Épisode #3
Données de Santé et HDS, un enjeu clé de sécurité - Partie 2
Dans ce troisième épisode de MedInTech, Christophe Richard, Médecin Directeur et Expert en Santé Numérique et Bruno Hamelin, Directeur de Mission e-Santé chez Comarch nous parlent HDS et Cybersécurité, qu'est ce que cela signifie aujourd'hui et quels sont les risques et les enjeux associés à cette notion ?
L’Hébergement des données de santé (HDS), un gage de qualité pour sécuriser les données de santé en complément du RGPD.
Les données personnelles de santé sont des données sensibles. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. Leur accès est encadré par la loi pour protéger les droits des personnes. La réglementation définit les modalités et les conditions attendues. Désormais c’est une Certification.
Procédure AGREMENT :
Procédure CERTIFICATION :
Hébergeurs de données, hébergés : tout le monde y trouve presque son compte.
Transparence
Faire appel à un hébergeur de données certifié est un gage de plus grande transparence. Avec la certification, le client connaît immédiatement l’activité pour laquelle l’hébergeur est certifié, il sait immédiatement les éléments que l’hébergeur respecte.
Équilibre des relations Hébergeur / Hébergé
Pour cette même entreprise, le RGPD impose aujourd’hui d’auditer ses sous-traitants.
L’avantage de la certification réside dans le fait que c’est un tiers externe (dont l’impartialité et la neutralité sont garanties) à qui est confié l’obligation d’effectuer des contrôles, périodiquement, pour vérifier que tout ce qui est prévu dans le référentiel de certification est respecté.
En s’appuyant sur un sous-traitant hébergeur certifié, et en mettant en œuvre les exigences complémentaires sur le périmètre restant sous sa responsabilité, un responsable de traitement pourra être plus simplement conforme aux exigences du RGPD et le prouver !
Ces avantages valent également pour l’hébergeur de données : lui-même certifié sur la base de normes internationales, il est lisible sur un marché plus « large » que le simple marché français.
Mais à cela, il y a un prix (ou plutôt un coût !), puisque la certification impose à l’hébergeur de rémunérer l’organisme certificateur.
Les cyberattaques sont une réalité qui envahit de plus en plus l’univers médical et peu nombreux sont ceux qui pourraient y résister. La seule question pertinente à se poser n'est pas de savoir si une attaque est possible, mais de savoir quand elle surviendra, comment, et quelles en seront les conséquences…
Le règlement européen relatif à « l’ENISA (Agence européenne pour la cybersécurité) et à la certification de cybersécurité » , le souligne dès son introduction :
« La cybersécurité n’est pas qu’une question liée à la technologie, mais une question pour laquelle le comportement humain est tout aussi important. C’est pourquoi il convient d’encourager vivement les citoyens, les organisations et les entreprises à adopter une « hygiène informatique », à savoir des mesures simples, de routine qui, lorsqu’ils les mettent en oeuvre et les effectuent régulièrement, réduisent au minimum leur exposition aux risques liés aux cybermenaces ».
Choisir un hébergeur certifié revient à s’appuyer sur des équipes hyper spécialisées, dont l’une des missions principales, si ce n’est la principale, est la sécurité des systèmes d’information hébergés. Il est bien sûr crucial d’éduquer les utilisateurs et de mettre en place des règles de sécurité de base comme le changement régulier des mots de passe et leur niveau de complexité, mais ce n’est pas tout. Il faut mettre en place des outils de veille qui vont identifier la menace et la traiter avant qu’elle ne se déclenche.
Le risque le plus important, c’est en tous cas le plus utilisé actuellement par les pirates informatiques, c’est le ransomware. Une fois une entreprise attaquée et le virus informatique installé, il est extrêmement difficile de s’en sortir – pour cela, il faut mettre en place tous les garde-fous possibles afin d’éviter la survenue d’une telle attaque. Les procédures de sauvegarde et restauration doivent être en place et testées régulièrement, les patchs de sécurité installés sur les OS et logiciels, les logiciels de sécurité à jour des derniers virus connus... c’est là le quotidien des équipes des data-centers, qui appliquent des procédures très strictes en ce domaine.
Le risque Cybersécurité en santé : une question de vie ou de mort ?
Avec l’avènement de la Médecine Numérique c’est la vie des patients qui est le seul véritable « Enjeu ». En effet, la cybersécurité en santé ne se réduit pas à la sécurité ou à l'intégrité d’appareils ou de logiciels sur un poste informatique.
Des dispositifs médicaux à l’e-santé, de la télémédecine aux systèmes numériques robotisés, il est indispensable de protéger les patients des vulnérabilités technologiques auxquelles le progrès technique les exposent.
Avec les objets connectés et les matériels médicaux – les données sont collectées et stockées dans les centres de stockage, pour être ensuite accessibles pour les professionnels de santé. Il est primordial que ces données soient au minimum cryptées et que les protocoles de transfert soient sécurisés, les logiciels doivent en outre permettre une identification certaine du matériel et le rattachement des données au patient ne doit se faire qu’au dernier moment. Avec la télémédecine et la possibilité de réaliser des actes à distance en pilotant des dispositifs, les questions d’authentification et de consentement deviennent primordiales.
A propos de Med In Tech
Chez Comarch, nous accompagnons les acteurs de la santé dans leur transformation et les aidons à répondre aux enjeux économiques, sociétaux, médicaux et réglementaires tout en travaillant sur des solutions au service du bien-être et du bien vieillir. Avec Med In Tech, nous posons un regard nouveau sur la santé, le numérique, la place du patient dans le système de santé, la désertification médicale ou encore la télémédecine. Pour aborder ces sujets, nous avons décidé d'allons à la rencontre de ceux qui construisent la santé de demain, en binôme avec Christophe Richard, médecin spécialiste de la santé numérique.
Dites-nous vos besoins sur votre projet et nous vous trouverons la solution idéale.