Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité et santé publique : le chemin vers la sensibilisation à la sécurité sera long

février 2016 par Marc Jacob

Pour sa 39ème édition, le CyberCercle présidé par Benedict Pillet, a réuni Gérard BAPT, Député de Haute-Garonne, Pierre Morange, Député des Yvelines et Philippe Loudenot, FSSI des Affaires Sociale, de la Santé et des Droits des femmes. Le thème de cette conférence était « cybersécurité et santé », il est vrai que la santé est un sujet sensible qui imbrique sécurité des données à caractère personnelle, confidentialité, mais aussi les professionnels de santé dont la priorité n’est pas la sécurité logique mais plutôt la sécurité des patients… Un long travail de sensibilisation reste à réaliser pour élever le niveau de sécurité de tous.

En préambule, Benedict Pillet a rendu hommage à son mari Nicolas Pillet récemment décédé. Puis elle a introduit la conférence en expliquant que le système de santé français a été vu comme l’un des plus performants au monde selon les analyses de l’OCDE. Toutefois, en termes de Cyber-sécurité les enjeux de la santé numérique sont primordiaux. D’ailleurs, Guillaume Poupard, Directeur Général de l’ANSSI considère que les attaques sur le système de santé vont se multiplier et pourrait même engendrer des morts.

Pour Gérard Bapt, les données personnelles de santé se doivent de rester la propriété des patients. Cependant, avec l’avènement des objets connectés ces données sont de plus en plus accessibles via Google.... En revanche si les internautes diffusent de leur plein gré des informations à caractères personnelles, certaines données sont collectées à des fins statistiques par les Pouvoirs public dans l’objectif d’améliorer le niveau de la santé générale des usagers. Ces dernières seraient récoltées de façon anonyme.

Gérard Bapt a évoqué l’article 47 de la loi de santé sur la protection des données à caractère personnelle qui avait été rédigé une première fois de façon trop administrative. Par la suite, il a été réécrit en collaboration avec la CNIL afin de renforcer la protection des citoyens. été introduit.

Gérard Bapt a mentionné que des problèmes de pannes informatiques avaient été à l’origine d’incidents graves entraînant même la fermeture d’établissements hospitaliers comme dans la région bordelaise. De ce fait, une surveillance accrue a été mise en place avec une collecte de tous les incidents afin de trouver des remèdes. Il a aussi cité des cas d’attaques par des pirates informatiques qui agissent soit par vengeance, soit pour collecter des données afin de les revendre. Ces méfaits se sont produits tant en France qu’aux États-Unis. Pour lui, les professionnels de santé doivent être sensibilisés à ces problèmes même si certains d’entre eux surtout dans le secteur privé ont déjà fait des efforts comme par exemple avec des systèmes de messagerie chiffrée.

Le député des Yvelines Pierre Morange considère, pour sa part, que la notion de temps politique est différente du temps numérique. Il est de ce fait nécessaire de rationaliser les dispositifs, déployer des coffres forts fiables et enfin mettre en place des contrôles des processus afin de limiter la fraude sociale. Aujourd’hui, les fichiers entre les différents services de l’Etat sont fusionnés afin d’améliorer les contrôles et donc limiter les abus par les citoyens. Toutefois des efforts sont encore à faire.

Philippe Loudenot a dressé un panorama des enjeux du monde la santé. Il se divise en trois : les attributions des remboursements avec les enjeux des fraudes, les organismes des prestations sociales qui donnent lieu à des fraudes en particulier du phishing avec l’envoi de mail informant de problèmes sur des remboursements. La deuxième partie concerne par exemple les établissements de santé comme ceux du sang avec des enjeux d’atteinte à la santé publique en cas d’attaques à buts destructeurs.

Enfin, les établissements de santé publique avec des piratages de données de. Santés, tel par exemple la suppression des paramétrages des informations comme c’est arrivé dans des établissements de radios, conduisant au report de soins. Il a cité des cas d’attaques par rebond qui existe depuis 38 ans concomitant à la publication de la Loi Informatique et liberté. La protection des données à caractère personnel doit inclure aussi la disponibilité pour les médecins d’accès aux données des patients. Aujourd’hui, l’arrivée des objets connectés de nouveaux risques sont induits.

Les médecins par exemple préfèrent lire des informations sur l’IPad Retina plutôt que sur les écrans marqués CE... Ceci pourrait poser en cas de problème dès problème de responsabilité. Il est pour lui, important de sensibiliser les professionnels de santé aux bonnes pratiques en matière des systèmes d’information sous toutes leurs formes papier, numérique... Cette démarche nécessite l’implication des directeurs des établissements de santé.

Pour lui, les attaques sur les équipements de santé personnels risques de se multiplier, des démonstrations ont été réalisées à plusieurs reprises dans différentes Conférences comme encore récemment au FIC. Il a cité le cas de Dick Cheney qui avait fait désactiver tous les éléments permettant la prise à distance de son pacemaker. En effet, le risque avait été évalué trop important...

Lazarro Pejsachowicz, le président du CLUSIF, rebondit sur le problème de l’anonymisation qui est souvent confus. Pour lui, on a d’une part les patients qui tiennent plutôt à l’intégrité de leurs données de santé nécessaires pour recevoir le bon traitement. D’autre part, également expliqué qu’il n’y a pas de véritable anonymisation des données des patients qui sont envoyés dans le Big Data. Effectivement, reprend Philippe Loudenot une analyse de risque doit être faite. Il a cité le cas du piratage de centre de radiologie de Valence durant lequel les médecins avaient remis toutes les données de santé des patients conservés sur des supports de stockage sans vérifier l’intégrité des données....

Au niveau technique Philippe Loudenot rappelle que le virus Confiker qui avait atteint tous les établissements de santé dans le monde, est encore présent dans la plupart d’entre eux… si les SI n’ont pas tous déployé de patch, Conficker se met à jour régulièrement... Il a cité le cas des constructeurs d’équipements de santé qui n’ont pas pris en compte les problématiques de sécurité. De ce fait, il recommande la prise en compte de la sécurité dès la conception où au moins fasse de l’analyse de risques afin d’avoir conscience des problèmes éventuels. Pour lui, il faut que les autorités soit présentes dans les instances normatives afin que la notion de sécurité soit une des composantes. Il n’est donc pas nécessaire que la France édicte ses propres normes. Effectivement, reprend le député Pierre Morange il faut à minima travailler avec les instances Européennes.

En conclusion, Philippe Loudenot comme Pierre Morange considèrent que le travail d’évangélisation doit se poursuivre. Pierre Morange rappelle qu’une commission autour de la santé va se mettre en place dès le mois d’avril afin de poursuivre les efforts d’amélioration de la sécurité du domaine de la santé.


Voir les articles précédents

    

Voir les articles suivants