La Gazette Santé Social - Site d’information destiné aux acteurs sanitaires et médico sociaux

Site d’information destiné aux acteurs sanitaires et médico sociaux

Cybersécurité | 01/12/2017
En retard, le secteur de la santé doit prendre conscience des risques et impulser le changement
par Solenne Durox
données, informatiques, médias, data Cnil

Une journée Cyber&Santé était organisée le 30 novembre à Rennes dans le cadre de l'European Cyber Week. Les hôpitaux et établissements médico-sociaux accusent un certain retard en matière de protection contre les attaques informatiques. Il y a pourtant urgence à s'en préoccuper quand on sait qu’on évalue entre 95 et 99 % la dépendance au numérique dans un hôpital selon les services. Les directeurs d’établissement doivent maintenant prendre conscience du risque pour impulser le changement car le nouveau Règlement général de protection des données rendra, à partir du 25 mai 2018, les entreprises et établissements de santé responsables des données personnelles qu'ils détiennent.

Email Email

L’attaque WannaCry qui a mis hors service le service de santé britannique en mai dernier l’a prouvé, la menace cyber est réelle. Le chiffre donne le tournis : entre 3 et 5 millions de nouveaux virus informatiques sont lâchés dans la nature chaque jour. Et pourtant, selon Philippe Loudenot, chef du pôle cybersécurité du ministère de la Santé, le risque n’est pas pris à sa juste mesure. « Imaginez une attaque cyber sur l’ensemble des hôpitaux de Bretagne, on fait quoi des patients ? », s’est-il interrogé durant la journée Cyber&santé organisée à Rennes à l’occasion de l’European Cyber Week.

Le CHU de Rennes victime d’une cyber attaque

Certains professionnels de santé ont déjà eu un avant-goût de ce genre de crise. C’est le cas du Pr. Jean-Yves Gauvrit, responsable du pôle imagerie médicale au CHU de Pontchaillou à Rennes. En 2009, l’hôpital a été victime d’une cyberattaque. Son service en a subi les conséquences. « Nous arrivions à faire l’acquisition des images mais il était impossible de les envoyer à nos correspondants.

Les chirurgiens, en grande difficulté, ont dû venir vérifier à la source pour éviter les erreurs », explique-t-il. Si l’incident l’a convaincu de la nécessité de mieux sécuriser le système, il reconnaît que ses collègues qui n’ont pas vécu la crise sont beaucoup moins sensibilisés.

Entre 95 et 99 % la dépendance au numérique dans un hôpital

L’interconnexion, la multiplication des échanges et le partage des données entre la ville et l’hôpital multiplient les risques liés à la sécurité : vols ou détournements de données, blocage des systèmes, piratage des dispositifs médicaux connectés…

« On évalue entre 95 et 99 % la dépendance au numérique dans un hôpital selon les services », affirme Vincent Trély, président de l’Association pour la sécurité des systèmes d’information santé (APSSIS). Les données ont de la valeur. Un dossier médical se vendrait ainsi entre 20 et 300 dollars sur le darknet.

Certains hôpitaux ont vu par exemple leur planning de rendez-vous piraté. Des escrocs contactaient les patients pour leur dire que leur consultation était annulée et leur indiquaient un numéro surtaxé pour reprendre rendez-vous.

Scanners, IRM ou encore couveuses pour bébés prématurés peuvent être piratées

Ce genre de fuite est pourtant un moindre mal quand on sait que les scanners, IRM ou encore les couveuses pour bébés prématurés sont aujourd’hui connectés et peuvent donc être piratés. Les systèmes informatiques des établissements de santé sont très mal protégés.

C’est encore plus vrai pour les Ehpad. La filière est loin d’être aussi mature sur cette problématique que les banques par exemple. Et pour cause, l’informatisation massive du secteur santé est relativement récente et faute de budget, la sécurité informatique n’est pas une priorité.

Un portail de signalement

« Il faut que les directeurs prennent conscience du risque et que ce soit eux qui impulsent le changement sans quoi toute action dans le domaine est vouée à l’échec », insiste Philippe Loudenot. L’an dernier, 1500 incidents de sécurité ont été recensés.

Pour mieux prendre la mesure de l’augmentation du nombre d’attaques, les structures de santé ont l’obligation depuis le 1er octobre de toutes les déclarer via le portail de signalement des événements sanitaires indésirables.

Le ministère des Solidarités et de la Santé, en lien avec les agences régionales de santé (ARS) et l’ASIP Santé a mis en place une cellule d’accompagnement opérationnelle pour les aider.

Des amendes pouvant atteindre 4 % du chiffre d’affaires

Se pose aussi la question de la mise en conformité avec le nouveau Règlement général de protection des données (RGPD). Ce texte européen rendra à partir du 25 mai 2018 les entreprises et établissements de santé responsables des données personnelles qu’ils détiennent.

En cas de vol ou de compromission, elles pourront être poursuivies en justice et s’exposeront à des amendes pouvant atteindre 4 % de leur chiffre d’affaires total.

Le texte prévoit entre autres la certification de la protection des données personnelles par un organisme agréé. Or, selon Vincent Trély, « moins de la moitié des établissements de santé sont aujourd’hui en mesure de l’obtenir ». Ce qui conduira sans doute un grand nombre d’entre eux à ne plus héberger en interne leurs données personnelles et à externaliser cette fonction.

Laisser un commentaire

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>