Une Tribune de Dr GHANIMI Rajae*
Le secteur des soins de santé a connu une grande mutation ces dernières années. Les établissements de soins utilisent de plus en plus des systèmes d’information et des dispositifs connectés, tels que les systèmes d’information des laboratoires de la biologie, les systèmes d’informations radiologiques, les systèmes de gestion des pratiques, les applications de télémédecine, les logiciels d’aide à la décision médicale, et les dispositifs médicaux connectés. L’ergonomie de l’environnement de soins, les systèmes de santé connectés, l’approche collaborative médecin-médecin et médecin-patient et bien d’autres facteurs ont une incidence sur la sécurité des patients. Ceci nous interpelle à revoir désormais la liste des risques à gérer dans le volet de sécurité des patients à savoir, les risques liés à la cybersécurité.
Cyberattaque… un nouveau vocabulaire dans le dictionnaire médical
Dans le domaine médico-social, la santé du patient est une priorité absolue. Cette dernière dépend de plus en plus de la machine et de la technologie. Ce qui génère une masse de données importantes et partagées entre les différents intervenants dans le processus de soins. Selon, le rapport de Bitglass [1](une société de sécurité informatique américaine), en 2020, il y a eu 559 violations dans le secteur de la santé qui ont touché collectivement plus de 26 millions d’individus. Ledit rapport a dressé une cartographie des cyber-incidents en se basant sur le répertoire des infractions enregistrées dans la base de données du Département Américain de la Santé et des Services Sociaux, il en ressort 3 grands groupes :
- Piratage ou incidents informatiques : violations des données liées à des pirates informatiques et à une sécurité informatique inadaptée – événements de sécurité liés à des parties externes ;
- Divulgation non autorisée : partage non autorisé de données personnelles de santé par des personnes internes ou des systèmes.
- Perte ou vol : violations qui proviennent de la perte ou le vol de terminaux.
L’une des plus célèbres failles en matière de cybersécurité dans le domaine de la santé a été l’attaque mondiale du logiciel malveillant (ou rançongiciel) WannaCry, qui a paralysé 600 organisations du système de santé britannique en 2017. Heureusement, qu’aucun décès n’a été signalé en conséquence de cette cyber-attaque.[2]
La bonne conformité fait les bons soins…
Dans le domaine médical, la conformité est primordiale pour obtenir les meilleurs résultats possibles pour les patients. Au Maroc, la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, fixe la norme en matière d’informations sensibles sur les patients. Tout un article (article 22) a été dédié aux donnée de santé, ce dernier stipule clairement que le traitement des données relatives à la santé est subordonné à une déclaration à la Commission Nationale de Contrôle de Protection des Données à Caractère Personnel (CNDP), lorsqu’elle a pour finalité, des soins de santé ou une finalité assurantielle liée au financement des soins. Les prestataires de soins de santé et les organismes de prévoyance sociale et les assurances doivent mettre en place des mesures physiques, de réseau et de sécurité et veiller à leur respect pour se conformer à la loi 09-08. Le non-respect de ces mesures peut entraîner l’imposition d’une amende considérable – même si aucune violation des données n’a lieu – tandis que la violation peut donner lieu à des poursuites pénales ou civiles.
Les malwares et les ransomwares… les armes des cybercriminels
Les malwares peuvent être utilisés par les attaquants pour bloquer ou arrêter tout système, service ou réseau. Les ransomwares sont utilisés par les attaquants pour crypter les données et demander une rançon pour les résoudre. Cependant, il arrive que le paiement d’une rançon ne garantisse pas la restauration des données. La rançon peut être payée, mais les données peuvent ne pas être restituées dans leur forme originale, ou récupérées dans un délai relativement long, ce qui est dangereux dans certaines situations (ex : réanimation). Les rançongiciels constituent une menace sérieuse pour la confidentialité, l’intégrité et l’accès aux informations ; en 2020, le système d’information d’un établissement de santé allemand avait été bloqué par un rançongiciel, provoquant le décès d’un patient n’ayant pas pu être pris en charge à temps. La tendance exponentielle de piratages et d’incidents informatiques met en évidence les stratégies changeantes des hackers. Dans la mesure où les organismes de Santé accélèrent leur migration vers le Cloud et la transformation numérique, ils doivent exploiter les outils et les stratégies appropriés pour protéger avec succès les dossiers des patients et faire face au volume exponentiel des menaces qui pèsent sur leurs écosystèmes informatiques, tels que les numéros de sécurité sociale, les antécédents médicaux et d’autres données personnelles. Bien évidemment, les informations de santé sont très prisées sur le « dark-web ». Elles coûtent extrêmement cher. Le vol des dossiers médicaux est donc une excellente affaire pour les hackers qui s’y adonnent. Or, détenir les données médicales d’un patient représente une grave menace pour sa vie.
Au cours des dernières années, la numérisation de l’industrie et les nouvelles technologies comme la 5G et l’IA ont rendu le cyberespace plus complexe que jamais. À cela s’ajoute le chaos technologique provoqué par la pandémie de COVID-19. Ces tendances ont entraîné une augmentation des nouveaux risques en matière de cybersécurité. ce qui poussé le géant Chinois du numérique, Huawei a ouvrir son plus grand centre mondial de transparence en matière de cybersécurité et de protection de la vie privée à Dongguan, en Chine en 2021.
Les engins médicaux connectés… une cible pour les cyberattaques
Comme toute machine reliée au web, les dispositifs médicaux connectés peuvent facilement faire l’objet d’une attaque informatique. L’impact de celle-ci sur l’activité hospitalière, la continuité des soins et même, sur la vie des patients peut être très lourd.
Les hackers peuvent par exemple pirater des implants connectés (ex : pancréas artificiel, rein artificiel, pace maker connecté …) , quoique cette pratique soit peu courante (heureusement), elle reste quand même la plus redoutée. Pourquoi ? Parce qu’elle peut compromettre la qualité des prestations offertes par les médecins traitants, et mettre en jeu le pronostic vital des patients. De plus, cela peut ternir non seulement la réputation desdits médecins (prescripteur), mais aussi celle des startups et des fournisseurs vendeurs desdits dispositifs. Pis encore, cela risque d’impacter négativement, l’accès des citoyens aux technologies thérapeutiques innovantes.
Rôle de la cybersécurité et moyens de l’améliorer
Avec l’augmentation des cyber-menaces et leur impact financier sur le secteur des soins de santé, la cybersécurité joue un rôle clé dans la protection des données à caractère sensible.
Pour améliorer la cybersécurité, les prestataires de soins de santé et les professionnels de santé doivent mettre en œuvre les pratiques suivantes :
- Une communication sécurisée : la communication sur les appareils et les services doit être sécurisée, empêchant tout accès et toute modification non autorisés.
- Une protection des données : la protection du stockage et du cryptage des données est nécessaire pour prévenir les attaques par violation de données.
- Une stratégie pour Contrôler et limiter l’accès :
Limiter l’accès au réseau : L’accès au réseau, les services système et les applications doivent être installés par les autorités organisationnelles appropriées.
Limiter l’accès physique : L’accès physique aux systèmes et aux dispositifs doit être limité pour les personnes non autorisées.
- Un système d’Authentification et d’autorisation : Un processus d’authentification fort et sécurisé doit être mis en place comme une politique de mot de passe fort. Il doit permettre de limiter l’accès sans authentification et autorisation appropriées.
- Des mises à jour/maintenance des dispositifs et des services : Le système et les services doivent être mis à jour pour corriger les vulnérabilités, Segmentation du réseau pour les équipements médicaux
- Une formation à la sécurité pour le personnel : Formation et éducation à la cybersécurité pour l’ensemble du personnel chargé de protéger les données des patients.
- Un inventaire des dispositifs et une analyse des risques
- Le recrutement d’un ingénieur cloud E-santé et un formateur en cybersécurité.
- L’élaboration d’un guide et des normes pour la cybersécurité des dispositifs médicaux et des applications mobiles liées à la santé.
Les contrôles de sécurité avancés tels que les dispositifs antivol, la continuité des activités, le programme de reprise après sinistre, l’investigation numérique, peuvent également aider le secteur de la santé à améliorer sa cyber-résilience.
*Dr GHANIMI Rajae
Médecin spécialiste en médecine du travail
Présidente fondatrice de l’association Hippocrate
Ecrivaine et chercheuse, auteur de plusieurs articles sur la transformation digitale en santé
[1] https://pages.bitglass.com/CD-FY21Q1-HealthcareBreachReport2021_LP.html
[2] Ghafur S, Kristensen S, Honeyford K, et al. A retrospective impact analysis of the WannaCry cyberattack on the NHS. npj Digit Med. 2, 98 (2019). https://doi.org/10.1038/s41746-019-0161-6. Accessed December 21, 2020
