CYBERSANTESECURITE : soyons tous cybervigilants en santé ! 

Franck Frayer, Senior Vice President Physician Information Systems Europe CompuGroup Medical

Pendant longtemps, le secteur de la santé s’est peu préoccupé des questions de cybersécurité car l’utilisation des technologies connectées était limitée. Elle s’est sans cesse développée et atteint aujourd’hui l’hyperconnectivité. En 2018, le taux de pénétration du numérique dans le système de santé français était de 88 % en France (1), et ce chiffre n’a pas fini de grandir. Du côté des patients, les dispositifs médicaux comme les capteurs d’insuline digitaux fleurissent, les dossiers médicaux partagés sont de plus en plus adoptés et la communication patients-professionnels de santé prend de plus en plus une dimension numérique. 3 Français sur 4 se disent déjà prêts à communiquer avec leurs praticiens par des canaux numériques (2). Du côté des professionnels de santé, les applications et logiciels de gestion informatique les accompagnent de façon croissante dans leur pratique médicale, dans la gestion de leur relation avec le patient mais aussi dans leurs pratiques inter- professionnelles. D’après une étude récente de la DREES, 80 % des médecins généralistes de moins de 50 ans utilisent les principaux outils de la e-santé : le dossier patient informatisé, le logiciel d’aide à la prescription et la messagerie sécurisée de santé (3).

Cette hyperconnectivité apporte de nombreux bénéfices à notre système de santé, mais comprend également des risques : ce phénomène multiplie les possibilités de failles et les points d’entrée pour les cyberattaquants. Cette infiltration peut se faire par des actions qui peuvent sembler mineures et pourtant informatiquement stratégique. Toute négligence, qu’elle soit technique ou humaine, peut avoir des conséquences dramatiques pour les patients. La cyberattaque du CHU de Rouen le 15 novembre 2019, pour en citer un, a mis en péril la prise en charge des patients en causant le report de nombreuses interventions et le transfert de patients dans d’autres établissements. 

Face à ce constat, que faire ?

Les grands opérateurs travaillent à une meilleure sécurité des systèmes d’informations et des applications par une approche technique. Elle est nécessaire et non suffisante. Les solutions techniques ne peuvent se suffire à elles-mêmes, les questions liées à la protection des données touchent toute la société, aussi il est nécessaire d’élever la connaissance du plus grand nombre à ce sujet. 

Cela doit passer par trois axes : le développement d’une culture de la cybersécurité, l’amélioration de la gouvernance de la protection des systèmes d’information et le partage des bonnes pratiques au-delà de nos frontières. 

Développer la culture du risque cyber en santé auprès de tous

Comment expliquer que des badges d’accès à l’hôpital d’anciens internes ne soient pas désactivés ? Que les ports USB des ordinateurs d’établissements de santé ne soient pas protégés ? Les exemples sont légions. De nombreux acteurs de santé ne mesurent pas les risques d’une mauvaise cybersécurité. A cause de cette absence de réflexes de cybersécurité, les établissements victimes d’attaques mettent en place des actions curatives, souvent désordonnées et court-termistes. 

Du côté des professionnels de santé, une récente étude a montré qu’ils sont 70 % à se sentir concernés par les questions de cybersécurité et de protection de la vie privée (4). Malheureusement, 80 % des sondés déclarent ne pas disposer d’une solution permettant de protéger l’ensemble des outils connectés qu’ils utilisent dans le cadre professionnel (5), ce qui est inquiétant. Cette absence de protection interroge : sont -ils suffisamment sensibilisés à ce qui est appelé « l’hygiène informatique » dans leur parcours universitaire et professionnel ? Cela doit changer.

Enfin, la sensibilisation et la formation à la cybersécurité semble également encore nécessaire au niveau des administrations de santé qui stockent et manipulent des données de santé, et du grand public, usager d’objets de santé connecté. Une culture nationale du cyber-risque en santé doit émerger.

Les responsables de structures gérant des données de santé, dont les établissements de santé en particulier, pourraient être davantage impliqués dans la gestion de la protection des systèmes d’information en santé.

Améliorer la gouvernance de la protection des systèmes d’information en santé

Les nombreuses cyberattaques récentes dans les hôpitaux interrogent également sur l’efficacité de la gouvernance de la protection des systèmes d’informations dans les hôpitaux. Il a par exemple été suggéré, notamment par la précédante Ministre de la santé, de revoir cette organisation. Agnès Buzyn a ainsi souligné qu’« il faut que la responsabilité de la cybersécurité n’incombe pas à la DSI de l’hôpital, mais bien au directeur et au président de la commission médicale d’établissement, parce qu’en réalité c’est la gouvernance qui donne à la fois le ton et l’importance qui convient à ce sujet» (6). D’autant plus que le Règlement Général sur la Protection des Données Personnelles (RGPD) impose la mise en place de moyens techniques ET organisationnels pour sécuriser les données personnelles et sensibles dont font parties les données de santé. 

Une meilleure gouvernance de la protection des systèmes d’information en santé au sein des structures de santé apparaît donc essentielle à une meilleure gestion des risques cyber. En tant que membre de l’UE, nous avons par ailleurs la chance de pouvoir optimiser nos actions en nous inspirant des pratiques de nos voisins…

Partager les bonnes pratiques au-delà de nos frontières

Le numérique en santé ne connaît pas de frontières territoriales, le partage d’expériences avec les autres pays européens est essentiel à une meilleure cybersécurité en santé en France. 

La cybersécurité est un enjeu majeur pour l’Union Européenne comme le démontre l’adoption du ‘Cybersecurity Act’ en mars 2019 par le Parlement Européen qui définit un cadre européen de certification de cybersécurité, et renforce les compétences de l’Agence Européenne de Cybersécurité (ENISA), entre autres.

L’ENISA a ainsi commencé à favoriser le partage de bonnes pratiques en matière de cybersécurité en santé au niveau européen, en co-organisant les 'Conférences annuelles sur la sécurité en e-santé'. La dernière session à Barcelone le 30 octobre 2019 traitait justement des stratégies à développer dans les hôpitaux pour former et sensibiliser les acteurs de santé à ces enjeux. 

Ce cadre européen représente une opportunité qu’il nous faut saisir pour apprendre de nos voisins et diffuser la culture cyber en santé dans notre pays, pas seulement en octobre, le mois européen de la cybersécurité.

Comme le mentionnait Agnès Buzyn en novembre 2019, la cybersécurité dans le domaine de la santé est l’affaire de tous. Partageons donc les bonnes pratiques au-delà de nos frontières et prenons une résolution pour 2020 : apprenons le langage de la CyberSantécurité pour qu’il soit partie intégrante de notre culture européenne avec l’objectif de toujours mieux protéger nos données.

(1), (2) Ministère de la santé, Dossier d’information, campagne nationale d’information sur la cybersécurité en santé, 28 novembre 2019.
(3) DREES, URPS Médecins Libéraux, ORS, Panel d’observation des pratiques et des conditions d’exercice, n°1129, janvier 2020.
(4), (5) Etude Yougov pour Kaspersky, Protection des données de santé- du curatif au préventif, 2019.
(6) « La responsabilité de la cybersécurité ne doit pas incomber à la DSI de l’hôpital mais au directeur » DSIH.fr, Laetitia Krupa, 5 décembre 2019.