A lire sur Journal du Net
Pourquoi les données de santé, particulièrement sensibles et stratégiques,
ont besoin de s’aligner sur la qualification SecNumCloud pour être mieux protégées ?
Les données de santé suscitent beaucoup d’intérêt de la part des cyberpirates qui orientent leurs attaques sur elles ; une situation face à laquelle les systèmes d’informations des établissements de santé sont particulièrement sollicités.
Les données de santé, cible de premier choix
Les établissements de santé sont des cibles privilégiées pour les cyberattaques et l’actualité s’en fait régulièrement écho. Outre la violation du secret médical dont peuvent être victimes les patients avec la fuite de leurs données, ces dernières peuvent aussi être altérées ou rendues inaccessibles (par chiffrement) ; par voie de conséquence, le système d’information peut être rendu inaccessible durant quelques jours, forçant les établissements de santé à fermer leurs services, privant ainsi les patients de soins.
Pour cette raison, la cybersécurité est devenue une priorité pour le secteur de la santé. Cette année, le Ministère de la Santé a fixé comme objectif que 100% des établissements de santé les plus prioritaires aient effectué un exercice de cybersécurité avant fin mai 2023 et que 50% de tous les établissements de santé aient fait leur premier exercice d’ici décembre. Le constat, à mi-parcours, faisait état de 500 établissements de santé ayant rempli cet objectif.
Des ressources aux besoins spécifiques
De par leur nature sensible, les données de santé sont donc une cible stratégique ; elles nécessitent d’avoir, plus que pour tout autre type de données, une vigilance particulière sur leur sécurisation et leur protection. Elles ne doivent pas être volées, ni rendues accessibles et inaccessibles – et donc indisponibles –, au risque d’empêcher un hôpital de fonctionner correctement, et elles ne peuvent pas être altérées, au risque d’aboutir à un diagnostic erroné s’il est établi à partir de données qui ne sont pas bonnes. Tous ces constats aboutissent à la même conclusion : il faut impérativement accorder à ces données la plus grande attention possible.
La certification HDS (Hébergeurs de Données de Santé) est l’une des réponses à cet enjeu. Elle est obligatoire pour les organisations qui traitent les données de santé, ce qui englobe les établissements de santé, les pharmacies, les laboratoires, les assureurs, les éditeurs de logiciels et les prestataires informatiques. Elle garantit la sécurité, la confidentialité et le respect du secret médical sur ces données, en venant compléter les exigences du RGPD déjà en place. Par extension, elle sert aussi à protéger la vie privée des patients, à garantir la qualité des services d’hébergement et à fournir un cadre de confiance global pour les acteurs du secteur de la santé.
SecNumCloud, la nouvelle frontière sécurité indispensable
Pourtant, afin d’offrir aux usagers du système de santé le meilleur niveau de protection, il convient d’aller encore plus loin, en ajoutant à ce cadre réglementaire la qualification SecNumCloud. La doctrine « Cloud au centre » va d’ailleurs déjà dans ce sens, en ayant précisé, avec la nouvelle circulaire signée au mois de mai, que les données sous couvert de secret médical qui sont hébergées dans le cloud doivent impérativement l’être dans un cloud qualifié SecNumCloud. Cette récente précision sur le caractère sensible des données de santé, dans le contexte de la doctrine, s’applique à toute la sphère données de santé publiques, imposant clairement le recours à un cloud commercial qualifié SecNumCloud.
Outre le plus haut niveau d’exigence qu’apporte cette qualification, par rapport à la norme HDS, elle introduit également une immunité aux lois étrangères à portée extraterritoriales, gage d’une plus grande exigence en matière de sécurité.
Le constat selon lequel les données de santé sont sans doute les plus sensibles qui puissent exister mais pour la protection desquelles le niveau d’exigence de sécurité retenu n’est pas le plus élevé, avec la seule norme HDS, met en lumière une certaine incongruité réglementaire sur ces données.
La doctrine « Cloud au centre » permet de pallier ce manque pour la sphère publique, en exerçant plus de contraintes, mais cela n’impacte malheureusement pas les établissements de santé privés.
Freins actuels et perspectives futures
A l’heure actuelle, l’adoption de ces normes par les établissements de santé publics est encore faible et leurs ressources pour protéger leurs données demeurent insuffisantes. Comment expliquer cette tendance ? Premièrement par une certaine frilosité, les mentalités n’ayant pas encore évolué dans ce sens. Mais également – et surtout – parce que les acteurs de santé attendent des offres riches et sécurisées dans ce domaine. Jusqu’à présent, les fonctionnalités du cloud qualifié SecNumCloud sont restées limitées et se cantonnent au IaaS (Infrastructure as-a-Service). Enrichir les fonctionnalités avec des services managés et se rapprocher de ce qu’attendent les acteurs de santé qui vont dans le cloud, tout en garantissant un bon niveau de sécurité, devrait progressivement avoir un effet d’encouragement auprès du secteur à aller davantage vers le cloud et les rassurer sur ce point.
L’application du cadre fixé par la dernière circulaire en date concernant la doctrine « Cloud au centre » va donc permettre d’aller plus loin dans l’adoption d’un cloud souverain et de confiance par les établissements de santé publics. En ce qui concerne les établissements du secteur privé, la réflexion est toujours en cours, pour aboutir au meilleur cadre réglementaire possible d’un point de vue sécurité. La norme HDS devrait prochainement être mise à jour, allant peut-être dans ce sens. L’objectif ultime étant de protéger au maximum les données personnelles de santé des citoyens français.
Les données de santé suscitent beaucoup d’intérêt de la part des cyberpirates qui orientent leurs attaques sur elles ; une situation face à laquelle les systèmes d’informations des établissements de santé sont particulièrement sollicités.
Alain Issarni
Président Exécutif de NumSpot
Ancien directeur des systèmes d’information (DSI) de la Caisse Nationale d’Assurance Maladie (CNAM), et ex-DSI de la Direction générale des finances publiques (DGFiP), a travaillé durant toute sa carrière au service de l’intérêt général. Attaché à la souveraineté comme vecteur de maîtrise technologique, il a été précurseur de l’utilisation de solutions « open source maîtrisé » dès le début des années 2000 dans la sphère publique.
