Cybersécurité dans nos hôpitaux : le numérique est une solution, pas un danger !

Face à la problématique de la cybersécurité, les données de santé constituent une cible de choix : que faire, dès lors, pour mieux protéger l'infrastructure numérique de nos hôpitaux ?

La cybersécurité représente un enjeu bien connu, une nouvelle fois mis en évidence dans le contexte de la guerre en Ukraine. Particulier ou entreprise, tout le monde est concerné par cette problématique essentielle. C’est notamment le cas des hôpitaux qui sont des cibles de choix, en raison du risque pour les données de santé.

L’Agence du numérique en santé (ANS) constate que le nombre d’incidents contre les hôpitaux double chaque année : 730 en 2021, contre 369 en 2020. Cette évolution place le domaine de la santé parmi les secteurs les plus touchés, devant la banque, l’industrie ou l’assurance. Ces attaques entraînent de graves conséquences tant pour les établissements de santé que pour les patients : paralysie des systèmes, vol, perte de données sensibles, recel de données de santé ou encore exposition au chantage pour des dizaines de milliers d’entreprises, toute taille confondue. 

Face cet enjeu, le gouvernement a annoncé en mars 2021 le lancement de la stratégie nationale de cybersécurité des établissements de santé pilotée par l’Agence nationale de la sécurité des systèmes d’information (Anssi). 

Ainsi, le Ségur de la Santé a débouché sur l’octroi de 350 millions d'euros spécifiquement dédiés au renforcement de la cybersécurité. 

Malgré cela, les attaques se sont incontestablement accélérées, intensifiées et structurées. Il est temps de s’en alarmer et d’apporter des solutions.

Privilégier plus que jamais l’interopérabilité pour renforcer la cybersécurité de nos hôpitaux

Parce que la protection des données de santé, constitue un enjeu prioritaire. Ces chiffres nous alertent sur la nécessité de renforcer la sécurité des hôpitaux, celle des patients et celle de leurs données. L’un des enseignements de la crise est la place indispensable que prend le numérique au sein de notre système de santé. Ce virage, aujourd’hui nécessaire, s’appuie sur la mise en place de systèmes d’échanges de données. Cela soulève alors le sujet de l’interopérabilité des systèmes.

Pour exploiter les données des patients provenant de différents systèmes, tout en garantissant leur intégrité et leur disponibilité, il est indispensable que les échanges respectent les derniers standards et normes en vigueur tout en minimisant la quantité de données échangées, selon les principes « Privacy by Default & Data Minimization ». 

L’écueil, au regard de l’actualité récente, pourrait consister à penser que la numérisation de notre système de santé représenterait un risque considérable pour la protection des données individuelles et la sécurité des informations de nos hôpitaux. Pourtant cela ouvre des perspectives d’amélioration du parcours patient dans son intégralité. 

Une des avancées notables qu’a permis la numérisation est bien évidemment l’intelligence artificielle qui aujourd’hui permet de s’orienter vers la médecine du futur, c’est-à-dire la médecine prédictive et personnalisée.

Plus qu’un prérequis, la « sécurité intégrée » doit constituer un état d’esprit de bout en bout

Le traitement d’un nombre croissant de données relatives à la santé, qui comptent parmi les données personnelles les plus sensibles, nécessite la mise en œuvre de plans de sécurité complets, garantissant la protection des produits, des équipements, des données commerciales et personnelles.

Le numérique nous impose de garantir la sécurité des données patients dans l’ensemble du système. Plus qu’un prérequis, l’approche security by design doit constituer un véritable état d’esprit. L’intégration des principes de sécurité doit accompagner la conception, le développement, les tests et le déploiement de solutions connectées, mais également le contrôle, les mises à jour et si besoin, la gestion des réponses aux incidents.

En plus de faciliter rapidement le partage de l’information médicale entre établissements, l’interopérabilité des systèmes d’informations est indéniablement une clé pour se prémunir face aux cyberattaques. Comment ?  En limitant les interfaces non compatibles et en centralisant un maximum de données.

Cette mise en place d’une collaboration entre la technologie et le travail humain nécessite néanmoins de former les professionnels à l’amélioration de leurs aptitudes en matière de sécurité ainsi qu’aux processus opérationnels et à la technologie pour assurer la sécurité informatique.

Un travail de fond qui passe par une meilleure éducation du grand public aux outils informatiques et à leurs bonnes pratiques, ainsi que par des investissements massifs au sein de nos entreprises et de filières de formation et d’intelligence dédiées pour la rétention des meilleurs talents en termes de cybersécurité.

"Le respect du droit fondamental à la vie privée, un préalable pour continuer à faire progresser la santé et permettre l’innovation grâce au big data, en toute confiance"

La cybersécurité n’est pas une option, le respect du droit fondamental à la vie privée non plus. Or, si les données de santé revêtent un caractère personnel particulièrement sensible, elles sont indispensables pour continuer à innover en santé. Il est donc fondamental pour toute entreprise évoluant dans le monde de la santé, de travailler dans le respect de la réglementation européenne sur la protection des données.

Cette condition, qui s’ajoute aux autres règlementations assurant la sécurité et la qualité des dispositifs médicaux, demande une transparence complète dans le traitement des données mais aussi une exigence particulière dans le signalement et la correction des vulnérabilités.

Or, pour pouvoir relever ces nouveaux défis, la réponse apportée doit être collective. Elle doit en effet rassembler les organismes de réglementation, les partenaires industriels et les professionnels de santé. 

Artificielle, humaine ou collective, seule la combinaison de ces intelligences permet de se protéger contre ce type d’attaque et de poursuivre le virage numérique de notre système de santé.