Contribution d’avril 2016 à une action de sensibilisation à la SSI

La multiplication récente des incidents de divulgation de données médicales ne doit rien au hasard. Elle relève d’une part d’une exposition accrue de ces données liée à l’évolution de la pratique médicale, d’autre part de l’augmentation générale du niveau de cybercriminalité.

Les progrès de la médecine se traduisent par la transformation de pathologies aigues, traitées au sein de l’hôpital, en maladies chroniques suivies au long cours. Ceci exige la mise en place de structures de coordination mobilisant un maillage souple d’intervenants de toutes sortes (professionnels de santé hospitaliers ou libéraux, paramédicaux, aidants, sans oublier la personne concernée) pour sécuriser des parcours de santé, que ce soit sur la base d’un territoire ou d’une pathologie spécifique.

Ces coordinations s’organisent autour de systèmes d’information ouverts, auxquels ne peut se substituer un simple dépôt documentaire commun. Ces systèmes sont une cible de choix pour les cybercriminels : leur exposition sur Internet est obligatoire, et ils comportent des données sensibles particulièrement pertinentes pour une demande de rançon, car la confiance en la confidentialité des données est la première des attentes exprimée par les personnes concernées.

Face à ce risque, deux attitudes sont encore trop répandues : le déni (qui donc s’intéresserait à des données aussi ennuyeuses) ou le défaitisme (de toute façon, les pirates l’emporteront toujours).

Le déni se combat par une information claire et objective sur le niveau de la menace, dont la présente publication.

Le défaitisme se nourrit de la culture populaire. Quasiment chaque soir, une série télévisée assène qu’on peut infiltrer les systèmes les plus sécurisés en quelques secondes ; les révélations sur les moyens gigantesques mis en œuvre par la NSA ne disent rien de leur inefficacité face à des mesures cryptographiques courantes. Le feuilleton du conflit entre le FBI et la société Apple pour le déverrouillage d’un simple téléphone portable devrait pourtant démontrer qu’on est là dans l’image d’Epinal.

La protection des données, y compris sur une durée non négligeable contre des mesures de niveau étatique, est accessible à des niveaux de coût raisonnables pour des organisations compétentes et structurées. Le statut d’hébergeur de données de santé a fait émerger depuis 2010 de telles organisations, de toutes tailles et de tous statuts, sur le territoire français. Il reste à tirer bénéfice de cette initiative : mobiliser les hébergeurs de données de santé sur l’ensemble des traitements sensibles, renforcer encore le processus via la mise en œuvre de la certification prévue par la loi de modernisation du système de santé, et finalement en étendre le principe au niveau européen.