L'État est-il prêt à assumer la sécurité de nos données de santé ?

Aujourd'hui, l'État se trouve confronté à un double enjeu : endiguer la menace cyber tout en répondant aux attentes des citoyens en matière de e-santé. Et pour y répondre efficacement et rapidement, nul besoin de réinventer la poudre ; une seule chose s'avère indispensable : la collaboration avec les acteurs privés.

La généralisation des téléconsultations à l’occasion de la crise du Covid-19, jumelée à la digitalisation des parcours de soin et au recours massif aux plateformes spécialisées, a sans conteste participé à la numérisation à marche forcée de notre système de santé. Mais cette mutation a aussi généré de nouveaux risques, notamment en matière de sécurité des données, alors que le nombre de cyberattaques par rançongiciels traitées par l’ANSSI a été multiplié par quatre entre 2019 et 2020. Aujourd’hui, l’État se trouve ainsi confronté à un double enjeu : endiguer la menace cyber tout en répondant aux attentes des citoyens en matière de e-santé. Et pour y répondre efficacement et rapidement, nul besoin de réinventer la poudre ; une seule chose s’avère indispensable : la collaboration avec les acteurs privés. 

La menace cyber est omniprésente

Le constat est sans appel : le niveau de sécurité de nos données est largement insuffisant. Et les exemples ne manquent malheureusement pas pour illustrer ce propos : ainsi des attaques en février dernier contre les centres hospitaliers de Dax et de Villefranche-sur-Saône, qui ont poussé le gouvernement à annoncer un plan d’investissement massif en faveur de la cybersécurité. Sur les 720 millions d’euros annoncés par l’État, 265 millions ont été orientés vers les établissements de santé.

Qu’en est-il aujourd’hui ? Force est de constater que cette annonce n’a pour l’instant pas été suivie d’effet. En août dernier, ce sont encore plus de 700 000 personnes qui ont vu leurs résultats de tests antigéniques et leurs données personnelles fuiter en raison d’une faille sur le site Francetest. Pourtant non homologué par le gouvernement, ce site était utilisé par de nombreuses pharmacies pour transférer les données de leurs patients vers le fichier SI-DEP du gouvernement. Symptomatique d’un manque de sensibilisation du secteur aux enjeux de cybersécurité, cet événement a poussé l’État à rapidement apporter des précisions aux professionnels sur les logiciels autorisés ou non. 

En septembre 2021, à l’occasion du Forum International de la Cybersécurité (FIC) à Lille, le directeur de l’ANSSI, Guillaume Poupard, s’est exprimé sans détour sur la menace qui plane sur les données des Français, et plus particulièrement sur la sécurité des infrastructures de santé : renforcer la sécurité informatique des hôpitaux doit être une priorité a-t-il martelé. Mais malheureusement, l’État ne dispose aujourd’hui pas des armes technologiques pour répondre seul à ce défi. Pour y arriver, il doit impérativement se reposer sur des spécialistes de la cybersécurité !

Investissons dans la sécurité de nos données 

Aujourd'hui, les citoyens sont pleinement conscients de l’importance de sécuriser leurs données. Mais l’État n’est pas, et ne sera jamais, un spécialiste de la cybersécurité. La collaboration avec des acteurs privés est donc indispensable pour profiter des connaissances les plus pointues. Les grands acteurs technologiques disposent de tous les outils nécessaires afin de garantir la sécurité et la souveraineté des données personnelles, et le marché offre déjà des solutions innovantes qui permettent de limiter drastiquement les cyber attaques. L’erreur humaine, qui est la première cause des fuites de données, est entièrement annihilée grâce à l’automatisation des procédures et à l’intégration d’outils d’intelligence artificielle (IA) et de machine learning qui fournissent une aide précieuse pour corriger automatiquement les failles de sécurité détectées dans le système. Dans le même temps, l’automatisation du chiffrement des données et la maîtrise des clés de chiffrement par un acteur tiers doivent être systématisées. Au-delà du débat marketing poussé par les acteurs européens sur la nationalité du fournisseur de technologies, un chiffrement efficace est aujourd’hui la seule solution garante de la sécurité de nos données.

La modernisation des infrastructures des centres hospitaliers leur permettra de bénéficier de l’expertise des acteurs privés, à même de leur offrir des plateformes et des applications qui répondent aux attentes des patients, de plus en plus connectés et de plus en plus demandeurs de services innovants. 

Collaborer avec les acteurs privés, c’est une opportunité pour l’État de favoriser la recherche et de participer à l’émergence de la médecine de demain ; une médecine qui sera sans aucun doute basée sur la technologie, et pour laquelle la gestion optimisée et sécurisée de la donnée rimera avec un parcours de soin simple et accessible pour tous. Pour opérer cette transition, l’État doit se saisir dès maintenant du sujet et entraîner les acteurs publics dans un plan de transformation ambitieux, avec une conviction forte : innovation et sécurité ne doivent faire qu’un pour se mettre au service du citoyen.