Les professionnels de Santé, mauvais élèves de la cybersécurité

lundi 28 octobre 2019, par Bruno Benque

17 mois après la mise en place du RGPD, on s’aperçoit que les pratiques des professionnels de Santé en matière de gestion des données de leurs patients ne sont toujours pas sécurisées. C’est ce que révèle un enquête commandée par Kapersky France auprès de plus de mille professionnels de Santé. Parmi les dysfonctionnements révélés, le BYOD et les échanges des professionnels de Santé avec leurs patients via des applications grand public.

Le développement des usages digitaux au sein des établissements de Santé, ainsi que dans la pratique de l’ensemble des professionnels de Santé, pose une nouvelle fois la question de la sécurité des données de Santé.

Plus de 1 000 professionnels de Santé sondés sur leurs pratiques numériques

Car ces informations sont très sensibles et attirent les hackers les plus agressifs, si bien que le prix de vente d’un dossier médical est estimé aujourd’hui à 350 euros, soit 2,5 fois plus que la moyenne des autres documents. Quels sont les risques, aujourd’hui, liés à la cybercriminalité dans le domaine de la Santé ? Une étude commandée par Kapersky France et réalisée par Yougov en juillet 2019 tente de nous éclairer sur les pratiques des professionnels de Santé dans la gestion des données de leurs patients et en tire quelques recommandations. Cette enquête a été menée auprès d’un panel de 1 002 professionnels de santé en France, interrogés en ligne sur leur perception de la sécurité informatique et l’état des lieux de cette dernière dans leur quotidien. Les données ont été, en outre, pondérées pour être représentatives de la population des professionnels de santé.

Peu de moyens de prévention et une formation insuffisante

Pour les professionnels de santé interrogés, les premiers responsables de la protection des données des patients sont les établissements de santé (32 %), l’État et les tutelles sanitaires (30 %), puis les praticiens eux-mêmes (15 %) et les patients (6 %). Ils sont d’autre part 70% à se déclarer concernés par les questions de cybersécurité et de protection de la vie privée, ce qui s’avère très insuffisant pour une population qui est sensibilisée depuis des années à ce problème. Les sondés sont 55% à déclarer ne pas disposer des ressources et moyens nécessaires pour garantir efficacement la sécurité et la confidentialité des données numériques de leurs patients et seulement 11 % disent avoir été formés aux enjeux de cybersécurité au cours des 24 derniers mois, malgré la diffusion du RGPD est entré en application il y a un peu plus de 17 mois.

Une marge de progression significative au sein des établissements de Santé

Peut-être que le projet « Ma santé 2022 », qui comprend un chapitre important sur les usages du numérique en Santé, les aidera à se mettre à jour sur ce champ. « Tous les acteurs du secteur, publics comme privés, pourront participer à l’élaboration de la nouvelle infrastructure de santé à condition qu’ils soient en conformité avec les règles et principes édictés, précise Philippe Loudenot, Fonctionnaire à la sécurité des systèmes d’information (FSSI) auprès du Ministère des Solidarités et de la Santé. Il est de coutume de dire que le maillon faible est l’utilisateur mais, avec une sensibilisation constante au sujet de la cybersécurité, il pourrait devenir le maillon fort. On observe une véritable volonté de l’ensemble des acteurs du domaine médical d’avancer dans ce sens. Nous sommes dans une démarche d’humanisme numérique au service de l’usager et de sa santé. En matière de cybersécurité, les établissements de santé sont de plus en plus sensibilisés mais il reste encore une marge de progression. »

Des professionnels sensibilisés uniquement lors d’incidents médiatisés

L’enquête Kapersky a, en outre, ciblé les professionnels de Santé ayant déjà fait l’objet d’une cyberattaque. 35 % ont installé une solution de sécurité sur tous les appareils qu’ils utilisent professionnellement, 28 % sur une partie de ces solutions et terminaux, 17 % utilisant désormais des méthodes de chiffrements. « On observe une accélération des efforts de sensibilisation lorsque de grands incidents de cybersécurité font la une de l’actualité, poursuit Philippe Loudenot. L’émotion conduit la population à y prêter plus d’attention pendant un temps, mais les mauvaises habitudes reprennent vite le dessus. L’un des principaux enjeux est de maintenir durablement cette attention. Les RSSI doivent pouvoir présenter le risque au sein d’une logique complète, c’est-à-dire en indiquant quelles peuvent être les conséquences. La cybersécurité ne doit pas être une fin en soi mais un outil au service des métiers et des personnes. C’est l’impact sur le patient ou sur la capacité d’un médecin à faire son travail qui importe. »

Le problème récurrent du BYOD

Reste que le Bring Your Own Device (BYOD), la possibilité d’utiliser ses propres terminaux numériques en situation professionnelle, est très répandu dans les établissements de Santé, ce qui augmente considérablement le risque.L’enquête Kapersky révèle que 22% des sondés déclarent n’avoir aucune solution de sécurité en place, alors même que les menaces mobiles sont les menaces qui croissent le plus vite. 20 % d’entre eux seulement ont mis en place une solution de sécurité sur tous les appareils qu’ils utilisent dans le cadre professionnel et 8 % le font de façon partielle. Seuls 7 % des sondés déclarent l’utilisation d’une solution de chiffrage des e-mails ou d’une messagerie chiffrée, alors que le Ministère leur met à disposition, depuis plusieurs années, la Messagerie Sécurisée de Santé (MSSanté) pour communiquer entre eux ou avec leurs patients. "Il nous faut compléter le mode réactif actuel avec
un mode préventif en proposant des solutions de cybersurveillance adaptées et en rappelant les fondamentaux, conclut Philippe Loudenot. Cela implique d’avoir un anti-malware à jour, faire des sauvegardes offline des dossiers, ne pas surfer sur Internet avec du matériel obsolète, avec des comptes à privilèges ou cliquer sur des liens d’origine inconnue... Malheureusement, les incidents de sécurité sont bien souvent la conséquence d’un manque de suivi de ces bonnes pratiques, même s’il faut aussi reconnaître que les attaques sont de mieux en mieux élaborées."

Des applications grand public pour communiquer avec les patients !

Pire encore, les professionnels de Santé font usage d’outils de communication grand public pour communiquer avec leurs patients, dans un souci d’uniformiser les moyens de communication. Ils communique et partagent avec eux des informations personnelles via les e-mails non sécurisés (33 %), les SMS (27 %), WhatsApp (11 %) ou Skype (6 %).

Face à ce constat quelque peu alarmant, Kapersky édite des recommandations de base pour sensibiliser tous les acteurs impliqués à la cybersécurité, pour savoir identifier les besoins et s’entourer d’experts, mais aussi de réorganiser les infrastructures du système de santé et les structures affiliées (médecins libéraux, cliniques et hôpitaux privés comme publics, Assurance Maladie, mutuelles, opérateurs privés...). Mais cela nécessite la collaboration de l’ensemble des institutions ainsi que de nombreuses branches professionnelles, de la DSI aux RH en passant par les comités d’administration.

Il est temps d’agir enfin avec efficacité dans ce domaine, sous peine de voir les données de Santé de milliers de patients passer dans le domaine public sans que les responsables de ce dysfonctionnement ne puissent être inquiétés.

Bruno Benque
Rédacteur en chef www.cadredesante.com
bruno.benque@cadredesante.com
@bbenk34


Partager cet article

Formation continue

Formations professionnelles en ligne pour les soignants : Alzheimer, transfusion, hygiène, douleur, calculs de doses...

Découvrir les formations

Vous recrutez ?

Publiez vos annonces, et consultez la cvthèque du site EMPLOI Soignant : des milliers de profils de soignants partout en France.

En savoir plus