Cyber et systèmes d’information de santé

Cyber et systèmes d’information de santé : le cas du Service de santé des armées

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Sylvie POUSSINES

Comme tout sys­tème d’information con­nec­té, les sys­tèmes d’information de san­té sont native­ment exposés au risque cyber. Les objec­tifs des métiers de la san­té, les con­di­tions d’exercice et, de façon générale, les pra­tiques qui en découlent accrois­sent encore ce risque.

Des fac­teurs struc­turels favorisent la vul­néra­bil­ité intrin­sèque des sys­tèmes d’information de san­té. À la fois cul­turels, socié­taux, économiques et tech­niques, ils se con­juguent et se ren­for­cent. Il s’agit d’abord de la dis­sémi­na­tion d’établissements, regroupés ou pas dans des struc­tures juridiques com­plex­es, dotés d’une autonomie finan­cière per­me­t­tant la lib­erté des choix d’investissement. Il s’agit ensuite d’une infor­ma­tique anci­enne, autonome, qui passe par une grande hétérogénéité des pro­duits, édi­teurs et tech­nolo­gies de généra­tions dif­férentes qui engen­drent des coûts de main­te­nance élevés. Ces coûts absorbent une part sig­ni­fica­tive des bud­gets des DSI, dimin­u­ant d’autant les capac­ités d’investissement. Le troisième fac­teur aggra­vant est cul­turel : les sys­tèmes d’information sont perçus exclu­sive­ment au tra­vers des fonc­tion­nal­ités méti­er inhérentes à la mise en œuvre des dis­posi­tifs bio­médi­caux et sont util­isés au tra­vers d’une mul­ti­plic­ité d’objets con­nec­tés par des util­isa­teurs, pro­fes­sion­nels de san­té qui, notam­ment dans le pub­lic, sont habitués à faire des mir­a­cles avec peu de moyens et utilisent volon­tiers des out­ils gra­tu­its, qui ne sont pas tou­jours à l’état de l’art en matière de sécu­rité. Au regard du ser­ment d’Hippocrate, un risque SSI dis­séminé pèsera tou­jours moins que le risque sou­vent vital qui jus­ti­fie la présence du patient dans l’établissement de san­té… Il s’agit enfin des échanges intens­es entre étab­lisse­ments de san­té, du fait de la mobil­ité des patients et des parte­nar­i­ats mul­ti­ples qui con­tribuent à opti­miser l’offre de soins sur le ter­ri­toire au prof­it des pop­u­la­tions. L’interopérabilité est organ­isée essen­tielle­ment « par le haut », au tra­vers des con­tenus, des référen­tiels et des for­mats de don­nées, d’où la sur­face d’attaque offerte et les risques de prop­a­ga­tion qui sont élevés. On peut men­tion­ner égale­ment les poli­tiques des indus­triels four­nisseurs de matériels bio­médi­caux et de sys­tèmes d’information de san­té, sou­vent issus de multi­na­tionales qui ne dépen­dent pas d’un marché par­ti­c­uli­er, qui ne font pas évoluer leurs matériels avec la réac­tiv­ité qui per­me­t­trait l’application rigoureuse des mis­es à jour de sécu­rité ; les normes tech­niques sont des stan­dards de fait, per­me­t­tant l’interopérabilité néces­saire aux métiers, sans pour autant pro­téger des risques inhérents à toute interopéra­bil­ité ; les étab­lisse­ments con­ser­vent des sys­tèmes d’exploitation et briques obsolètes, générant dif­fi­cultés de main­te­nance et main­tien de failles iden­ti­fiées. Certes, la régu­la­tion s’impose petit à petit, s’appuyant sur la cer­ti­fi­ca­tion oblig­a­toire des étab­lisse­ments, dont la dimen­sion SI, la for­ma­tion et la four­ni­ture d’outils (réfé­rentiels) per­me­t­tent une résorp­tion sig­ni­fica­tive de cer­tains des fac­teurs de risque ci-dessus, au cours des dernières années.

Néan­moins, au risque cyber­sys­témique, qui con­cerne tout sys­tème d’information con­nec­té, s’ajoute une com­bi­nai­son de fac­teurs de vul­néra­bil­ité liés aux car­ac­téris­tiques du secteur de la santé.


REPÈRES

Le rap­port 2018 de l’ANSSI (Agence nationale de la sécu­rité des sys­tèmes d’information) inven­to­rie cinq familles de men­aces cyber : l’espionnage, les attaques indi­rectes, les opéra­tions de désta­bil­i­sa­tion et d’influence, le minage des machines par des généra­teurs de mon­naie cryp­tographique et les fraudes en ligne. Le secteur de la san­té cumule ces risques et con­stitue une cible priv­ilégiée. En France comme partout, les cyber­at­taques menées con­tre les étab­lisse­ments de san­té ne cessent d’augmenter. Le site de cyber­veille de l’ASIP (Agence des sys­tèmes d’information partagés en san­té, dev­enue en décem­bre 2019 Agence du numérique en san­té), ou por­tail d’accompagnement cyber­sécu­rité des struc­tures de san­té, réper­to­rie les attaques cyber­san­té (https://www.cyberveille-sante.gouv.fr/cyberveille-sante).
Sa page d’accueil ne laisse aucun doute : en ce début jan­vi­er 2020, plusieurs attaques d’ampleur sont sig­nalées en France, en Alle­magne, au Cana­da, etc. 


La révolution de la e‑santé et le risque induit

Le secteur de la san­té est par ailleurs le théâtre de la révo­lu­tion de la e‑santé. Le champ paraît immense : recherche clin­ique, épidémi­olo­gie, recherche fon­da­men­tale, aides au diag­nos­tic, télémédecine, etc. Cette évo­lu­tion se con­jugue avec la nou­velle mis­sion de l’hôpital, lieu de vie de seniors de plus en plus nom­breux, plus ou moins autonomes, con­traig­nant à un tour­nant numérique qui s’exprimera au tra­vers de toutes ses dis­ci­plines : IA, robo­t­ique, partage de con­nais­sance, analyse de sen­ti­ment, etc., déploy­ant la notion d’hôpital con­nec­té, plus vul­nérable que jamais aux attaques. Por­teur de la promesse de la télémédecine (télé­con­sul­ta­tion, télé­ex­per­tise, télé­sur­veil­lance médi­cale, téléas­sis­tance et régu­la­tion médi­cale), sur­fant sur l’innovation et la mul­ti­pli­ca­tion des objets con­nec­tés, le numérique est sup­posé apporter la réponse à tous les prob­lèmes struc­turels du secteur, à la raré­fac­tion des médecins et aux déserts médi­caux. Toute­fois, cette révo­lu­tion de la e‑santé s’inscrit dans un socle d’infrastructures et de sys­tèmes qui n’est pas uni­for­mé­ment robuste, induisant des failles et des prob­lèmes de per­for­mances. Les pro­fes­sion­nels de san­té jon­g­lent avec des sys­tèmes d’information dis­con­ti­nus et hétérogènes, où des dis­posi­tifs datant du Moyen Âge de l’informatique en ter­mes de con­cep­tion et d’ergonomie coex­is­tent avec les équipements numériques les plus récents.

“Un risque SSI disséminé pèsera toujours moins
que le risque souvent vital.”

L’avènement de la donnée et la prise de conscience des vulnérabilités à l’occasion du RGPD

C’est dans ce paysage que s’inscrit la prise de con­science de la valeur de la don­née de san­té, comme objet juridique por­teur de lib­ertés fon­da­men­tales, comme out­il de san­té per­me­t­tant la com­plé­tude des par­cours patient indi­vidu­els et, sur le plan col­lec­tif, comme matière pre­mière d’étude. Des col­lec­tions de don­nées tou­jours plus com­plètes et détail­lées per­me­t­tent des études de plus en plus appro­fondies et pré­cis­es. Les don­nées de san­té con­stituent donc un butin poten­tiel d’intérêt majeur, haute­ment sym­bol­ique, mais aus­si de valeur intrin­sèque élevée de nature à mobilis­er les pirates et hack­ers. Elles peu­vent être volées, mais aus­si rançon­nées. Les modal­ités des cyber­at­taques sont de plus en plus sophis­tiquées, mais les vieilles méth­odes (phish­ing puis intro­duc­tion de code malveil­lant en mis­ant sur un clic naïf) restent effi­caces. S’il n’est pas spé­ci­fique au secteur de la san­té, l’adoption du RGPD et le cadre juridique con­nexe qu’il a don­né l’occasion de revis­iter ont sus­cité une prise de con­science de la respon­s­abil­ité des organ­i­sa­tions dans la pro­tec­tion effi­cace de leur pat­ri­moine infor­ma­tion­nel, notam­ment des don­nées per­son­nelles qu’elles déti­en­nent. La déf­i­ni­tion de la don­née de san­té désor­mais en vigueur invite à réfléchir aux notions et pra­tiques au fil du cycle de vie de la don­née. Avec le RGPD ont été réha­bil­itées les mesures de sécu­rité des sys­tèmes d’information de base. Les exper­tis­es et audits aux­quels leur mise en con­for­mité a don­né lieu ont appelé l’attention sur les archi­tec­tures : bureau­tique, authen­tifi­ca­tion des per­son­nes, chiffre­ment des dis­ques durs et chiffre­ment en ligne, util­i­sa­tion des out­ils dédiés (mes­sagerie sécurisée de san­té, pro­mue par l’ASIP San­té), archi­tec­tures sécurisées par des pare-feux cor­recte­ment paramétrés, serveurs de rebond pour sécuris­er les besoins d’échange inhérents aux col­lab­o­ra­tions externes aux organ­i­sa­tions (autres étab­lisse­ments, prati­ciens indépen­dants…), avec des acteurs qui ne relèvent pas de leur zone de confiance.

“Les vieilles méthodes (phishing) restent efficaces…”

La dualité Santé-Défense dans les systèmes d’information de santé du Service de santé des armées

Pleine­ment ancré au sein du min­istère des Armées tout en con­sti­tu­ant un opéra­teur de san­té publique, le Ser­vice de san­té des armées (SSA) partage les préoc­cu­pa­tions en matière de sécu­rité de ses pairs. L’enjeu est dou­ble : il doit se pro­téger en qual­ité de struc­ture de san­té, en lien avec le secteur de la san­té, pro­téger l’actif stratégique que con­stitue la don­née de san­té de défense, et surtout ne pas con­stituer le talon d’Achille des réseaux de défense. Cette dual­ité con­stitue, sinon un fac­teur aggra­vant du risque en lui-même, au moins une dif­fi­culté dans la nature et la mise en œuvre des solu­tions qu’il porte, au sein du min­istère des Armées. Si les niveaux de réponse sont nom­breux, il est per­mis de soulign­er l’intérêt de la dimen­sion archi­tec­tures, pour la défense périmétrique qui se sura­joute aux actions de défense dans la pro­fondeur. S’il n’est pas pos­si­ble de décrire les archi­tec­tures et process qui per­me­t­tent de cor­re­spon­dre aux con­traintes cumulées et aux objec­tifs con­tra­dic­toires du monde de la san­té et de celui de la défense, il est pos­si­ble d’évoquer les lignes direc­tri­ces qui visent à sécuris­er, au prof­it du SSA, la ressource unique que con­stituent les don­nées, dans l’intérêt des patients, des enjeux de défense et des prati­ciens mil­i­taires, au ser­vice de la France. Ain­si, le SSA, dont le méti­er san­té est trib­u­taire au quo­ti­di­en d’une ouver­ture maîtrisée, a‑t-il depuis le début des années 2000 mis en place des empi­lages de zones de con­fi­ance et de sas qui per­me­t­tent les échanges d’information néces­saires avec la san­té civile, dans le cadre des normes en vigueur au sein du monde défense qui s’articule avec la général­i­sa­tion des out­ils d’échange (mes­sagerie sécurisée de san­té) dévelop­pés par l’ASIP Santé. 

La gouvernance des SI, levier majeur contre le risque cyber

La trans­for­ma­tion des sys­tèmes d’information méti­er du SSA a débuté par le rem­place­ment du sys­tème d’information de la médecine des forces. Ain­si, fin 2019 est déployé – dans les délais et bud­get – le SI Axone, pre­mier volet du pro­gramme « CMA numérique », fruit d’une col­lab­o­ra­tion exem­plaire entre la direc­tion de la médecine des forces (DMF) et la maîtrise d’œuvre con­fiée à la direc­tion des sys­tèmes d’information et du numérique du SSA (DSIN). Axone béné­fi­cie pleine­ment de l’écosystème sécu­rité des réseaux défense puisqu’il est exploité sur une plate-forme cer­ti­fiée « Héberge­ment des don­nées de san­té » (HDS), exploitée par la DIRISI, l’opérateur interne d’infrastructures de la défense, et dis­tribué à ses util­isa­teurs, sur tous les ter­rains, au tra­vers du réseau interne du min­istère des Armées. Le déploiement d’Axone démon­tre que la mise en place d’un sys­tème d’information adap­té aux besoins des pro­fes­sion­nels de san­té et à leurs pra­tiques méti­er est pleine­ment com­pat­i­ble avec une approche sécu­rité rigoureuse, y com­pris dans le con­texte des réseaux de défense. La con­di­tion de la réus­site est un dia­logue appro­fon­di, à chaque étape de la con­cep­tion, des spé­ci­fi­ca­tions, de la réal­i­sa­tion, des recettes et de l’intégration dans l’écosystème SIC, entre les pro­fes­sion­nels de san­té, les infor­mati­ciens et les experts de la sécu­rité, qui s’attachent pour chaque exi­gence à trou­ver une réponse pleine­ment en phase avec tous les objectifs.

Ain­si, Axone peut-il être vu comme la pre­mière brique qui per­me­t­tra la mise en place d’un dossier patient mil­i­taire unifié. La per­spec­tive de l’enrichissement des dossiers per­me­t­tant des traite­ments nova­teurs, dans le respect des régle­men­ta­tions, par intel­li­gence arti­fi­cielle ou cal­cul haute per­for­mance, dans un cadre d’étude et de recherche ou dans la per­spec­tive d’une opti­mi­sa­tion des soins, est désor­mais réal­iste. La recon­sti­tu­tion, de façon aus­si exhaus­tive que pos­si­ble, du par­cours de san­té et de soins du patient mil­i­taire per­me­t­tra au Ser­vice de san­té des armées d’assumer dans les meilleures con­di­tions sa mis­sion, en matière de san­té et sou­tien san­i­taire des mil­i­taires. Les risques sont ceux de tout pro­jet SI d’ampleur : com­plex­ité de l’écosystème, SSI, capac­i­taire. Ils sont maîtris­ables à con­di­tion de ne pas être sous-estimés. Les freins cul­turels et psy­chologiques, la résis­tance au change­ment, sont présents dans les organ­i­sa­tions qui se sen­tent en dan­ger. Fort de sa pop­u­la­tion jeune, d’un niveau uni­ver­si­taire élevé, qui assume totale­ment la dual­ité san­té défense de sa mis­sion, le Ser­vice de san­té des armées est bien armé pour faire face à la révo­lu­tion de la e‑santé dans le cadre de l’Ambition numérique du min­istère, au ser­vice des armées et du monde combattant.


Axone : un système d’information métier porteur d’innovations organisationnelles et techniques

L’application Axone, pre­mier volet du pro­gramme « CMA numérique », vise à utilis­er les oppor­tu­nités tech­nologiques et numériques pour opti­miser les pra­tiques et les modes de fonc­tion­nement dans le cadre de la trans­for­ma­tion des cen­tres médi­caux des armées (CMA) de nou­velle généra­tion, issus du mod­èle SSA 2020. Elle repose sur la mise en œuvre d’un sys­tème d’information cible mod­ernisé et d’une infra­struc­ture tech­nique adap­tée. On aura ain­si un dossier médi­co-mil­i­taire dématéri­al­isé, qui a voca­tion à recueil­lir l’ensemble des événe­ments de san­té con­nus sur­venant tout au long de la vie des per­son­nes, quel que soit le mode ini­tial de recueil de cette infor­ma­tion ; une évo­lu­tion des matériels util­isés tout au long de ces par­cours, y com­pris les objets con­nec­tés ; une infra­struc­ture tech­nique, des réseaux et des modal­ités d’hébergement des serveurs adap­tées ; un pilotage, une analyse et un suivi de l’activité médi­co-mil­i­taire facil­ités, sur la base d’un déci­sion­nel rénové, à des­ti­na­tion des professionnels
en antenne, des CMA NG, de la direc­tion de la médecine des forces,
de la direc­tion cen­trale et des étab­lisse­ments ; une interopéra­bil­ité accrue avec les sys­tèmes d’information con­nex­es. Ce sera la garantie d’échanges sécurisés d’informations et de don­nées de san­té avec l’environnement du min­istère des Armées et avec l’environnement
de la san­té publique, afin de per­me­t­tre la con­ti­nu­ité des parcours
de soins des mil­i­taires et ayants droit du min­istère des Armées.

Poster un commentaire