La digitalisation est en plein essor, grâce aux technologies connectées. Elle peut relier patients, soignants, cabinets médicaux et équipements médicaux. En France, 3 millions de dossiers médicaux partagés ont été ouverts en 2018, et plus de 200 000 DMP sont aujourd’hui ouverts chaque semaine. L’objectif est de fluidifier le suivi des patients, d’éviter les examens inutiles et d’anticiper les incompatibilités de médicaments. Outre une facilité d’utilisation et une expérience de vie améliorée, les dossiers médicaux électroniques sont également conçus pour accroître la confiance tout en garantissant la confidentialité des dossiers grâce à des droits d’accès contrôlés.
Cybersécurité : une attention croissante
Les hôpitaux intelligents attirent les pirates informatiques. Malgré la menace croissante, les hôpitaux ne sont pas suffisamment protégés. De nombreux établissements subissent d’énormes pressions financières et ont du mal à améliorer leur infrastructure. Le gouvernement français a donc lancé une politique nationale des systèmes d’information hospitalière appelée « Plan Hôpital Numérique » pour faciliter leur transformation numérique. Cette dernière conditionne l’intégration des technologies médicales, de l’information et de la communication.
Les bases de données sont les plus ciblées, car elles centralisent une grande quantité d’informations personnelles. Les utilisateurs et les administrateurs peuvent accéder aux données stockées dans le Cloud. Si elles sont non protégées et non chiffrées, le fournisseur de services cloud peut également y accéder. Les cybercriminels peuvent directement faire chanter les patients et les hôpitaux s’ils y ont accès. Depuis mars 2018, la loi sur le Cloud Computing (CLOUD Act) oblige tout fournisseur soumis aux réglementations américaines, à fournir des droits d’accès aux autorités judiciaires, durant une enquête.
Un retard en matière de cybersécurité malgré des exigences légales
La protection des données relatives à la santé est soumise à des règlementations strictes. Le règlement général européen sur la protection des données (RGPD/GDPR) requiert le consentement actif de tous les patients résidant dans l’Union européenne. En outre, l’article 17 du RGPD prévoit le droit à l’oubli, qui permet au patient de demander la suppression de ses données. Désormais, les certificats HDS sont garants de la sécurité des données de santé. En utilisant cette balise, e-sante.gouv exige 6 activités. Certaines institutions qui exécutent 1 à 5 activités se désignent « HDS ». Sachez que 98 hôtes se sont déclarés hôtes HDS. Toutefois, seuls 61 ont été officiellement approuvés par e-sante.gouv en 2019.
Selon la directive NIS, les prestataires de soins de santé (hôpitaux, cliniques privées) ont été identifiés comme des opérateurs de services essentiels (OSE). Ils doivent donc se conformer aux obligations de sécurité des réseaux et des systèmes d’information, et signaler les incidents. Cette directive prévoit des mesures juridiques pour améliorer le niveau global de cybersécurité de l’UE. L’état de l’infrastructure médicale est considéré comme critique dans tous les États membres.
Mesures de sécurité appropriées
Un pare-feu d’application Web ou WAF permet de protéger les applications Web. Un WAF analyse l’échange de données entre le terminal et le serveur Web et empêche les applications de devenir une passerelle vers des logiciels malveillants. Il vérifie les demandes et réponses entrantes sur le serveur. Quand il constate un accès suspect à certains contenus, WAF le bloque. L’hôpital et son application Web sont ainsi protégés.