La santé : comment sécuriser un secteur hyper exposé ?
Lors des Assises de la sécurité et des systèmes d’information en octobre dernier à Paris, la thématique de la santé connectée faisait partie du programme des tables rondes.
Sous la houlette du modérateur Philippe Houdenot, du ministère des Affaires sociales, Charles Blanc-Rolin, RSSI dans un GHT (Groupement hospitalier de territoire), Auriane Lemesle, chargée de e-santé dans les Pays de la Loire et Jean-François Parguet, directeur technique au ministère de la Santé, ont échangé sur les obstacles technologiques rencontrés par le monde de la santé pour une sécurité optimale de la e-santé française.
La santé connectée : un paysage alarmant
La cybersécurité est faible dans les structures hospitalières en France, quelle que soit la taille ou la nature de la structure. Beaucoup se font pirater par des crypto virus. Les logiciels sont obsolètes et les budgets dérisoires pour gérer le parc technologique d’un grand CHU ou d’une petite maison de retraite. Le ministère de la Santé avance une raison sociologique à ses disparités.
Le secteur du soin en France se compose de 240 000 médecins, 700 000 infirmiers, 3 000 établissements hospitaliers dont 900 en GHT et 100 000 autres structures. On y compte deux millions de professionnels, 33 professions différentes réglementées, 300 000 médecins libéraux et 400 000 personnes morales.
Cet éclatement d’une population diversifiée, véritable caractéristique française, ne permet pas d’imposer un fonctionnement unifié. Les médecins peuvent dire non. Ils sont libres de la gestion de leur cabinet ou de leur structure. Un observatoire dédié aux incidents cyber dans les lieux de soin en France existe depuis deux ans. La première année, 700 incidents ont été recensés, ce qui fait une moyenne de 30 par mois.
Plusieurs structures ont demandé un accompagnement pour faire face à la gestion de l’incident. 84% des signalements sont le fait d’établissements de santé eux-mêmes. C’est en effet une obligation. 41% des incidents ont un impact sur les informations personnelles des patients. Fait positif : seuls 43% des événements sont liés à des actes de malveillance.
La complexité provient également du fait que la loi RGPD et la CNIL sont invoquées lorsqu’il s’agit des données de la patientèle. La question des OIV (Opérateurs d’importance vitale) est aussi invoquée. Au vu des enjeux, la cybersécurité ne peut pas compter sur la chance en matière de santé connectée.
Les solutions cybersécurisées pour la santé connectée
Le site cyberveillesante.fr propose une activité de veille numérique de la santé en France, des forums privés pour les RSSI (responsables de la sécurité des services informatiques).
Il propose aussi des outils publics : toolkit (boîte à outils informatique), fiches réflexe conçues en réaction à des incidents - des fiches utiles à de petites structures. Depuis six mois, il y a également une activité de cyber-surveillance en faveur de la santé connectée.
Santé numérique 2022, tremplin pour une meilleure e-santé
Dans le cadre de l’objectif Santé numérique 2022, les acteurs de la veille en matière de santé connectée recherchent en permanence dans le web profond. Ils scannent la vulnérabilité des sites pour les parties exposées sur internet.
Au travers d’une observation de la vulnérabilité tous les six mois, la structure compare les établissements semblables dans le but de créer une cartographie des niveaux d’exposition. A terme, il importe d’aider les RSSI des structures hospitalières. Tout cela dans un contexte où la France est en retard avec des budgets contraints dans les hôpitaux. Santé numérique 2022 sert donc de levier à ces processus.
Après le curatif, il faudra penser aux orientations pour prévenir les incidents. Eviter les dommages coûterait en effet moins cher que de guérir un incident informatique. Les systèmes doivent être interopérationnels. Mais face à ces objectifs, le manque de ressources humaines et les systèmes obsolètes sont de véritables obstacles.
Particularité des logiciels des dispositifs biomédicaux, il est impossible de leur appliquer des correctifs, d’installer des pare-feu ou des anti malware. Les appareils, souvent spécifiques dans les spécialités médicales, doivent durer plus longtemps que la moyenne par rapport au parc informatique lambda d’une entreprise ou d’un service public. En interne, les réseaux sont étanches.
Acteurs de santé connectée, Etat et Europe : des pistes de travail
L’ARS (Agence régionale de santé) des Pays de la Loire est exemplaire. La structure a pris en charge la prévention et la sensibilisation à la santé connectée et sécurisée. Les informations et les bonnes pratiques sont mutualistes.
Des formations et des webinaires sont organisés en réponse aux besoins ou aux incidents, et des solutions non intrusives anti-malware sont testées. Dans un aspect ludique, des escape game de sécurité numérique en santé connectée sont proposés. Si ce dynamisme semble prendre dans une région comme les Pays de la Loire, des disparités existent selon les régions.
L’Europe, elle, se penche sur les réglementations sur les dispositifs biomédicaux où la cybersécurité sera prise en compte. Une bonne nouvelle alors que sur des forums privés, les RSSI des établissements de santé échangent fréquemment sur les meilleurs appareils à acquérir en amont des appels d’offres des établissements, pour prévenir les failles.
De son côté, le ministère de la Santé scrute 13 établissements. Ces derniers vont subir trois audits obligatoires, plus un exercice de crise. L’enjeu est vital : de plus en plus de services de soins sont totalement numérico dépendants.
Intervenants : Charles Blanc-Rolin, GHT 15 ; Auriane Lemesle, GCS E-SANTE PAYS DE LA LOIRE ; Jean-François Parguet,