Cybersécurité en santé, quelle situation en France ?
Locations
En ce début d’année 2021, la multiplication des attaques de systèmes d’information d’établissements de santé et une fuite massive de données de santé (concernant 500 000 patients) mettent en lumière l’importance de la cybersécurité, tout particulièrement dans le secteur de la santé compte tenu de la sensibilité des données de santé.
La France a pourtant pris en compte la protection des données dès 1978, avec la Loi Informatique et libertés ayant inspiré le Règlement général sur la protection des Données (RGPD), connu pour ses sanctions très dissuasives. De même, la France a largement œuvré en matière de cybersécurité dans le secteur santé, et spécifiquement dans les établissements de santé, ce dont témoignent les nombreux textes et référentiels applicables, la plupart associés à des mécanismes contraignants tels que certification / accréditation obligatoire, et/ou incitations financières.
La Ministre de la Santé a d’ailleurs, en novembre 2019, érigé la cybersécurité des établissements de santé en « priorité nationale », insistant « la sécurité numérique fait partie intégrante de la sécurité des soins » et lançant l’appel à être « tous cybervigilants ».
D’autre part, et depuis le 1er octobre 2017, les structures de santé doivent déclarer les incidents de sécurité informatique via un portail dédié de signalement des événements sanitaires indésirables déclenchant un accompagnement par l’Agence Régionale de Santé concernée et le Ministère, outre l’obligation de notifier toute violation de données à la Cnil, et le cas échéant la communiquer aux personnes concernées.
Reste que la disponibilité des données de santé des patients est strictement nécessaire dans la prise en charge, et que cette prise en charge a largement évolué ces dernières années pour les besoins d’un meilleur maillage du territoire et de rationalisation des modes de gestion.
En effet, la prise en charge n’est plus assurée au niveau d’un établissement de santé, mais d’un territoire avec, en clef de voûte, un Groupement Hospitalier de Territoire (GHT) pouvant rassembler autour d’un projet médical partagé jusqu’à vingt établissements de santé, lesquels assurent une prise en charge commune et graduée, mise en œuvre au moyen d’un système d'information hospitalier convergent, et notamment d'un dossier patient informatisé (DPI) permettant une prise en charge coordonnée des patients au sein des différents établissements parties au groupement. Ainsi, les informations concernant une personne prise en charge par un établissement public de santé partie à un groupement doivent désormais pouvoir être partagées avec l’ensemble des autres établissements, le GHT étant considéré comme une équipe de soins.
En dehors des GHT, et dans le même sens, la donnée est partagée entre acteurs de santé dans le cadre des parcours de soins coordonnés, articulés autour d’une prise en charge décloisonnée et partagée entre professionnels exerçant dans les secteurs sanitaire, médico-social et social, et ce, via le déploiement et l’usage des services socles tels que le dossier médical partagé (DMP) et les services numériques de coordination.
Si tout échange ou partage de données est réalisé dans le respect des droits des patients - à tout le moins une information et un droit d’opposition -, pour autant ces nouvelles conditions et modalités de prise en charge, dont la légitimité ne saurait être mise en cause, ont tout à la fois, généré une dépendance accrue des organisations à leurs systèmes d’informations, et augmenté la connectivité d’établissements dont le niveau de maturité numérique pouvait être hétérogène (avec parfois une architecture et/ou des composants obsolètes) les exposant ainsi à une plus grande menace et à des incidents de sécurité dont les impacts sur l’ensemble des acteurs du secteur de la santé et bien sûr la prise en charge des patients sont majeurs.
De facto, ces nouveaux usages et risques supposent de nouveaux investissements. On ne peut donc que saluer les récentes annonces de renforcement de la stratégie de cybersécurité à destination des établissements sanitaires et médico-sociaux pour un montant de 350 M€, outre les 25 M€ du Ségur de la Santé consacrés à la cyber sécurisation des établissements. De même, la cybersécurité ayant jusqu’alors constitué une variable d’ajustement des projets informatiques des établissements de santé, tout soutien de l’Etat à un projet informatique sera désormais conditionné à l’allocation de 5 à 10 % de son budget à la cybersécurité. Enfin, les 135 GHT seront intégrés à la liste des « Opérateurs de Services Essentiels », les soumettant de facto à des règles de sécurité plus strictes dont le respect est contrôlé par l’Agence Nationale de la Sécurité des Systèmes d’Information.
