Edito - Comment ça va ? Pas cyber-bien
Les établissements de santé sont l'objet d'attaques récurrentes mais, quelque part, le cherchent bien.
PublicitéDurant la crise sanitaire, il est de bon ton de rappeler à quel point les soignants sont des gens formidables. C'est vrai. Mais, décidément, ils sont fâchés avec l'IT. Et l'IT leur rend bien. En fait, quelque soit l'angle sous lequel on regarde l'informatique de santé, on se retrouve face à des mauvaises pratiques fréquentes et récurrentes, malgré les efforts de RSSI qui, eux aussi, n'en peuvent plus. Et cela a des impacts concrets. Ainsi, un établissement de santé sur dix a été touché par un cyberincident en 2019, dans la moitié des cas d'origine criminelle. La Finlande est secouée par un scandale lié au vol de dossiers de patients suivant des traitements psychologiques ou psychiatriques à des fins de chantage et d'extorsion de fonds. De nombreux hôpitaux, en France et aux Etats-Unis notamment, sont victimes de ransomwares qui, quoique disent les responsables pour rassurer, perturbent gravement le fonctionnement des services de soins. Il y a eu au moins un décès directement imputable à un ransomware.
Certes, les enjeux autour des données de santé sont tels que les cyber-criminels bénéficient d'un levier fort pour extorquer de l'argent. C'est immonde ? Oui. Au risque de décevoir certains, les criminels sont des gens immondes par définition. Plus ils pourront être forts et abuser de leur force, plus vous serez en position de faiblesse, plus ils chercheront à profiter de vous. Nuire à autrui ne les gêne nullement, quelque soit le niveau de cette nuisance. La seule chose qui compte est le profit qu'ils peuvent en retirer. Les cyber-criminels sont des lâches dissimulés derrière leur écran et qui agissent dans l'ombre, sans prendre le plus petit risque, contrairement à un braqueur de banque qui risque d'être abattu par la police si son crime tourne mal. Le secteur de la santé cumule les faiblesses et, par son activité même, est tellement sensible que céder au chantage sera vu comme obligatoire dans bien des cas. C'est le paradis pour les cyber-criminels.
Les failles ne sont pas soignées
L'étude State of Software Security (SOSS) Volume 10 de Veracode qui a été diffusée il y a environ un mois pointe l'une des nombreuses faiblesses du secteur de la santé. L'étude se base sur l'audit de 2 000 milliards de lignes de code effectuées dans plus de 2 300 entreprises dans le monde. Rappelant que, sur la période 2018-2019, 693 incidents ont été déclarés par les structures sanitaires dans le cadre d'un dispositif d'accompagnement mis en oeuvre par Veracode (donc sur un nombre relativement restreint d'établissements), l'étude pointe le fait que 52 % des établissements ont des logiciels comprenant des failles graves. Plus mauvais élève de l'étude, le secteur de la santé met en moyenne 131 jours à corriger une faille identifiée ou identifiable.
PublicitéA plusieurs reprises sur les conférences CIO, les faiblesses de sécurité des appareils médicaux, notamment d'imagerie, ont été abordés. Les cycles industriels d'engins coûteux comme un scanner, un appareil à imagerie par résonance magnétique nucléaire (IRM), etc. impliquent que l'on ne peut pas les changer tous les quatre matins. Certaines mises à jour sont opérés, notamment fonctionnelles. Or leur connexion directe au réseau des établissements de soin, et donc indirectement à Internet, rend les fragilités en cyber-sécurité particulièrement toxiques. Quand les appareils sont pilotés avec des versions obsolètes de systèmes d'exploitation plus maintenus depuis des années, c'est tout de même un problème majeur. Alors, bien sûr, les RSSI, bien conscients du problème, prennent des précautions, isolent les appareils bourrés de failles. Jusqu'à ce qu'une clé USB infectée serve à récupérer une image.
De longs contentieux
Si, aujourd'hui, la plupart des établissements de soins disposent d'un dossier patient informatisé, cette informatisation n'a pas été de tout repos. Et, quelque part, elle reste partielle. Il existe de nombreux dossiers papier encore aujourd'hui dans les services. Le numérique n'est pas naturel. Et toute la puissance du numérique est encore bloquée par les refus des professionnels. Ainsi, le fameux DMP (Dossier Médical Personnel ou Dossier Médical Partagé selon les époques) est en soins intensifs depuis plus de vingt ans. Pour ne pas perdre la face, le Ministère de la Santé a fini par le confier à l'Assurance Maladie qui a en fait une version un peu enrichie du portail Ameli, avec quelques données de santé minimales. Mais de dossier de santé exhaustif facilitant les soins pour des patients rencontrant évidemment de nombreux professionnels de santé dans des établissements variés, il faudra bien se passer.
Confidentialité, sécurité, etc. les médecins qui ont refusé le DMP durant des années (et continuent souvent de le faire) n'ont pas forcément tort si on s'en tient à ce qui précède. Surtout les médecins stockant leurs dossiers papier dans une belle armoire dans le couloir de leur cabinet, là où de nombreuses personnes passent et repassent. L'enjeu du DMP était bien de soumettre les praticiens à une supervision, un contrôle, certes financier mais pas seulement. Il s'agissait de redonner la liberté aux patients de changer de médecin aisément : la donnée, là aussi, est le coeur de la maîtrise de la clientèle (pardon, la patientèle). Et les médecins se plaçaient, avec le DMP, dans une logique de professionnel délivrant un service face à un client ayant des exigences et pouvant changer de fournisseur, avec des financeurs pouvant demander des comptes sur le bon emploi des deniers publics. Insupportable pour les fils d'Esculape.
Défiance et refus
La mauvaise gestion des deniers du secteur est notoire et largement à l'origine des difficultés récurrentes. La réponse de l'État est souvent de couper les coûts mais sans prendre en main la nécessaire réorganisation. Résultat : tout reste comme avant mais marche simplement moins bien, avec moins de moyens, avec toujours les mêmes gâchis dont le poids se fait donc sentir plus lourdement en proportion. Et comme la cyber-sécurité, c'est bien connu que cela ne sert à rien, tout comme l'informatique, quand il faut couper des coûts... Les fils d'Esculape ont l'habitude, depuis au moins trois mille ans, de maîtriser ces corps qui leur sont confiés. Devoir dépendre d'informaticiens pour exercer leur métier, devoir dépendre de savoirs et de techniques qu'ils ne maîtrisent pas, est inconcevable.
Le résultat, c'est un désastre. On peut bien sûr se réjouir, notamment en ces temps de crise sanitaire, du développement d'initiatives digitales locales, des téléconsultations, etc. Nous nous en sommes fait l'écho à plusieurs reprises sur CIO ces derniers mois. Un peu ce qui se passait dans les autres secteurs il y a vingt ans. Une stratégie globale manque, au niveau au minimum national. C'est vrai pour la numérisation de la chaîne de soins, pour que la médecine connaisse enfin sa transformation digitale, comme pour la cyber-sécurité.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire