Cyber et systèmes d’information de santé

Cyber et systèmes d’information de santé : le cas du Service de santé des armées

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Sylvie POUSSINES

Comme tout système d’information connecté, les systèmes d’information de santé sont nativement exposés au risque cyber. Les objectifs des métiers de la santé, les conditions d’exercice et, de façon générale, les pratiques qui en découlent accroissent encore ce risque.

 

Des facteurs structurels favorisent la vulnérabilité intrinsèque des systèmes d’information de santé. À la fois culturels, sociétaux, économiques et techniques, ils se conjuguent et se renforcent. Il s’agit d’abord de la dissémination d’établissements, regroupés ou pas dans des structures juridiques complexes, dotés d’une autonomie financière permettant la liberté des choix d’investissement. Il s’agit ensuite d’une informatique ancienne, autonome, qui passe par une grande hétérogénéité des produits, éditeurs et technologies de générations différentes qui engendrent des coûts de maintenance élevés. Ces coûts absorbent une part significative des budgets des DSI, diminuant d’autant les capacités d’investissement. Le troisième facteur aggravant est culturel : les systèmes d’information sont perçus exclusivement au travers des fonctionnalités métier inhérentes à la mise en œuvre des dispositifs biomédicaux et sont utilisés au travers d’une multiplicité d’objets connectés par des utilisateurs, professionnels de santé qui, notamment dans le public, sont habitués à faire des miracles avec peu de moyens et utilisent volontiers des outils gratuits, qui ne sont pas toujours à l’état de l’art en matière de sécurité. Au regard du serment d’Hippocrate, un risque SSI disséminé pèsera toujours moins que le risque souvent vital qui justifie la présence du patient dans l’établissement de santé… Il s’agit enfin des échanges intenses entre établissements de santé, du fait de la mobilité des patients et des partenariats multiples qui contribuent à optimiser l’offre de soins sur le territoire au profit des populations. L’interopérabilité est organisée essentiellement « par le haut », au travers des contenus, des référentiels et des formats de données, d’où la surface d’attaque offerte et les risques de propagation qui sont élevés. On peut mentionner également les politiques des industriels fournisseurs de matériels biomédicaux et de systèmes d’information de santé, souvent issus de multinationales qui ne dépendent pas d’un marché particulier, qui ne font pas évoluer leurs matériels avec la réactivité qui permettrait l’application rigoureuse des mises à jour de sécurité ; les normes techniques sont des standards de fait, permettant l’interopérabilité nécessaire aux métiers, sans pour autant protéger des risques inhérents à toute interopérabilité ; les établissements conservent des systèmes d’exploitation et briques obsolètes, générant difficultés de maintenance et maintien de failles identifiées. Certes, la régulation s’impose petit à petit, s’appuyant sur la certification obligatoire des établissements, dont la dimension SI, la formation et la fourniture d’outils (réfé­rentiels) permettent une résorption significative de certains des facteurs de risque ci-dessus, au cours des dernières années.

Néanmoins, au risque cybersystémique, qui concerne tout système d’information connecté, s’ajoute une combinaison de facteurs de vulnérabilité liés aux caractéristiques du secteur de la santé.

 


REPÈRES

Le rapport 2018 de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) inventorie cinq familles de menaces cyber : l’espionnage, les attaques indirectes, les opérations de déstabilisation et d’influence, le minage des machines par des générateurs de monnaie cryptographique et les fraudes en ligne. Le secteur de la santé cumule ces risques et constitue une cible privilégiée. En France comme partout, les cyberattaques menées contre les établissements de santé ne cessent d’augmenter. Le site de cyberveille de l’ASIP (Agence des systèmes d’information partagés en santé, devenue en décembre 2019 Agence du numérique en santé), ou portail d’accompagnement cybersécurité des structures de santé, répertorie les attaques cybersanté (https://www.cyberveille-sante.gouv.fr/cyberveille-sante).
Sa page d’accueil ne laisse aucun doute : en ce début janvier 2020, plusieurs attaques d’ampleur sont signalées en France, en Allemagne, au Canada, etc.


 

La révolution de la e-santé et le risque induit

Le secteur de la santé est par ailleurs le théâtre de la révolution de la e-santé. Le champ paraît immense : recherche clinique, épidémiologie, recherche fondamentale, aides au diagnostic, télémédecine, etc. Cette évolution se conjugue avec la nouvelle mission de l’hôpital, lieu de vie de seniors de plus en plus nombreux, plus ou moins autonomes, contraignant à un tournant numérique qui s’exprimera au travers de toutes ses disciplines : IA, robotique, partage de connaissance, analyse de sentiment, etc., déployant la notion d’hôpital connecté, plus vulnérable que jamais aux attaques. Porteur de la promesse de la télémédecine (téléconsultation, téléexpertise, télésurveillance médicale, téléassistance et régulation médicale), surfant sur l’innovation et la multiplication des objets connectés, le numérique est supposé apporter la réponse à tous les problèmes structurels du secteur, à la raréfaction des médecins et aux déserts médicaux. Toutefois, cette révolution de la e-santé s’inscrit dans un socle d’infrastructures et de systèmes qui n’est pas uniformément robuste, induisant des failles et des problèmes de performances. Les professionnels de santé jonglent avec des systèmes d’information discontinus et hétérogènes, où des dispositifs datant du Moyen Âge de l’informatique en termes de conception et d’ergonomie coexistent avec les équipements numériques les plus récents.

Connectez-vous pour lire la suite.
Se connecter S’enregistrer