Réforme du système de soins : la cybersécurité comme nouvel ADN

L'e-santé montre que les règlementations juridiques peuvent sembler être un frein et se révéler être accélérateurs de business.

Le Gouvernement, au travers du Ministère des Solidarités et de la Santé, s’est donné jusqu’à mi-juillet pour revoir le système de soins dans son ensemble. Il a été appelé par différents acteurs à faire du numérique le pilier d’une nouvelle stratégie de transformation. La pandémie a prouvé l’utilité des services numériques et a accéléré le développement du "tout connecté". En parallèle, les évènements récents démontrent que les hôpitaux restent la cible d’actions malveillantes de plus en plus sophistiquées. L’accompagnement de l’essor du numérique dans le monde de la santé ne pourra se faire que sur un socle de cybersécurité avec une robustesse évaluée.

D’ici à 2023, la valeur du marché mondial de la médecine numérique devrait représenter 234,5 milliards de dollars selon les dernières estimations de Frost & Sullivan. Cela était sans compter la pandémie, lors de laquelle le recours à la télémédecine a explosé : au cœur de l’épidémie, la Caisse nationale d’assurance maladie a enregistré un passage de 15 000 consultations vidéo par semaine à plus d’1 million (+ 1500 % !).

Les systèmes IoT au service de la santé : attention à la donnée !

Le concept d’e-santé n’est pas novateur d'un point de vue technologique. Il est innovant dans le service, mais la technologie sur laquelle il s’appuie existe depuis l’émergence de l’IoT (Internet des Objets). Cela consiste en la mise à disposition de matériels communicants permettant, ici, d’effectuer certaines mesures médicales via un périphérique, une plateforme de service (s’appuyant principalement sur les technologies cloud) et un réseau de communication.

Les principes et techniques de sécurité applicables à l’e-santé sont donc très similaires à ceux considérés par les fournisseurs de systèmes connectés critiques (voitures connectés, systèmes de gestion et distribution d’eau ou d’électricité, etc..). La principale différence est que les dispositifs médicaux traitent des données de santé, parmi les plus lucratives pour les cybercriminels. Celles-ci sont placées sous l’égide de régulations restrictives qui, à l’instar de l’article 9 du RGPD, impose une protection particulière afin de garantir le respect de la vie privée des personnes concernées.

Nouvel or noir, la donnée collectée et traitée définit le niveau de risque d’un service. Dans le cas de l’e-santé, tout doit être mis en œuvre pour qu’une plateforme ne présente pas de vulnérabilités vis-à-vis de tentatives d’extraction et d’exploitation de données médicales. Leur protection passera par exemple par la pseudonymisation, quand la communication avec le patient est nécessaire. Ou encore par l’anonymisation, quand il s’agit d’établir des statistiques ou d’améliorer un service.

Sécuriser tous les points d’accès aux données

Les cabines de téléconsultations se répandent en France, déployées par les communes pour pallier le manque de médecins de campagne. Néanmoins, quand un patient entre dans une cabine et est mis en contact par vidéo avec un médecin, il n’apprécierait pas qu’un outil malveillant s’immisce dans l’e-consultation afin d’alimenter des plateformes créées par des cybercriminels. Il doit donc être assuré que la communication de ses informations médicales est légitime et sécurisée.

Dans le domaine de la santé, des tests réalisés ces dernières années sur des pacemakers connectés ont révélé un nombre inquiétant de failles de sécurité, permettant la prise de contrôle à distance de l’appareil. Si elles ne permettaient pas d’actionner mécaniquement l’appareil, elles donnaient accès, via l’application mobile, à un certain nombre d’informations personnelles, auxquelles seul le patient était censé pouvoir accéder.

Protection du réseau : la singularité de l’e-santé vis-à-vis de l’IoT traditionnelle

Le médical 2.0 nécessite l’échange d’un grand nombre de données, et notamment de vidéo, entre les périphériques et les services cloud, via le réseau. Dans ce cas, il est essentiel de sécuriser le réseau grâce à un chiffrement de bout en bout. Celui-ci garantit une connexion à Internet anonymisée, sécurisée et sans risque d’attaque de type "man-in-the-middle" (attaque de "l’homme du milieu"), lors de laquelle un cybercriminel viendrait se greffer à la connexion pour exfiltrer des données.

Il s’agit là d’une différence importante vis-à-vis de l’IoT, qui demande généralement aux réseaux une communication brève, consommant peu de données et d’énergie. Habituellement, l’idée est de favoriser une connexion de millions de périphériques au cloud, sans latence.

La protection de la plateforme cloud : mens sana in corpore sano

La protection du cloud est essentielle pour éviter une attaque ciblant directement la plateforme, sans passage par les périphériques IoT, censés être les seuls à pouvoir communiquer avec elle.

Lorsqu’un nouveau service de télémédecine est développé, comme par exemple la prise de pouls d’un patient à distance, les équipe DevOps le codent et le déploient sur la plateforme cloud d’e-santé. C’est à ce moment qu’il est important de réfléchir à une "posture de sécurité" solide.

Cette politique doit garantir que le code réponde aux exigences de sécurité en intégrant les cycles de développements. Cela passe notamment par la détection et la correction des erreurs de configurations dans le code pouvant introduire des vulnérabilités, avant même son déploiement.

Analogie avec la protection des enfants lorsqu’ils sont seuls à la maison

Une fois que l’application est entrée en phase de production, dans un environnement hôte sécurisé, il faut s’assurer que l’exécution du code ne contienne pas de vulnérabilités "a posteriori" lors d’une analyse continue. Prenons l’analogie d’un parent qui laisserait ses jeunes enfants chez lui pour aller faire des courses, portes et fenêtres fermées. Il est sûr que ses progénitures se trouve dans un périmètre sécurisé. Cependant, il n’a aucune visibilité sur ce qu’ils font pendant son absence. Il pourrait très bien rentrer chez lui et retrouver son logement dans un état dégradé, si ce n’est les enfants eux-mêmes ! C’est pour cette raison qu’il faut aussi bien sécuriser l’environnement du code que son exécution, en intégrant la cybersécurité au début de cycle de développement d’une application sur une plateforme de e-santé.

Plusieurs cadres de réglementation (règlement européen sur la protection des données personnelles, loi Informatique et Libertés, code de la santé publique, etc.) dédient des chapitres aux données de santé, pour que leur sensibilité soit synonyme d’exigences plus importantes. Il peut être tentant de se braquer sur le nombre exponentiel de régulations et de normes, tous secteurs confondus. Néanmoins, on comprend ici que la règlementation, parfois considérée comme un frein aux nouvelles technologies, devient ici une assurance pour les individus. On passe du frein à une garantie et donc à un accélérateur de business pour l’ensemble des nouvelles plateformes de médecine numérique.