La France, dans le cadre de la loi du 26 janvier 2016 de modernisation du système de santé, prévoit la mise en place du SNDS (système national de données de santé)⁽¹⁾. Ce système, unique en Europe, vise à améliorer la prise en charge des patients, en collectant différentes données. Ce trésor d’informations personnelles peut attirer des convoitises… La France serait entrée, en 2015, dans le top 10 des pays les plus touchés par le piratage informatique, avec une progression de 51 % des cyberattaques⁽²⁾. La sécurisation des données médicales des patients est donc un enjeu crucial. Quelles mesures ont été mises en place par les pouvoirs publics ? Et quelles leçons sont applicables à votre pratique ?

Entre avril et juin 2016, la cybercriminalité a été particulièrement active dans le secteur de la santé, avec 90 % des attaques ransomware* qui ont touché des établissements de santé dans le monde⁽²⁾. La réponse des pouvoirs publics à ces agressions numériques s’organise autour d’un cadre juridique précis et de mesures informatiques pour lutter contre le risque de piratage, à l’hôpital comme en médecine de ville.

Qualification de données de santé : quels impacts ?

Selon la CNIL (Commission Nationale de l’Informatique et des Libertés), sont considérées comme des données de santé, toutes celles qui revêtent un caractère personnel relatif à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) et celles qui révèlent des informations sur l’état de santé de la personne⁽³⁾. Une définition large considère également comme des données médicales, toutes les informations qui permettent de tirer des conclusions sur l'état de santé ou de risque pour la santé d'une personne ainsi que celles qui deviennent des données de santé en raison de leur utilisation au plan médical⁽³⁾.
La qualification de données de santé entraîne un régime juridique particulier, avec des mesures pour garantir la sécurité et l'intégrité des données : secret des informations⁽⁴⁾, disposition sur l'hébergement⁽⁵⁾ et interdiction d'une exploitation commerciale⁽⁶⁾.

Aujourd’hui, la France n’a pas encore connu « le vrai gros piratage »⁽⁷⁾. Le ministère de la santé a dénombré, en 2016, plus de 1 341 attaques informatiques contre des établissements de santé. La plupart de ces attaques n’ont pour l’instant eu que des conséquences minimes, mais leur intensification nécessite de se protéger. À ce jour, les attaques consistent le plus souvent à rançonner l’établissement de santé, soit en cryptant les données pour les rendre inaccessibles sans paiement, soit en menaçant de les diffuser en ligne si une rançon n’est pas payée⁽⁷⁾. Les conséquences d’une telle immobilisation des systèmes informatiques pourraient perturber grandement les services médicaux.

Données de santé : comment les protéger ?

Le plan d’action SSI (Sécurité des systèmes d’information), mis en œuvre en France depuis novembre 2016, articule les mesures de réduction du risque numérique autour de trois niveaux de priorité⁽²⁾. Ce cadre de protection des données médicales s’applique aux établissements et services de santé, mais contient également des pistes pour améliorer la sécurité en médecine de ville.

Priorité 1 : 
• Identification de la fonction sécurité des systèmes d'information.
• Mise en œuvre d’une charte utilisateur annexée au règlement intérieur de la structure.
• Cartographie/inventaire des ressources informatiques.
• Établissement d’une procédure de signalement et de traitement des incidents de 
sécurité SI (Systèmes d’information) au sein de la structure.
• Antivirus sur tous les postes de travail, pare-feu local sur les postes nomades.
• Mots de passe robustes et renouvelés périodiquement pour les comptes utilisateurs, 
sauvegardes régulièrement testées. 

Priorité 2 : 
• Procédure d'homologation avant toute mise en production d’un SI.
• Maintien en conditions de sécurité de l’ensemble des systèmes numériques 
(postes de travail, serveurs, équipements actifs, équipements biomédicaux…).
• Protection de tous les accès à Internet et de télémaintenance.
• Sécurisation du wifi, séparation des réseaux professionnels et des réseaux invités.
• Gestion des comptes utilisateurs avec profils et droits différenciés, 
actions de formation SSI.

Priorité 3 : 
• Cloisonnement du réseau de la structure par famille d’usage (administration, paie, 
plateau technique…) et par niveau de sécurité homogène.
• Définition des modalités d’enregistrement et d’analyse des traces d’accès.
• Encadrement contractuel de tous les accès par des prestataires au réseau 
de la structure et vérification des clauses de réversibilité.
• Tenue à jour d’une analyse de risque SI de la structure.
• Engagement de la direction sur la réduction d’un nombre limité de risques chaque année.

Hôpital et médecine de ville : mêmes risques, mêmes solutions

Les hôpitaux et services de santé ne sont pas les uniques cibles des pirates. Les cabinets médicaux et officines de pharmacie prêtent le flanc aux mêmes risques : certaines pratiques de sécurisation y sont donc nécessaires et directement applicables.

La protection des données de santé est au cœur des priorités du CNOM (Conseil National de l’Ordre des Médecins) qui agit sur la sécurisation des messageries électroniques des praticiens dans les cabinets. À ce titre, le CNOM a émis en janvier 2018 plusieurs recommandations en faveur de la sécurisation des données, dont un label public de garantie de protection contre toute intrusion (recommandation 12) et une exigence de sécurité et de disponibilité des données hébergées en dehors du territoire national (recommandation 25)⁽⁹⁾.

Dans la pratique et en attente d’outils labélisés, il s’agit de prendre des habitudes numériques saines en suivant les recommandations de l'Agence nationale de la sécurité des systèmes d'information pour lutter contre les campagnes de rançongiciel⁽¹⁰⁾ :

Des mesures préventives : 
• Antivirus à jour et pare-feu actif
• Ne pas ouvrir des courriels suspects et ne pas ouvrir les pièces jointes 
des chaînes de messages
• Se méfier des messages d'émetteurs connus mais dont le contenu est inhabituel
• Ne pas cliquer des liens vers des sites inconnus ou non sollicités
• Ne pas télécharger de programme sans un minimum de précaution 
• Éviter les sites illicites ou de contrefaçon
• Effectuer des sauvegardes régulières (des données et du système)
• Éteindre l'ordinateur après utilisation…

Des mesures en cas d'attaque : 
• Déconnecter l'ordinateur d'Internet ou du réseau
• Prévenir le responsable informatique 
• Ne pas payer la rançon et déposer plainte auprès de la police ou de la gendarmerie
• Procéder à la désinfection de l'ordinateur…

*Un rançongiciel (« ransomware » en anglais) est un logiciel malveillant qui bloque l’accès à l'ordinateur ou aux fichiers des victimes et qui leur réclame le paiement d’une rançon pour en obtenir à nouveau l’accès.

Pour ne plus rien rater, créez votre compte

OK

Références :
1. Ministère des Solidarités et de la Santé. Mise en œuvre du système national des données de santé et nouveau cadre d’accès
aux données de santé. 28 décembre 2016.
2. Ministère des Affaires sociales et de la Santé. Ministère des Familles, de l’Enfance et des Droits des femmes. Instruction 
n° SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en œuvre du plan d’action sur la sécurité des systèmes d’information (« plan d’action SSI ») dans les établissements et services concernés. NOR : AFSZ1629742J
3. Cnil. Qu’est-ce ce qu’une donnée de santé ? Site consulté le 25/06/2018 - https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante 
4. Code de la santé publique. Article L1110-4. Modifié par Ordonnance n°2018-20 du 17 janvier 2018.
5.  Code de la santé publique. Article L1111-8. Modifié par Ordonnance n°2017-27 du 12 janvier 2017.
6. Code de la santé publique. Article L4113-7.
7. Le Monde. Dans les hôpitaux français, « le vrai, gros piratage n’a pas encore eu lieu ». 09 juillet 2017. Mis à jour le 11 juillet 2017
8. Le Monde. Une attaque informatique de portée mondiale crée la panique. 12 mai 2017. Mis à jour le 19 mai 2017.
9. Conseil national de l'ordre des médecins. Analyses et recommandations du CNOM. Médecins et patients dans le monde de data, 
des algorithmes et de l'intelligence artificielle. Janvier 2018.
10. Cybermalveillance.gouv.fr. Les rançongiciels. 21 mars 2018. Site consulté le 25/06/2018. www.cybermalveillance.gouv.fr