et déchiffré lorsqu’il arrive. La correspondance électronique est ainsi protégée pendant son transfert. Seule contrainte, les deux interlocuteurs doivent disposer d’Apicrypt pour communiquer. Les messageries interopérables proposées par les opérateurs mais sécurisées sont également une option.
Mais la sécurisation des messageries ne suffira pas. « La multiplicité des hébergeurs de données médicales pose problème », explique le Dr Jean-Jacques Fraslin, généraliste dans la banlieue nantaise et ancien animateur du réseau Fulmedico (Fédération des Utilisateurs de logiciels médicaux et communicants). « Chaque spécialité (radiologues, laboratoires…) a son hébergeur et je cherche les informations sur sept ou huit sites différents, pas nécessairement sécurisés et sur lesquels les mots de passe ne changent jamais ».
Les choses ne devraient pas s’arranger avec la mise en place du DMP s’inquiète Luc Duquesnel. « Cela va entraîner la multiplication des lieux de stockage, des intervenants, de la quantité de données et augmenter considérablement les dangers. Même avec une bonne traçabilité, il y aura des risques de fuite », prévient-il. Patients, médecins et autres professionnels auront en effet accès au dossier. La carte de professionnel de santé pourrait résoudre en partie les failles du système et les informations contenues dans le DMP seraient stockées chez un hébergeur agréé. Selon le Dr Lucas, « les règles de sécurité sont respectées. Mais l’accès à l’information doit passer par cette carte afin que les traces d’accès au dossier puissent être consultées ». Un moyen de contrôler celui qui a consulté le dossier et pouvoir définir un bouc émissaire en cas de fuite des données.
Code de bonne conduite
Les professionnels de santé ont bien compris toutes ces menaces. Ils ont aujourd’hui des attentes fortes face aux pouvoirs publics et réclament des garanties. L’UNOF milite ainsi pour « une garantie de label », offrant à tous les praticiens l’assurance que les équipements et logiciels qu’ils se procureront dans l’avenir seront parfaitement sécurisés. « La santé est vulnérable car on fait face à une révolution numérique qui est beaucoup plus fragile que ne l’était le papier, conclut Philippe Loudenot. Mais il ne faut pas tomber dans la paranoïa. Il suffit d’adopter une culture de la sécurité, sorte de guide de l’hygiène informatique, qui rassemblerait les bonnes pratiques. Aujourd’hui, on met systématiquement sa ceinture de sécurité en voiture, on ferme à clés sa porte d’entrée… Il doit en être de même avec les systèmes d’information. Ainsi la confiance dans le numérique sera restaurée. » À la condition que professions médicales et pouvoirs publics s’impliquent conjointement dans la construction d’un monde numérique de la santé totalement sécurisé.