Comment moderniser la gestion des données pour renforcer la sécurité des informations de santé

Les progrès en matière de gestion des données peuvent révolutionner l'usage des informations de santé sans compromettre leur disponibilité, sécurité ou conformité. Mais les acteurs de la santé sont-ils prêts à accélérer leur processus de transformation numérique ?

De nombreux secteurs sont concernés par « l’explosion des données » et ce bouleversement s’avère plus vrai que jamais dans le domaine de la santé. Non seulement le secteur est confronté à la gestion d’une quantité massive de données, mais également à une utilisation à grande échelle. En France, le dossier médical partagé créé pour fournir à chaque patient la meilleure qualité de soins possible soulève quelques questions sur la confidentialité des données.

Dans ce contexte, les cybercriminels ne cessent d’aiguiser leurs méthodes d’attaque pour cibler le secteur de la santé. En témoignent les récentes attaques de rançongiciel envers l’hôpital de Dax ou dernièrement contre le centre hospitalier de Villefranche-sur-Saône qui affaiblissent des organisations déjà sous pression dans le cadre de la pandémie. Plus que jamais, il convient de tout mettre en œuvre pour protéger les données d’un secteur à haut risque.

Évaluer le potentiel du dossier médical partagé

Il existe actuellement un large éventail d’acteurs, publics et privés, qui dispensent des soins de santé. Le partage d’informations entre ces différentes entités est complexe, en particulier lorsque les systèmes de gestion de données diffèrent. Et le problème s'aggrave à mesure que les individus voyagent davantage y compris au-delà des frontières nationales. Le partage des données doit tenir compte des normes relatives à chaque pays, des questions linguistiques, du respect de la vie privée et de conformité et même des problèmes de fuseau horaire. Cependant, du point de vue du patient, elles doivent pouvoir être accessibles, quel que soit l’endroit où il se trouve.

Bien que les données relatives aux soins de santé ne constituent qu'une partie du vaste paysage du secteur de la santé, les informations issues du dossier médical partagé sont un élément essentiel du système de santé. C’est un outil au service des patients et des professionnels de santé. Pensé comme un carnet de santé numérique, il contient de nombreuses informations confidentielles telles que les antécédents médicaux et familiaux, allergies, groupe sanguin, vaccins, traitements, radios, les analyses, comptes rendus opératoires, des informations sur le mode de vie du patient, est-ce qu’il fume ou boit, les coordonnées de proches à avertir, mais aussi ses dernières volontés (dons d’organes, refus de décès à l’hôpital, etc.). Si l’objectif étant d’obtenir une meilleure prise en charge des patients et d’améliorer la coordination entre les différents praticiens, la circulation de ces données n’est pas sans danger.

Comprendre l'attrait et la valeur des données

L’importante quantité de données générée par les soins de santé (et le dossier médical partagé) attire incontestablement la malveillance des cybercriminels. Une attaque avec demande de rançon, bloquant l’accès à un dossier médical partagé, peut complètement démanteler la capacité d'un organisme de soins de santé à faire son travail. Sans accès aux données des patients, impossible de prodiguer les soins adéquats. Les attaques de rançongiciel peuvent viser à la fois les fichiers de travail et les sauvegardes et lorsque les deux sont compromis, le prestataire se retrouve alors en grande difficulté. Une difficulté qui s’accentue si ces mêmes organismes disposent d’une sauvegarde, mais n'ont pas la certitude qu'elle est complète, ni la capacité de la restaurer rapidement.

Pourtant, loin d’être des approches hors de portée, la restauration et la sauvegarde complète des données sont des atouts clés dans la lutte contre les attaques de rançongiciel. Alors qu'est-ce qui empêche les acteurs de la santé de se protéger ? Chiffrer les données quand elles transitent et quand elles sont archivées et vérifier leur niveau de protection devrait devenir des bonnes pratiques appliquées de manière systématique dans le secteur médical, plus encore que dans les autres secteurs.

Faire confiance aux systèmes de sauvegarde

L’investissement dans un système de sauvegarde n’est pas toujours au cœur des priorités. Pourtant, il joue un rôle central dans les exigences actuelles de conformité. Le RGPD par exemple, implique que les données personnelles soient stockées en toute sécurité, qu'elles soient facilement localisables et tout aussi facilement effacées lorsqu'elles ne sont pas nécessaires.

Les organisations doivent pouvoir compter sur ce type de systèmes innovants pour pouvoir se remettre rapidement sur pied et obtenir les informations les plus récentes après une cyberattaque. Dans le domaine de la santé, ce sont des vies qui dépendent de la capacité de résilience des organisations visées. Pourtant, bien trop souvent, ces mêmes systèmes de sauvegarde et de récupération sont laissés à l’abandon, insuffisamment testés et donc sans garantie fiable d’être en mesure de tout restaurer.

Les rançongiciels continuent d’être massivement déployés et l’un des moyens de lutter contre cette menace est de procéder à la restauration régulière d’une sauvegarde, même si elle n'est pas la plus récente. L’utilisation d’anciens systèmes ne permet pas de fournir le niveau d’assurance requis pour éviter une perte de données. Il est donc vain de consacrer du temps, des efforts ou de l’argent à la restauration d’une sauvegarde potentiellement déjà elle-même compromise. Il faut plutôt envisager une approche plus avancée de la gestion des données pour réduire les temps de sauvegarde et de restauration, tout en améliorant la sécurité et la conformité. Ce gain de temps peut être d'une importance capitale lorsque l'accès à un dossier médical partagé est urgent pour un patient. Conséquence intolérable de l'avidité des cybercriminels, en Allemagne, c’est l’hôpital universitaire de Düsseldorf qui a été la cible d’une attaque de rançongiciel en septembre 2020. Les systèmes informatiques paralysés ont provoqué la mort d’une patiente en situation critique qui n’a pas pu être opérée à temps. 

Se concentrer sur l’humain

La disponibilité des données de santé telle que pour le dossier médical partagé est essentielle. Cependant, il convient d’en assurer la protection pour ne pas les laisser entre les mains des cybercriminels. Si le facteur humain reste la plus grande menace à ce jour pour la sécurité, une formation approfondie s’apparente comme le remède indispensable.

Afin de renforcer leurs défenses, les entreprises ont la responsabilité de sensibiliser leurs employés pour les former aux bonnes pratiques et leur donner les moyens de faire barrage aux attaques avant qu’elles ne puissent causer des dommages. C’est cette prévention menée en amont et la capacité à s’adapter en permanence qui permettra de se donner une chance de s’en sortir malgré l’évolution fulgurante des cybermenaces.

Il est temps aujourd’hui pour tous les acteurs de réévaluer leur approche en matière de gestion des données car ce qui était auparavant perçu comme un problème informatique uniquement peut avoir en réalité des conséquences beaucoup