Accueil > Innovation médicale > La protection des données santé à l’heure du numérique

La protection des données santé à l’heure du numérique

L’informatisation des informations dans la médecine

 

L’état des lieux

De nos jours, tous les centres hospitaliers recourent à des outils informatiques pour gérer les données de leurs clients/patients. Environ 98 % des cabinets médicaux utilisent donc un ordinateur afin de stocker, de gérer les informations récoltées. Les grandes sociétés comme les hôpitaux peuvent se tourner vers des infrastructures informatiques plus avancées comme le Cloud computing.  

Par ailleurs, grâce à l’évolution de la technologie, les spécialistes de la santé emploient des appareils connectés qui mesurent, analysent et enregistrent les données de santé. Il est devenu impossible d’y échapper. Si aucune protection particulière n’est prise, certaines personnes malveillantes peuvent spoiler facilement ces renseignements sensibles. Ce n’est pas rare donc que les grands hôpitaux soient victimes de cyberattaque.

Cela démontre que la médecine en générale entame une petite révolution. De nouvelles pratiques comme la télémédecine ou encore l’existence du dossier médical personnalisé font leurs apparitions. Ainsi, la question de la sécurité des données revient sans cesse.

 

Les avantages et les inconvénients

 

Les atouts de l’informatisation en médecine

L’informatique apporte de nombreux avantages dans la médecine que ce soit pour les médecins ou encore pour le patient. En premier lieu, il permet d’accélérer les procédures. Le professionnel de santé peut trouver le dossier de la personne qu’il recherche en quelques clics. Auparavant, cela pouvait prendre des minutes voire des heures.

Aussi, les données informatiques ne prennent pas beaucoup de place (contrairement aux supports papier). Ainsi, vous n’aurez plus besoin d’avoir une tonne de paperasses pour chaque patient.

Enfin, les données informatisées sont bien plus lisibles comparés aux renseignements sur papier. Cela permet ainsi aux médecins d’avoir un suivi beaucoup plus complet d’un patient. Il peut également utiliser ces données afin d’établir plus efficacement les diagnostics et les traitements à d’autres personnes.    

Dans son ensemble, l’informatisation est souhaitable dans le domaine de la médecine. Elle apporte bien plus d’avantages que d’inconvénients.

 

Les désavantages de l’informatisation en médecine

Malgré les atouts indéniables de l’informatique, on peut évidemment se demander si les conditions sont réunies pour assurer la sécurité des données numériques.

Le domaine de l’informatique évolue très rapidement, en seulement quelques années on passe aux disques durs (HDD) à des supports plus rapides (SSD). Or, l’exercice médical nécessite une conservation à long terme des renseignements. Pour cette raison, on se sert le plus souvent des vieux ordinateurs dans les hôpitaux, car les changer implique un coût ainsi qu’une compétence avancée.  

En plus, la durée de vie des supports informatiques n’est pas fiable. Il est difficile d’estimer concrètement le temps de fonctionnement d’un ordinateur. Ce manque de précision présente un risque de perdre les données médicales.

 

Le mouvement des données

Les grandes entreprises travaillant dans la médecine partagent souvent des informations. Ce transfert de données présente un risque majeur. Une faille dans le processus peut être employée par des hackers pour voler les informations de millions de patients. C’est ce qui s’est passé en mars 2020 lorsque le deuxième hôpital tchèque a connu une intrusion dans son réseau. 

 

Qu’est-ce que le dossier médical ?

 

Qu’est-ce qu’une donnée de santé ?

Une donnée médicale désigne une information personnelle qui concerne la santé physique ou mentale d’une personne. Il peut aussi s’agir d’un renseignement concernant les prestations de soins déjà employés par un individu. Cette définition comprend ainsi :

  • Les informations relatives à une personne collectée lors de son inscription en vue de bénéficier de services de soins (symbole permettant d’identifier une personne de manière unique).
  • Les renseignements obtenus lors d’un test ou d’un examen à l’aide d’un prélèvement biologique.
  • Les informations concernant une maladie

De nos temps, la majorité des Français ont une DMP ou encore dossier médical personnel. IL s’agit d’un carnet de santé que les patients ainsi que les professionnels de la santé peuvent consulter en ligne. Ici, c’est le patient qui autorise ou non l’accès à son DMP. Il peut également demander la suppression de ces informations selon ses besoins. 

Les informations sont conservées sur des serveurs qui sont à priori sécurisés, mais en informatique le risque 0 n’existe pas. Pour s’y connecter, il suffit de taper l’identifiant ainsi que le mot de passe fourni.  

 

Le secret médical

L’informatique prend de plus en plus de place dans l’activité médicale. Désormais, les médecins emploient des logiciels de gestion de cabinet, des applications de gestion des stocks de médicaments. Ainsi, ce n’est pas rare qu’ils envoient des ordonnances par mails. 

En d’autres mots, les praticiens utilisent à tout va le numérique. Cependant, cela peut évidemment causer quelques questionnements, notamment au niveau déontologique. En effet, le professionnel de santé est tenu par la loi de protéger les données qu’il récolte de ces patients (secret médical). Or l’utilisation abusive de l’informatique augmente le risque de vol de data.

 

Protection des données médicales par la loi (peu importe le support)

Selon la loi en France, tous les intervenants dans le système de santé doivent respecter l’obligation de préserver les informations personnelles d’un patient. Cependant, l’échange de données entre les professionnels est autorisé dans le but d’un suivi médico-social. Le non-respect à cette règle est sanctionné d’un an de prison avec une amende de 15 000 euros. 

Le professionnel de santé est donc responsable des informations qu’il récolte durant son travail. Il est tenu ainsi de trouver et de protéger les données en sa possession. En cas d’attaque informatique ou encore de fuite, il peut engager donc sa responsabilité.

 

La protection informatisée des données des patients

 

La protection par la mise à jour des logiciels

Même si un logiciel est réalisé par une équipe de développeurs hors pair, il n’est jamais définitif. En effet, au fil du temps, on peut constater quelques problèmes comme :

  • Un souci de compatibilité qui cause des problèmes de fonctionnement avec l’ordinateur et d’autres logiciels
  • La présence d’une faille importante qui permet aux personnes malveillantes de voler des données personnelles.

Pour faire face à ces problèmes, les développeurs proposent des mises à jour. Il s’agit donc de patch qui vise à corriger des problèmes importants découverts à postériori. Cela signifie que les professionnels de santé doivent toujours mettre à jour leurs logiciels (OS, Gestion de cabinet, antivirus) pour réduire les risques d’attaques cybernétiques.

 

L’utilisation des antivirus

Un antivirus est un logiciel censé protéger les ordinateurs des programmes malveillants (cheval de Troie, vers informatiques, keylogger…). Le recours à ce dispositif est indispensable surtout pour les professionnels comme les médecins. En effet, grâce à ce type de logiciel, il est possible de détecter certaines attaques et donc d’empêcher la spoliation des données sensibles.

Il existe des versions gratuites d’antivirus, cependant les fonctionnalités proposées restent basiques. Pour une meilleure protection, mieux vaut se tourner vers une version payante.

Cependant, la protection offerte par ces logiciels reste relative. En d’autres mots, certains hackers arrivent facilement à contourner ce dispositif en modifiant la signature du virus.

 

La remise à niveau des matériels

Tout comme les logiciels, les matériels peuvent présenter des failles de sécurité importante. Par exemple, on peut prendre des vulnérabilités découvertes en 2017 sur les processeurs X86 (AMD et INTEL). Des chercheurs ont démontré qu’il était possible de voler certaines données qui sont enregistrées sur le cache du processeur. Cela signifie donc qu’une remise à niveau du matériel est importante pour améliorer la sécurité informatique.

Un autre exemple concerne les disques durs, ces matériels permettent de stocker des données qui pèsent des centaines de gigas. Le fonctionnement de cet équipement est obsolète et ils peuvent tomber en panne du jour au lendemain sans aucune alerte. Cela constitue évidemment un risque de perte des informations des données de santé. 

Pour éviter ce type de souci, mieux vaut donc migrer vers d’autres supports beaucoup plus sécurisés comme des SSD ou du NVME. Avec ces nouveaux matériels, les normes de sécurité ont été revues à la hausse.  

 

Le recours au cloud

Depuis quelques années, on a constaté l’utilisation de serveurs virtuels pour stocker des données personnelles (cloud). Cette pratique s’impose de plus en plus dans le secteur professionnel (dans la médecine). En effet, l’utilisation d’un serveur permet de pallier à plusieurs soucis notamment matériels. En effet, les informations sont enregistrées dans les nuages (data center), elles sont donc à l’abri des pannes informatiques.

Par ailleurs, le Cloud computing peut également être une solution bien plus économique. Pour les médecins, utiliser une machine virtuelle pour stocker les données de santé revient moins chère que d’investir dans de nouveaux matériels.

Cependant, le Cloud présente plusieurs inconvénients :

  • La question de sécurité, l’enregistrement des renseignements sur une plateforme externe représente toujours un risque important. Ce n’est pas rare que des personnes malveillantes essaient de dérober des données sur ces serveurs. Il arrive aussi qu’un utilisateur oublie de se déconnecter sur un appareil externe à l’organisation. Mais, les services actuels proposent évidemment une déconnexion automatique en cas de non-activité du compte pendant plus de trente minutes.
  • La question de la connexion internet, ici pour accéder à ces fichiers enregistrés dans les nuages, il est important d’avoir une bande passante importante. En d’autres mots, le professionnel doit avoir une bonne connexion pour exploiter le plein potentiel du cloud computing.

À noter que les professionnels de santé peuvent recourir à différents types de clouds pour sécuriser les données de santé. (IAAS, PaaS, SaaS).

 

Le recours à des sociétés spécialisé dans la sécurité informatique

La sécurité informatique des hôpitaux ainsi que des centres de santé prend en compte plusieurs paramètres comme la restauration des données après un sinistre ou une attaque. Cela ne peut être mis en place que grâce à l’intervention d’une société tierce. Cette dernière sauvegarde un double de toutes les données dans les serveurs du cabinet médical.

La société de sécurité privée peut également mettre en place un système de filtration des e-mails. En d’autres mots, elle peut donc vérifier si les pièces jointes ne contiennent pas de logiciels malveillants.

Pour éviter également les failles humaines (ingénierie sociale), la société responsable de la sécurité des données informatiques peut sensibiliser le personnel. Elle peut indiquer tous les procédés employés par les hackers pour récupérer des données médicales.

 

Les types d’attaques employés par les hackers

 

La technique du « Man in the middle »  

Pour voler les informations de santé, les pirates informatiques utilisent plusieurs techniques. Un des plus utilisés est le MiTM ou l’attaque de l’homme du milieu. C’est assez simple, le hacker intercepte les informations entre l’ordinateur et celui d’un serveur. Il peut par la suite exploiter ces renseignements.

Toutefois, il est désormais coutume de chiffrer la communication entre le client et le serveur. Cela signifie que les renseignements collectés par le pirate informatique ne seront plus exploitables, car il lui faut une clé pour décrypter les paquets interceptés. Heureusement qu’il existe plusieurs solutions face à ce type d’attaque :

  • Obtenir une clé publique par un tiers de confiance, c’est notamment la méthode utilisée par le protocole HTTPS.
  • Échange de la clé par un moyen sécurisé comme en main propre ou encore par téléphone.
  • Authentification de la clé à l’aide d’un système de reconnaissance vocale ou biologique.

 

Le recours aux Keylogger (enregistreurs de frappes) 

Un keylogger désigne un petit programme ou un matériel d’espionnage informatique. Sa principale fonction est d’enregistrer toutes les frappes sur le clavier. Ici, les pirates informatiques doivent avoir accès physiquement à l’ordinateur de la victime. Il peut ainsi installer un petit logiciel indétectable qui enregistre les frappes du clavier et les envoie par mail ou sur un serveur FTP. Le pirate n’a ainsi qu’à vérifier les logs sans aucun problème, il peut ainsi avoir les mots de passe ou encore le nom des utilisateurs pour se connecter au cloud de l’entreprise. 

Pour les logiciels de keyloggers, ils sont difficiles à détecter, car ils ne sont pas considérés par les antivirus comme étant des vers. En effet, ils n’ont pas vocation à modifier quoi que ce soit dans le PC, leur but principal est de récolter les données.

Quant au keylogger matériel (qui s’installe derrière le PC), ils sont presque impossibles à détecter. Seule une vérification visuelle permet de savoir qu’il y a une personne malveillante qui récolte les données.

L’utilisation des enregistreurs de frappe demeure très appréciée des pirates surtout pour voler des données personnelles. Cependant, de simples techniques permettent de les rendre inopérants. Par exemple, si vous entrez un mot de passe, essayez toujours d’utiliser le clavier virtuel (qui s’affiche sur l’écran).

 

Les Ransomware

Le ransomware ou encore le rançongiciel désigne un programme malveillant qui crypte toutes les données dans un ordinateur. Pour accéder aux informations sur les disques durs, le propriétaire doit payer une somme plus ou moins importante en cryptomonnaies pour avoir la clé de chiffrement.

Cette technique est devenue très populaire depuis les années 2012.

Le ransomware vise principalement les petites et moyennes entreprises et même les hôpitaux. Par exemple, le CHU de Rouen a été victime de cette attaque en mars 2020. Dans ce genre de cas, certaines données de santé de plusieurs milliers de personnes ont été prises en otage par les hackers. Les responsables de l’hôpital ont refusé de payer, car cela pourrait encourager les pirates informatiques à continuer.

Pour réaliser cette attaque, les pirates envoient des E-mails à des professionnels, ces derniers ne se doutent de rien et ouvre des pièces jointes infectées. À partir de là, le logiciel s’installe automatiquement sur l’ordinateur de la victime et commence à crypter les données qui s’y trouvent. Après quelque temps, toutes les informations seront chiffrées, donc illisible sans une clé.   

L’existence de ce type d’attaque témoigne de l’ingéniosité des hackers. Cela aussi révèle que l’informatisation à outrance n’est pas sans risque.

 

Les Spyware

Le spyware est un logiciel espion qui s’installe à votre insu sur votre ordinateur ou smartphone. Il possède plusieurs fonctionnalités qui permettent aux pirates informatiques de récupérer des informations personnelles comme des photos, des mots de passe ou encore des fichiers textes.

Ces logiciels espions sont dans la plupart des cas inclus dans des logiciels gratuits que l’on trouve sur internet. Ils peuvent utiliser des failles de sécurité sur le système d’exploitation afin de récolter des données sensibles.

Les antivirus performants peuvent les détecter et les éliminer de l’ordinateur. Mais, certains sont bien conçus et difficiles à éliminer.

D’une manière générale, pour prévenir ces attaques, il convient de ne pas installer des logiciels non officiels sur son PC. Mieux vaut aussi les éviter.

 

Le social engineering

On a souvent tendance à croire que les failles informatiques constituent les plus grandes menaces dans l’informatisation des données de santé. En réalité, c’est l’humain qui est faillible. En d’autres termes, les pirates tentent de manipuler psychologiquement des employés afin de soutirer des informations.

Pour vous donner un exemple, les pirates conçoivent des affiches officielles qui proposent de réparer des ordinateurs à des prix compétitifs dans les locaux d’une entreprise cible. Les salariés de cette dernière contactent alors les hackers pour réparer des pannes informatiques. Les pirates peuvent alors accéder au réseau de l’entreprise facilement en se faisant passer pour des dépanneurs.

C’est ainsi qu’ils peuvent pirater et voler des données confidentielles.

 

Combien coûte la protection des données médicales ?

Certes, le recours aux NTIC permet aux médecins et aux professionnels de santé d’améliorer leurs prestations. Grâce à ces outils, ils peuvent aussi accélérer les procédures grâce à la télémédecine. Le patient peut ainsi avoir une ordonnance par mail ou à l’aide d’autres voies de communication.

Toutefois, la migration vers l’utilisation des ordinateurs requiert un investissement plus ou moins important. Tout le monde ne possède pas l’argent nécessaire pour réaliser ce type de projet. Cependant, voici quelques aides qui peuvent faciliter la migration :

  • Le forfait structure : c’est un appui financier pour les cabinets médicaux qui permet aux professionnels d’avoir un équipement moderne.
  • Les aides des assurances : certains médecins qui ont souscrit à une assurance professionnelle peuvent bénéficier d’une aide pécuniaire pour protéger les données de santé.

Ayez en tête que l’utilisation de la nouvelle technologie demande un temps d’adaptation ainsi que beaucoup d’argents. Mais c’est utile, voire indispensable pour de nombreuses raisons.

 

Conclusion

L’utilisation massive des nouvelles technologies de l’information dans le domaine de la médecine amène à se poser quelques questions. En effet, l’enregistrement des données de santé dans les ordinateurs ou encore dans les serveurs est risqué. Ce n’est pas rare que des hackers arrivent à accéder à ces informations essentielles. Ils utilisent des techniques avancées et parfois indétectables pour voler des renseignements confidentiels.

Heureusement que les professionnels de santé peuvent engager des spécialistes pour assurer la protection de ces informations. Toutefois, le recours à ces sociétés peut s’avérer être onéreux. Tout le monde n’a pas les moyens financiers nécessaires pour ce type de projet. Pour vous aider, mieux vaut souscrire à une assurance qui prévoit ce type de problème. Pour trouver celle qui convient à vos attentes, employez Santors, un comparateur gratuit et fiable.