Publié dans :
L’IA et la cybersécurité : quelles opportunités ?
Alors que l’Union européenne vient de se doter d’un texte régulant l’usage de l’intelligence artificielle, ce qui constitue la première […]
La pandémie de la COVID-19 a soulevé la nécessité pour les autorités françaises de protéger ses infrastructures de santé face aux cyberattaques. Alors même que le secteur de la santé nécessite d’être maintenu en condition optimale, certaines attaques récentes ont démontré la fragilité de leur infrastructure sécuritaire. « La densité d’attaques sur ce secteur résulte d’un sous-investissement chronique en sécurité informatique. Sous la contrainte budgétaire, le développement des applications a été privilégié à la sécurité informatique laissant les établissements à la merci d’attaquants pour lesquelles les entités, dont la rupture d’activité aurait un impact social important, sont des cibles intéressantes », explique les travaux de la commission sénatoriale des affaires étrangères, de la défense et des forces armées.
Le secteur de la santé ne manque pas de susciter l’intérêt des cybercriminels. En mai 2017, WannaCry s’en était pris au système de santé britannique (NHS). En exploitant une faille Windows, les hackers sont parvenus à infecter 16 centres de santé et 200 000 ordinateurs, ce qui avait conduit à annuler près de 20 000 consultations et paralysé plus de 1 200 équipements de diagnostic.
A l’été 2019, 120 sites du groupe de santé FR Ramsay ont été touchés par une cyberattaque. En octobre, ce fut le groupe hospitalier DCH (USA), qui, suite à un rançongiciel, a été contraint de refuser l’entrée de nouveaux patients dans ses trois hôpitaux d’Alabama et de payer une rançon aux pirates informatiques qui menaçaient de détruire les SI.
En novembre 2019, le CHU de Rouen a vu l’ensemble de ses services paralysés pendant plusieurs jours, obligeant la prise en charge de certains patients par d’autres établissements ainsi que le report des interventions programmées. Les logiciels de prise en charge des patients, de prescriptions, de comptes rendus et de gestion des admissions ont été mis à l’arrêt.
Les hôpitaux doivent renforcer leur sécurité. Elle doit être mise à niveau afin d’éviter, par exemple, qu’une cyberattaque ne pirate la continuité de service des blocs opératoires, ne prenne le contrôle de tout un hôpital, de son réseau électrique, altère les fonctions d’un objet connecté de santé ou falsifie les données vitales liées à un patient impliquant des conséquences quant au bon fonctionnement de la Nation mais aussi sur la vie même des patients.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) estime à 3 ans la durée nécessaire à ces derniers pour assurer un déploiement global des mesures de cybersécurité édictée.
Si l’enjeu des équipements et des personnels a été central pour combattre le virus, les opportunités liées au numérique appliqué à la santé (e-santé) ont également été déterminantes dans la réponse rapide à la pandémie. Au cœur de la crise de la Covid-19, les nouvelles technologies ont eu un rôle majeur pour accélérer la prise de décision, endiguer l’épidémie, permettre la continuité des soins et donner aux patients davantage d’autonomie dans le dépistage et le suivi de leurs symptômes.
« Le recours aux outils numériques et l’usage des données de santé ont montré des degrés de maturité bien différents d’un pays à l’autre. Là où la technologie a été massivement utilisée, les conséquences de l’épidémie ont pu être maîtrisées plus rapidement et plus efficacement. » souligne l’Institut Montaigne dans son récent rapport « Vers un new deal de la santé en France » paru en juin.
« Porté par des acteurs privés et publics, le déploiement de la e-santé associé à un recueil systématique des données de santé fait partie des bases indispensables sur lesquelles doit reposer notre système de soins. » déclare l’Institut Montaigne. Mais la France est encore loin d’une médecine des « 4P » : prédictive, préventive, personnalisée et participative. Dotée d’une stratégie ambitieuse à travers la loi Ma Santé 2022, il faut désormais aller plus loin et plus vite.
La digitalisation est essentielle pour répondre aux nombreux défis auxquels le système fait face : l’explosion des maladies chroniques, le vieillissement de la population, l’évolution du nombre de soignants sur le territoire, la soutenabilité économique du système de santé et les nouveaux défis sanitaires et sociaux.
Le cabinet de conseil en stratégie McKinsey estime que le potentiel de création de valeur de la e-santé en France pourrait se situer entre 16 et 22 milliards d’euros par an autour de cinq axes de rupture, dessinant le système de santé de demain : les patients sont rendus plus autonomes et gèrent leur propre santé, la circulation des informations médicales est fluidifiée au bénéfice des patients par la dématérialisation des échanges, l’émergence de la télémédecine, l’efficacité des structures de soins est décuplée et l’expérience des patients améliorée grâce au numérique et à l’automatisation. Enfin, la décision médicale et paramédicale est rendue plus fiable et sûre avec l’aide de l’intelligence artificielle (IA). La e-santé pourra aussi apporter un élément de réponse solide à la problématique des déserts médicaux.
Nous avons l’une des meilleures protections en santé dans le monde. Faisons-en sorte qu’il en soit de même pour celle de nos systèmes de santé de demain. Le développement de la e-santé doit donc, indiscutablement, être accompagné d’une brique de sécurité by design, d’une stratégie et d’une approche globale et dynamique en matière de cybersécurité afin de tenir ses promesses et ne pas devenir un facteur aggravant dans un secteur déjà mis à rude épreuve.
« Cette transformation systémique passera par la collecte, le partage et l’utilisation des données de santé dans un cadre souverain et éthique pour de meilleures prises en charge et un pilotage plus précis et réactif de notre système de santé. L’utilisation responsable des données de santé est un préalable pour garantir la confiance des utilisateurs dans ces solutions numériques. » ajoute l’Institut Montaigne.
L’institut recommande donc de s’appuyer sur la mobilisation des acteurs privés pour faire émerger une véritable filière de la santé et construire une « troisième voie » éthique et souveraine au niveau européen en matière de données de santé ; de simplifier l’accès aux données de santé dans un cadre sécurisé et permettre au Health Data Hub de gagner en indépendance face à des acteurs américains très intéressés par nos données de santé. Ce qui implique pour ce second point d’utiliser un cloud de confiance porté par un acteur européen et pose à nouveau la question d’une réglementation toujours en attente au niveau national.
Autre recommandation et non des moindre : renforcer les mesures de protection en matière de cybersécurité pour les données de santé, accompagner précocement les entreprises pour les aider à se conformer aux standards d’interopérabilité dans le développement de leurs solutions numériques, prioriser et investir dans les systèmes d’information en santé et le développement de la e-santé afin d’aligner les montants investis sur ceux des pays les plus avancés, bâtir une culture de la confiance autour du numérique et des données de santé et former tous les acteurs du système de santé aux technologies numériques et à l’intelligence artificielle tout en favorisant l’acculturation des décideurs à ces outils.
Le management du risque cyber dans la santé est donc un enjeu clé pour notre avenir. Cette cybersécurité exige une analyse et une cartographie des risques dynamiques. Celle-ci doit être la pierre angulaire de tout plan d’action. Elle vise à définir toutes les actions nécessaires pour parvenir à un niveau de risque qui puisse être accepté en toute connaissance de cause, au bon niveau de décision.
En qualité d’entreprise de cybersécurité, nous nous efforçons de réaliser un travail d’accompagnement des structures et de concrétiser notre mot d’ordre : le partage. Beaucoup de décideurs pensent se fragiliser en partageant l’information. C’est pourtant tout à fait l’inverse. Les défenseurs ont tout à gagner à échanger l’information, et c’est ce que nous proposons : étudier les modes d’attaque, les profils des attaquants, les failles éventuelles et les compiler dans une bibliothèque pour en faire profiter tous les acteurs de la filière. Cette démarche est également prônée par l’ANSSI et fédère le plan Cyber e-Santé proposé par le CSF (Comité Stratégique de Filière) et conduisant à un engagement réciproque visant à accompagner la transformation des Industries de Santé vers la santé du futur. Les Etats membres de l’Union européenne renforcent eux aussi leur coopération et intensifient les échanges d’informations sur la protection informatique des établissements de santé.
Enfin, si nous voulons anticiper la prochaine crise qui ne tardera pas à sévir, faire figurer la cybersécurité au cœur de la gouvernance constitue un préalable. S’intéresser aux scénarios prospectifs des schémas d’attaques pouvant toucher le SI demain permettra, non pas d’éviter les cyberattaques, mais de réagir vite et mieux, et d’assurer la résilience de nos systèmes.
Aujourd’hui, plus que jamais, redonnons une nouvelle dimension collective à la cyber-vigilance !
Sources :
https://www.institutmontaigne.org/publications/e-sante-augmentons-la-dose
Alors que l’Union européenne vient de se doter d’un texte régulant l’usage de l’intelligence artificielle, ce qui constitue la première […]
D’ici 9 mois, ce sont pas moins de 150.000 entités à travers l’Europe et tous secteurs d’activité confondus, qui seront […]
Les États de l’Union européenne ont jusqu’à octobre 2024 pour transposer la directive européenne NIS2 en droit national. Retour sur la consécration […]