Les ravages causés par ces actes de malveillance sont considérables : au-delà de la gestion économique de l’établissement, c’est toute l’organisation des soins qui se trouve bouleversée et la vie des patients qui est mise en danger.
A la menace grandissante des techniques de piratage de plus en plus perfectionnées s’ajoutent les risques sécuritaires inhérents à une santé qui se digitalise. La dématérialisation des données de santé et l’interconnexion des systèmes d’information des acteurs de santé accroît nécessairement l’exposition de ces systèmes aux dysfonctionnements et failles de sécurité. La sécurisation des systèmes d’information (SI) des établissements de santé devient de facto une préoccupation majeure.
Dans ce contexte, la récente mise en place du dispositif de signalement des incidents graves de sécurité des SI de certaines structures de santé, instauré par la Loi de modernisation de notre système de santé du 26 janvier 2016 [1], est bienvenue.
Depuis le 1er octobre 2017, les établissements et organismes de santé concernés par le nouveau dispositif de signalement doivent ainsi déclarer les incidents de sécurité auxquels ils sont confrontés via un « portail de signalement des évènements sanitaires indésirables » accessible à l’adresse https://www.signalement.social-sante.gouv.fr.
Qui doit déclarer ?
Vous êtes concernés par ce dispositif si vous êtes :
- un établissement de santé ;
- un hôpital des armées ;
- un centre de radiothérapie ;
- un laboratoire de biologie médicale.
Quels incidents déclarer ?
Vous devez systématiquement déclarer sans délai les actions ou suspicions d’actions malveillantes ayant des conséquences potentielles ou avérées sur :
- la disponibilité totale ou partielle de votre SI ; la disponibilité, l’intégrité ou la confidentialité des données de santé que vous traitez ;
- le fonctionnement normal de votre établissement, et notamment la prise en charge des patients et la sécurité des soins.
Pour s’assurer de la bonne exécution de cette nouvelle obligation de déclaration, les structures de santé pourront se faire accompagner par l’ASIP Santé, logiquement chargée de la mise en œuvre du dispositif de signalement.
A cette fin, l’ASIP Santé a créé en son sein une Cellule Accompagnement Cybersécurité des Structures de Santé (Cellule ACSS) dédiée au traitement des incidents.
Cette cellule ACSS a vocation à intervenir :
- pour prévenir les failles de sécurité, en sensibilisant et informant les acteurs concernés sur les vecteurs de menaces et les bonnes pratiques en matière de sécurité numérique. Un espace documentaire et une cyber-veille sur les vulnérabilités des matériels et logiciels du secteur santé est ainsi mise à leur disposition via un portail dédié (https://www.cyberveille-sante.gouv.fr/) ;
- pour réagir aux failles de sécurité, en réceptionnant les signalements, en aidant à la qualification de la criticité de l’incident, et au besoin, en accompagnant la structure pour la gestion de l’incident.
Ce nouveau dispositif, qui s’inscrit dans la continuité de l’élargissement du champ de l’obligation de notification des failles de sécurité par le Règlement Européen sur la protection des données personnelles, poursuit des objectifs multiples [2]. Il vise à partager des bonnes pratiques pour éviter la survenance de failles, à alerter plus efficacement les acteurs en cas de menace et à renforcer le suivi des incidents dans les structures de santé.
Surtout, il participe au mouvement de renforcement de la cybersécurité des données de santé, en ajoutant une brique supplémentaire aux corpus de contraintes sécuritaires s’imposant aux responsables de traitement de données de santé.
Rappelons à ce titre que ces derniers ont déjà l’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé – et, à partir du 1er janvier 2019, à un tiers hébergeur certifié HDS [3]. Ils sont encore tenus de respecter les exigences générales et principes fondamentaux de sécurité des SI de santé définis par l’ASIP Santé au sein de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S).
Pour être efficace, le renforcement des contraintes de cybersécurité doit encore être couplé à une responsabilisation des acteurs du secteur. Tandis que les établissements de santé doivent adopter une démarche sécuritaire globale, tant sur le plan physique, logique, qu’organisationnel, les professionnels doivent prendre conscience de l’importance de préserver la sécurité du système (et notamment d’assurer la confidentialité de leurs identifiants) et adopter des automatismes en la matière. Les patients ne sont pas en reste : à eux de contrôler la mise en circulation de leurs données, notamment au profit des géants du numérique.
La sécurité informatique apparaît ainsi comme l’enjeu premier de la transformation numérique en matière de santé, où chacun à un rôle à jouer.