La sécurité des données de santé ne se limite pas à la protection de leur confidentialité. Quand leur intégrité ou leur disponibilité est touchée, cela peut représenter un risque pour le patient. A quelles menaces les établissements de santé doivent-ils faire face ? Comment peuvent-ils s’en prémunir ? Quels seront les défis de demain ? Cédric Cartau, spécialiste de l’informatique de santé, a répondu à nos questions.
Cédric Cartau est responsable de la sécurité des systèmes d’information (RSSI) du CHU de Nantes et travaille également avec le GCS Pays de la Loire (Groupement Coopération Sanitaire) pour délivrer des prestations à tous types d’établissements de santé. Il est l’auteur de cinq ouvrages consacrés à l’informatique de santé, publie régulièrement des articles dans DSIH magazine et est responsable de la filière SI à l’Ecole des hautes études en santé publique (EHESP), qui forme notamment les directeurs d’hôpitaux.
« La principale source d’inquiétude, c’est l’integrité des donnees »
Quels sont les enjeux de la sécurité des données dans les établissements de santé ?
Trois critères sont concernés : la disponibilité des données, leur intégrité et leur confidentialité.
Prenons un exemple en dehors du domaine de la santé : si je constate une erreur en consultant mon compte bancaire, il s’agit d’une erreur d’intégrité qui n’a pas de conséquence dramatique et qui peut être corrigée. Si je ne peux pas retirer d’argent à cause d’une panne informatique, c’est un souci de disponibilité et c’est déjà plus contrariant. Enfin, si la totalité de ma situation financière se retrouve dans Google, c’est un problème de confidentialité et c’est potentiellement très grave.
Il y a un ordre de priorité dans le secteur bancaire, qui n’est pas le même dans celui de la santé. Dans les établissements de santé, contrairement à ce que laissent penser certains articles, ce n’est pas la confidentialité des données qui est la principale source d’inquiétude, mais leur intégrité.
Un exemple : en 2004, un accident de surirradiation est survenu à Epinal. Un problème informatique lié à l’intégrité des données a mené à un surdosage de doses d’irradiation entraînant plusieurs morts. En revanche, jusqu’à présent et à notre connaissance, la confidentialité n’a jamais mené à un décès.
Ensuite, vient la question de la disponibilité. Si un système d’information tombe en panne, quelle qu’en soit la raison, on peut se retrouver dans une situation sanitaire grave. Le dernier exemple en date, c’est l’attaque d’un hôpital du sud de la Californie : son système d’information a été bloqué par un cryptolocker pendant dix jours à des fins de demande de rançon. Pendant tout ce temps, l’hôpital a donc dû envoyer les patients ailleurs car il ne pouvait plus les prendre en charge. C’est une erreur de disponibilité : les données n’ont pas été volées pour être diffusées, simplement rendues inaccessibles pour l’hôpital lui-même qui a ainsi vu son système de production entièrement stoppé.
Cependant, les enjeux de sécurité varient aussi en fonction des domaines de la santé. Dans le soin aigu (opérations chirurgicales, par exemple), le plus important, c’est l’intégrité des données puis leur disponibilité et, enfin, leur confidentialité. Par contre, dans le domaine du médico-social et de la psychiatrie, la hiérarchie est différente et la confidentialité revient au premier plan.
« Des qu’on touche à l’informatisation du soin, les questions de securité deviennent plus critiques »
Que recouvre exactement la notion de données de santé ?
Tous les établissements ont, depuis très longtemps, informatisé les trois fonctions administratives classiques : la paie, la gestion économique et financière et la facturation. Depuis près de dix ans, beaucoup ont également informatisé les dossiers administratifs des patients, c’est-à-dire leur état civil, les actes entraînant des facturations… Une bonne partie des établissements ont aussi informatisé les dossiers médicaux : comptes rendus et ordonnances.
Tant qu’on reste dans le domaine administratif, les impacts en matière de sécurité sont relativement faibles : un logiciel de paie peut tomber en panne une semaine, ce n’est pas très gênant puisqu’il existe des moyens de contournement du problème relativement simples. De la même façon, une faute dans la facturation d’un acte supplémentaire peuvent facilement se rattraper.
Mais, quand on aborde la question du dossier médical, on change de niveau en matière de sécurité. La preuve : avant d’informatiser le dossier médical, on ne se préoccupait pas de la sécurité des données. Il y a 10 ans, le métier de RSSI n’existait même pas dans les hôpitaux. A partir du moment où on a commencé à informatiser le cœur de métier de l’hôpital, c’est-à-dire le soin, les questions de sécurité se sont posées… Comme elles s’étaient posées dans le secteur bancaire, 10 ou 20 ans auparavant.
Avec l’informatisation des prescriptions, on franchit un cap très important en termes de sécurité. A l’heure actuelle, seuls les gros établissements s’y sont mis et ont donc des contraintes de sécurité plus importantes… Mais petit à petit, tout le monde va y venir.
=> A lire aussi : A l’hôpital Saint-Joseph, moins d’attente aux urgences grâce à l’informatique décisionnelle !
Quelles sont les menaces qui pèsent sur les établissements de santé ? Quels sont les points critiques à surveiller ?
Concernant l’intégrité, l’enjeu, c’est par exemple de s’assurer que la posologie médicamenteuse qui est inscrite dans un dossier ne contient pas d’erreurs. Les seuls outils permettant de réduire ces risques, ce sont des tests de qualification logiciel, réalisés en partie par les éditeurs, de façon souvent incomplète, et en partie par les établissements de santé : certains ont les moyens de faire, d’autres sont plus légers sur la question.
Sur la question de la disponibilité, pour pallier une panne matérielle, il faut doubler les équipements : quand un serveur contenant des dossiers patient lâche, pour redémarrer rapidement, il faut un double de ce même serveur. Cela implique évidemment un coût important, au niveau du matériel mais aussi de la climatisation ou encore de l’électricité.
Si les gros et moyens établissements ont déjà dédoublé tous leurs data centers, les petits ne l’ont pas encore fait. Certains hébergent leurs données dans le cloud. Mais, dans le domaine de la santé, ce type d’hébergement est soumis à de nombreuses contraintes. Un dossier patient ne peut pas être stocké n’importe où. Il est obligatoire de le mettre chez un prestataire qui dispose de l’agrément hébergeur de données de santé. Or, le coût n’est pas négligeable. Un petit établissement d’hébergement pour personnes âgées dépendantes (EHPAD) qui dispose uniquement de deux serveurs aura une facture limitée, mais, pour un CHU qui compte un millier de serveurs, le prix sera trop important.
Cela dit, un établissement qui dispose d’un millier de serveurs a souvent les équipes pour s’en occuper et peut faire aussi bien qu’un hébergeur professionnel, le cloud n’est donc souvent pas une solution pertinente pour lui.
=> A lire aussi : Econocom devient hébergeur de données de santé à caractère personnel
Le dédoublement de serveur répond uniquement à un risque de pannes matérielles. Toutefois, aujourd’hui, c’est la panne logicielle qui représente le risque majeur en termes de disponibilité des données : bug dans un dossier patient, plantage lors d’une mise à jour vers la version d’un logiciel… Les cas de figure sont nombreux.
« En matiere de virus, les voyants sont au orange… voire au rouge »
Ce qui fait le plus peur à mes confrères, c’est un bug qui rendrait indisponible tout ou partie de l’informatique liée aux soins. Cela inclut aussi les virus. A l’heure actuelle, dans la santé mais aussi dans le monde informatique en général, en matière de virus, les voyants sont au orange… voire au rouge. Si les cryptolockers récents sont un bon exemple, les attaques virales sévissent depuis des années. En 2006, un CHU de l’ouest de la France a connu une très grosse attaque : 30% du système informatique a été arrêté pendant trois semaines. Heureusement, l’informatisation était relativement peu avancée. Si le même incident se produisait aujourd’hui, ça serait beaucoup plus grave.
« Les incidents relatifs à la confidentialité se comptent sur les doigts d’une main »
En fait, la confidentialité des données est un thème à la mode dans différentes instances, mais les incidents relatifs à la confidentialité se comptent sur les doigts d’une main. Les attaques de cryptolockers ne sont pas des attaques qui touchent à la confidentialité : elles ont pour objectif de verrouiller un système pour faire en sorte de rendre les données indisponibles.
A ma connaissance, le seul exemple ayant trait à la confidentialité, c’est l’affaire Labio, qui remonte à janvier 2015. Les données de 15 000 patients ont été dérobées par des hackers menaçant de les diffuser si une rançon n’était pas payée. On ne sait pas si le laboratoire attaqué a payé ou non, mais les données ont fini par se retrouver sur Google. Si, manifestement, le laboratoire n’avait pas pris toutes les précautions nécessaires pour protéger les données, concrètement, il n’a pas été condamné.
Cet exemple ne concerne pas des données critiques. Car, en matière de confidentialité, certains secteurs sont extrêmement sensibles : dépistage VIH, accouchement sous X, interdiction volontaire de grossesse… Plusieurs cas, listés par le ministère de la Santé publique, sont au niveau maximal en matière de confidentialité et sont, par conséquent, traités différemment. Par exemple, une femme qui vient accoucher sous X ne donne pas son identité : on rentre un état civil factice dans le système informatique. Ainsi, même s’il est dévoilé, impossible de remonter jusqu’à la personne.
Les établissements se regroupent-ils pour partager les bonnes pratiques ?
Au niveau national, la cinquantaine de RSSI d’hôpitaux – sur près de 1 000 établissements, nous sommes donc encore assez peu – échange régulièrement avec le haut fonctionnaire de sécurité, Philippe Loudenot, qui est très présent pour répondre à nos demandes. Mais nous échangeons aussi beaucoup de manière plus informelle.
A Nantes, nous avons également formé un club informel de RSSI, pas uniquement dans le domaine de la santé, puisqu’il compte aussi le RSSI de la ville de Nantes, celui du conseil départemental ou même de Voyages-SNCF… Des organisations et entreprises qui n’ont pas les mêmes métiers mais qui font face à des problématiques de sécurité similaires, au moins sur le plan technique.
« Ce qui nous attend, c’est davantage de contraintes de securite »
Quels sont les défis de demain en matière de sécurité des données de santé ?
Aujourd’hui, les établissements tendent vers l’informatisation totale : aucune entreprise d’aucun autre secteur de l’économie n’y a échappé durablement. Tant qu’on informatisait uniquement des fonctions administratives, les questions de sécurité étaient quasiment inexistantes. Dès qu’on a commencé à informatiser le cœur de métier, les problèmes de sécurité ont explosé puisque cela commence à présenter des risques pour les patients.
Ce qui nous attend dans les 5 à 10 prochaines années, c’est davantage de contrainte de sécurité et donc davantage de budget, de personnel et d’acculturation aux bonnes pratiques.
En 1996, dans un hôpital comme CHU de Nantes, il devait y avoir 2 000 ou 3000 PC. 20 ans plus tard, on compte 8 500 ordinateurs pour 12 000 agents. Selon mes projections, en 2020, il y aura plus de terminaux (PC, tablettes ou smartphones) que d’agents. Car on ne s’arrêtera pas là, on continuera à déployer même une fois que tous les personnels seront équipés : tout le monde aura au minimum un PC, une tablette, un smartphone… ou davantage !
Après, c’est mécanique : tant qu’il n’y avait pas d’ordinateurs, il n’y avait pas besoin de faire de sécurité… Et inversement : plus il y a de terminaux, plus la question devient critique.
« N’attendons pas l’accident pour prendre des mesures »
Trop souvent, en France, quel que soit le domaine, sécurité routière, civile voire nucléaire, on attend l’accident pour mettre en place des règles, alors même que les experts alertaient depuis des années. Ne reproduisons pas cette erreur dans l’informatique de santé, n’attendons pas de retrouver au journal de 20h une grosse affaire de disfonctionnement logiciel entraînant l’équivalent de l’accident d’Epinal. D’ailleurs, il peut se reproduire demain. Quelques règles ont été mises en place dans le domaine de la radiothérapie mais, dans une multitude d’autres domaines qui sont eux aussi informatisés, aucune mesure préventive n’est prise pour éviter que le clash arrive.
=> A lire aussi : Alexis Normand, Withings : « Le marché des objets connectés santé a explosé en 2015 »