Les organisations de santé doivent maintenant aller au-delà pour non seulement fournir d’excellents soins, mais aussi protéger les données des patients. Une tâche monumentale dans une industrie qui génère constamment des données et qui ne peut que difficilement supporter un temps d’arrêt. La cybersécurité doit intégrer les politiques de santé publique de pleins pieds pour que des attaques comme celles sur le CHU Rouen ne deviennent pas un obstacle supplémentaire au service public.

L’industrie de la santé n’est pas à l’abri des cyberattaques

D’un point de vue médical, on pourrait dire que les ransomwares sont la nouvelle plaie du 21e siècle. C’est du moins l’expérience des membres du CHU qu’une cyberattaque a renvoyé au papier et au crayon. Le week-end du 16 novembre, un ransomware avait paralysé les ordinateurs de l’hôpital et perturbé fortement tous les services. Le piratage avait mis le système informatique du CHU complètement hors ligne et cinquante cyberpompiers de l’ANSSI avaient été dépêchés sur place pour résoudre la crise.

Le secteur français n’est pas non plus le seul touché. En 2017, l’épidémie de WannaCry a touché le Service national de santé du Royaume-Uni – le NHS, causant plusieurs jours de perturbations. Même les organismes de soins de santé les plus vigilants font face à des menaces. Sutter Health, un système de soins base en Californie qui compte plus de 3 millions de patients, avec un programme de cybersécurité et de reprise après sinistre des plus solides, traites quotidiennement d’innombrables cyberattaques. En 2018, Sutter Health a été touché par pas moins de 87 milliards de cybermenaces.

Planifié ou non, le temps d’arrêt impact la qualité des traitements

Avec la numérisation et digitalisation progressive de la prise en charge, il n’est pas rare que les médecins et les infirmières transportent des ordinateurs portables ou des tablettes lors des consultations afin d’accéder à l’historique de santé du patient, saisir les données vitales ou envoyer les ordonnances aux pharmacies.
On ne se l’imagine pas forcément, mais le retour au stylo et papier pour les médecins peut être une lourde source d’erreur. C’est pourtant ce qui s’est passé au CHU de Rouen. Concrètement, aux urgences, les infirmières ne pouvaient plus accéder au dossier médical des patients et ont dû inscrire toutes les entrées sur un tableau. Les petites étiquettes, où figure normalement le nom du patient et qui permettent de suivre son parcours et ses analyses n’affichaient plus qu’un numéro et devaient être complétées à la main, une par une. Source d’erreurs potentielles et gravissimes. Le laboratoire d’analyses médicales et le service de radiologie tournaient, eux aussi, au ralenti et le temps de prise en charge s’en est retrouvé allongé de plusieurs heures.

Si les temps d’arrêt dus aux attaques de ransomwares peuvent causer des ravages dans un établissement médical, les temps d’arrêt planifiés peuvent aussi avoir un impact négatif sur les patients dans le sens ou il perturbe le fonctionnement d’interface qui devraient pouvoir être opérationnel 24/7 ; à l’image des urgences médicales.

Remettre le patient au centre des politiques de santé publique en protégeant ses données

Aujourd’hui, les hôpitaux sont de plus en plus dépendants de matériel informatique, par ailleurs prodiguer des soins ne s’arrête plus à l’acte médical et il est important de penser le patient dans la durée afin d’assurer un suivi de qualité des actes médicaux. Tout patient est généralement amené au cours d’une vie à retourner plusieurs fois chez le médecin et/ou à l’hôpital. La protection des données répond donc au double impératif de fournir des soins de qualité, mais aussi d’assurer un suivi approprié entre les consultations.

Si vos systèmes et vos données sont affectés par des logiciels de rançon et des temps d’arrêt, vous mettez les patients en danger. Êtes-vous sûr que votre solution de protection des données actuelle est capable de répondre aux cybermenaces auxquelles est confronté le secteur de la santé ?