Cloud
Le numérique de santé en manque de confiance
Par François Jeanne, publié le 19 mars 2024
Des brèches chez un hébergeur de données de santé pourtant certifié HDS ; des millions de profils dérobés aux opérateurs du tiers payant ; des accès mal protégés aux dossiers patients informatisés ; l’attribution à Microsoft Azure d’un marché d’hébergement de données de recherche en santé : de quoi rappeler aux professionnels de la cybersécurité que la confiance dans les systèmes d’information se construit dans la cohérence et de manière intrinsèque.
Sur le front de la santé, heureusement que février n’a duré que 29 jours. Au début du mois, belote : nous apprenions que la Cnil avait donné son feu vert au GIP PDS (plateforme des données de santé) pour héberger un traitement automatisé de données de santé à caractère personnel sur le cloud de Microsoft. Le projet, baptisé EMC2, vise la constitution d’un entrepôt de données pour la recherche pharmaco-épidémiologique sur les effets à long terme des traitements médicaux.
Mais quid de la protection des données ? La Cnil souligne qu’elles seront conservées dans des datacenters Microsoft en France, mais reconnaît que « des données techniques d’usage de la plateforme (…) pourront être transférées vers des administrateurs situés aux États-Unis ». Surtout, elle admet que l’hébergeur ne pourra pas se soustraire, le cas échéant, à une injonction « légale » de communiquer des données qu’il héberge aux autorités des USA… De quoi irriter les tenants d’une approche souveraine dans le domaine sensible de la santé.
Alain Garnier, CEO de Jamespot, estime ainsi que « cette décision soulève des questions fondamentales sur la manière de concilier avancées technologiques et sécurité nationale à l’ère du cloud computing (…). Elle renforce aussi la position dominante des géants américains en France (…) face à OVHcloud, NumSpot et Cloud Temple, estampillés SecNumCloud [contrairement à l’offre de Microsoft Azure, NDLR], pourtant candidats à l’hébergement de ce projet. »
À LIRE AUSSI :
Les assurés sociaux épargnés, mais pas les professionnels de santé
Rebelote le 7 février : la même Cnil révélait qu’une cyberattaque contre deux opérateurs du tiers payant (Viamedis et Almerys), prestataires de nombreuses mutuelles, avait entraîné la fuite de données d’environ 33 millions d’assurés sociaux en France. Elle se voulait rassurante, puisque « les informations bancaires, les données médicales, les remboursements de santé, les coordonnées postales, les numéros de téléphone ou encore les courriels ne seraient pas concernés par la violation ». Ouf ? Pas vraiment. Lors de l’Université des DPO à Paris mi-février, Paul-Olivier Gibert, président de l’AFCDP, a en effet précisé que « d’autres données ont été collectées qui concernent les professionnels de santé et, dans certains cas, les entreprises ». Avec, cette fois, des informations plus sensibles concernant par exemple des comptes bancaires. Et une mise au point de Nicolas Samarcq, administrateur de l’AFCDP : « Le communiqué de la Cnil (…) passe sous silence ces données (…), plus critiques comme le login de connexion du professionnel de santé à son portail de tiers payant, son numéro de téléphone et son RIB ! »
À LIRE AUSSI :
Et pourtant, une simple visite sur le site de l’ANS (Agence du Numérique en Santé) le confirme : Almerys bénéficie d’une certification HDS, niveaux 3, 5 et 6, ce qui couvre notamment l’administration et l’exploitation du SI contenant les données de santé et leur sauvegarde. Comment est-ce possible ? L’ANS n’a pour l’heure pas répondu à nos sollicitations.
Des mises en demeure de respect de la confidentialité
Enfin, dix de der pour la Cnil qui a publié, le 9 février, une note pour « mettre en demeure plusieurs établissements de santé de prendre les mesures permettant d’assurer la sécurité du dossier patient informatisé (DPI), rappelant que les données des patients ne doivent être accessibles qu’aux personnes justifiant du besoin d’en connaître ». En clair, ces établissements ont tendance à laisser des personnels administratifs accéder à ces informations confidentielles.
Cela pourrait n’apparaître que comme la confirmation d’un certain laisser-aller qui règne dans l’univers de la santé, et cela ne surprendra pas ceux qui ont suivi la chronique des multiples cyberattaques réussies, ces derniers mois, contre des centres hospitaliers. Mais ici s’y ajoute une certaine désinvolture dans la manière de communiquer des organismes régulateurs ou de certification, censés pourtant aider à instaurer et à maintenir la confiance numérique. Laquelle, ajoutée aux revirements incessants en matière de réglementation, a de quoi désarçonner les DSI les plus attachées à construire des SI efficaces et en conformité. Elles sont heureusement bien conscientes que les données personnelles de leurs clients, de leurs partenaires ou encore de leurs collaborateurs, sont à protéger coûte que coûte. Mais on ne saurait trop le leur rappeler : pour survivre dans un monde « cyber hostile », la paranoïa reste un must. Y compris vis-à-vis de ceux qui prétendent être nos alliés.
À LIRE AUSSI :
À LIRE AUSSI :
