L'enjeu des données de santé

Données de santé, tous concernés

// Temps de lecture : 3 minutes //

Rencontre avec Baptiste Le Coz, directeur général adjoint du SIB.

Les attaques informatiques se sont multipliées ces dernières années, faisant de la santé un secteur plus piraté que la finance. Entre mars et avril 2020, profitant du contexte de la crise sanitaire due au Covid-19, un établissement de santé était visé par une cyberattaque tous les 3 jours dans le monde. En France, la cyberattaque qui a paralysé l’hôpital de Rouen a marqué les esprits. Directeur général adjoint du SIB, un acteur public majeur du numérique au service de la santé et du secteur public, Baptiste Le Coz nous apporte son expertise et son regard sur le secteur.

Pouvez-vous nous presenter les activités du SIB ?

Basé à Rennes et à Lille, le SIB est une entreprise publique de services numériques à destination des établissements de santé et des collectivités locales. Editeur de solutions santé et décisionnelles, nous déployons et intégrons globalement l’ensemble des solutions nécessaires au bon fonctionnement des établissements de santé et des groupements hospitaliers de territoire (GHT). Hébergeur de données de santé historique en France, le SIB est certifié HDS et 27001. Nous positionnons la sécurité au cœur de notre offre de services. Dans ce cadre, nous accompagnons nos adhérents à la prise en compte des enjeux de la protection des données de santé, de la cybersécurité et des risques associés. Enfin, annoncé lors du Forum International de la Cybersécurité (FIC) 2020, nous sommes la première structure de référence en numérique et santé à avoir intégré le Pôle d’Excellence Cyber (PEC).

Qui est concerné par les données de santé ?

Tout le monde ! Malheureusement nous serons pratiquement tous des patients à un moment de notre vie. A défaut de l’être, nous avons des enfants, des parents, des conjoints qui sont concernés par des questions de santé. Les données de santé sont des mines d’or pour des sociétés peu scrupuleuses dans les domaines bancaire, l’assurance ou l’industrie pharmaceutique, par exemple. Et, plus largement, cette question concerne également les adeptes des objets connectés, tels que les montres ou les pèse-personnes connectés qui contiennent et gèrent un grand nombre de données… qui sont des données de santé. Un an et demi après la mise en œuvre du RGPD, le grand public est désormais plus sensible à la question de la gestion des données personnelles et de fait, la prise de conscience de l’existence et de l’importance de la gestion de ses données de santé à caractère personnel progresse.

OU EN EST LA SENSIBILISATION DES PROFESSIONNELS DE SANTE ?

Les premiers concernés sont évidemment les acteurs qui produisent de la donnée, la stockent et la manipulent au quotidien. Il s’agit donc des professionnels de santé.

Cela concerne aussi les fabricants de matériel, les hébergeurs certifiés, les opérateurs réseau et télécom ; il s’agit en fait de l’ensemble de l’écosystème numérique de santé. Pour les professionnels de santé, la sensibilisation s’inscrit de façon institutionnelle avec notamment l’application progressive des référentiels issus de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) qui fixe le cadre de la sécurisation des systèmes d’information de santé. Ce cadre vise à protéger les citoyens et leurs données de santé personnelles. Cependant le niveau de sensibilisation aux risques cyber reste faible dans l’écosystème santé. Le secteur souffre d’un manque de moyens et donc la priorité est plutôt mise sur l’amélioration des soins. La sécurité passe après.

Comment sécuriser ce type de données sensibles ?

La sécurisation de ces données passe par une amélioration de leur stockage avec notamment le recours à un hébergeur certifié HDS ou la mise en conformité de la structure vis-à-vis de cette même réglementation. De nombreuses données de santé sont utilisées dans le cadre de recherche et la mise en place du Health Data Hub devrait accélérer les choses. Des techniques d’anonymisation ou de pseudonymisation doivent être utilisées pour garantir leur sécurité. Sans aborder la polémique liée au choix de l’hébergeur qui est un sujet en soit, est-on réellement capable d’anonymiser des données de santé sans impact sur la qualité de celles-ci ? L’enjeu de l’accès à la donnée reste entier avec notamment la problématique de la robustesse de mots de passe dans les structures hospitalières. Pendant la crise sanitaire, nous avons accompagné de nombreux établissements dans la mise en place de notre solution de télémédecine. Ces solutions permettent de nouveaux accès au système d’information qui sans précaution ouvrent de nouveaux chemins d’attaque pour les cybercriminels. Nous travaillons donc à améliorer la phase d’authentification par l’accompagnement des établissements dans la mise en place de solutions de double authentification. Plus généralement, nous accompagnons les établissements et les éditeurs dans leur démarche de sécurité au travers notamment de sensibilisations, d’audits ou de conseils. Notre objectif est de contribuer pour nos adhérents à l’amélioration du niveau de maturité.