A l’ère du Cloud, la sécurité au cœur de la santé
Les cyberattaques répétées contre les hôpitaux français (Oloron-Sainte-Marie, Dax) soulignent la vulnérabilité des infrastructures informatiques. La pression hospitalière s’accompagne donc d’une pression sécuritaire accrue.
Pendant longtemps, la sécurité de l’information n’était pas une priorité budgétaire dans les établissements de santé. La numérisation actuelle du secteur médical, avec l’intégration de logiciels et de services cloud, révèle ce retard. De nouveaux défis en cybersécurité et en protection des données doivent être pris en compte par les directions.
L’ENISA a publié le 18 janvier 2021 un rapport intitulé : « Cloud Security for Healthcare Services ». Ce rapport s’adresse aux professionnels de l’informatique de santé (RSSI, DSI, responsables des achats) et aux dirigeants du secteur médical souhaitant orienter leurs stratégies cloud.
Le rapport propose 17 mesures de sécurité pour les organisations de soins. Ces mesures visent à assurer la sécurité et la protection des données des patients, conformément à la législation européenne. Il précise les responsabilités du client cloud, de l’établissement de santé et du prestataire de cloud sécurisé. Il est crucial de protéger ces données sensibles, souvent stockées sur des systèmes informatiques et des ordinateurs. Il est important de ne pas partager ces données sans précautions.
Le Cloud au service de la santé
Les principaux défis auxquels sont confrontés les organisations de santé lorsqu’elles ont recours aux services Cloud sont :
La défiance envers les solutions Cloud ;
Le manque d’expertise sécurité des hébergements cloud ;
Le sous-investissement en cyber-sécurité ;
Le manque de conformité des fournisseurs de services aux exigences de santé ;
La difficulté d’intégration d’une solution Cloud au sein d’une architecture déjà existante.
Face à la multiplication des contraintes et des menaces, les dirigeants des établissements de santé ont de plus en plus de mal à choisir un prestataire cloud adapté. Pour les aider, l’ENISA propose des cas d’usage du medical cloud. Ces exemples permettent d’évaluer les dangers et de mettre en place des mesures de sécurité efficaces.
Cas d’usage 1 :
Le Dossier de Santé Électronique (DSE) implique l’utilisation d’un cloud sécurisé pour collecter, stocker, gérer et transmettre les données de santé du patient.
Pour ce cas d’usage, une solution IaaS est souvent recommandée. Le DSE contenant des informations médicales sensibles, un déploiement gouvernemental d’une solution IaaS est pertinent. Le fournisseur de service cloud gouvernemental assure alors le stockage des DSE, le développement, la maintenance et le déploiement du logiciel permettant aux utilisateurs de partager ces informations. Ces solutions visent à améliorer la gestion des données médicales.
Les principaux défis auxquels sont confrontés les organisations de santé lorsqu’elles ont recours aux services Cloud sont :
- La défiance envers les solutions Cloud ;
- Le manque d’expertise sécurité des solutions Cloud ;
- Le sous-investissement en cyber-sécurité ;
- Le manque de conformité des fournisseurs de services aux exigences de santé ;
- La difficulté d’intégration d’une solution Cloud au sein d’une architecture déjà existante.
L’augmentation des contraintes et des menaces rendent le choix d’un fournisseur Cloud de plus en plus difficile pour les instances dirigeantes des établissements de santé.
Pour les aider, l’ENISA propose trois cas d’usage des services Cloud applicables au secteur de la santé. A travers ces exemples, le rapport vise à mesurer les risques afin de pouvoir ensuite y répondre par des mesures de sécurité pertinentes.
- Cas d’usage 1 :
DES, « Dossier de Santé Electronique » soit le recours à un service Cloud pour la collecte, le stockage, la gestion et la transmission du dossier de santé du patient.
Pour ce cas d’usage, la solution Cloud préconisée est de type IaaS. En effet, le DES étant un document contenant des données de santé sur l’état de santé d’un citoyen, le recours à un déploiement gouvernemental d’une solution IaaS est le plus pertinent. Ainsi, le fournisseur de service Cloud gouvernemental sera responsable du stockage des DES ainsi que du développement, de la maintenance et du déploiement de l’application permettant leurs partages.
Cas d’usage 2 :
Télémédecine ou « remote-medecine », lorsqu’un prestataire de service Cloud offre une plateforme de consultations vidéos entre le professionnel de santé et son patient. L’enregistrement, l’analyse et la transcription des appels sont des fonctionnalités ainsi offertes.
Le recours à une solution SaaS doit être privilégiée dans ce cadre car elle permet à l’établissement de santé de ne pas héberger l’application et ainsi ne pas stocker ses données en interne. De plus, il y a l’assurance du maintien en conditions opérationnelles des applications gérées en externe par le prestataire.
Plus spécifiquement, l’avantage principal de cette aide est la qualité de la synchronisation des données accessibles partout et à n’importe quel moment. L’exemple le plus parlant en France est le recours à l’application Doctolib pour une consultation vidéo.
Cas d’usage 3 :
« Les dispositifs médicaux » ayant recours à une solution Cloud permettant la surveillance à distance des patients souffrant, par exemple, de maladies cardiaques ou de diabète (objets IOT comme un pacemaker par exemple).
Le recours à une solution PaaS pour ce cas d’usage est recommandé. En effet, le corps médical cherche principalement à avoir accès à l’information issue de l’objet connecté. Le fabricant du matériel médical met à disposition une application sur un Cloud PaaS. Il pourra ainsi développer et déployer en toute sécurité son application pour permettre l’échange d’informations entre le corps médical et son patient.
La méthodologie d’appréciation des risques adoptée pour chacun de ces trois cas d’usage est divisée en 4 grandes parties :
Obtenir une vue d’ensemble des parties prenantes en définissant le type de solution Cloud, le modèle de déploiement ainsi que leurs responsabilités respectives ;
Définir les éléments relatifs aux traitements de la donnée ;
Evaluer l’impact du risque cyber selon les critères de disponibilité, d’intégrité et de confidentialité ;
Evaluer la vraisemblance du risque en établissant une liste de menaces.
A la suite de cette évaluation des enjeux pour chacun des cas d’usage, l’établissement de santé dispose d’un socle suffisant pour choisir les mesures de sécurité les plus appropriées.
Ainsi, l’ENISA met à disposition 17 mesures de sécurité. Chacune de ces mesures de sécurité du Cloud impliquent une référence :
Aux bonnes pratiques du guide d’approvisionnement (ENISA, 2020) ;
Aux cas d’usage pour lequel la mesure est applicable ;
Au partage des responsabilités par cas d’usage.
Après analyse, ces 17 mesures de sécurité s’inscrivent toutes dans les bonnes pratiques de l’ISO/CEI 27002 et plus particulièrement de l’ISO/CEI 27018 spécifique au Cloud.
En complément, le programme HOP’EN (qui court jusqu’en 2023) intègre des prérequis pouvant être couverts par les mesures issues du rapport ENISA.
Toujours pour renforcer la sécurité des hôpitaux, le gouvernement vient d’annoncer que “d’ici trois mois”, les 135 Groupements Hospitaliers de Territoire (GHT) seront intégrés à la liste des opérateurs de services essentiels (OSE). Cela impliquant une mise en conformité à la Directive NIS.
De plus, chaque établissement de santé désirant opter pour une hébergement Cloud doit vérifier que leur assistance dispose de la certification 27001 HDS (Hébergeur de Données de Santé). La liste des fournisseurs certifiés est disponible ici.
Quelle est la durée de conservation des données de santé ?
La durée de conservation des données de santé varie selon leur nature et le cadre légal. En général, les dossiers médicaux doivent être conservés pendant une période minimale de 20 ans après la dernière consultation. Cependant, certaines données, comme celles issues de l’imagerie médicale, peuvent avoir des durées spécifiques. Un cloud sécurisé est souvent utilisé pour stocker ces informations, garantissant leur intégrité et leur confidentialité. L’utilisation de logiciels spécialisés facilite la gestion de ces données, améliorant ainsi le temps réel d’accès pour le médecin. Les systèmes de gestion de bases de données permettent de répondre au besoin de conservation tout en protégeant les informations sensibles du patient. L’utilisateur, qu’il soit médecin ou personnel administratif, doit pouvoir se fier à l’intégrité du logiciel employé. Les données médicales, par leur caractère sensible, imposent de ce fait, une sécurité accrue.
Comment supprimer les données de santé ?
La suppression des données de santé est une question cruciale, encadrée par des réglementations strictes en France et en Europe. Les données médicales, qui concernent directement le patient, sont particulièrement sensibles. Il est essentiel de comprendre comment les professionnels de santé doivent gérer leur suppression. L’accès à ces informations doit être contrôlé et limité au personnel autorisé. Les patients ont le droit de demander la suppression de leurs données, sous certaines conditions. Utiliser des systèmes sécurisés est primordial pour partager ces informations. Le besoin de supprimer des données peut survenir pour diverses raisons, comme la fin de la durée de conservation légale. La suppression doit être effectuée de manière sécurisée pour éviter toute fuite. Les solutions technologiques permettent de supprimer ces données en temps réel et de manière efficace.
Conclusion
Le rapport de l’ENISA clarifie les principales responsabilités dans la maitrise des risques et la mise en œuvre de mesures de sécurité dans les projets liés au Cloud. Les établissements de santé et les fournisseurs de services Cloud sont fortement encouragés à s’y conformer.
De plus, l’intégration de prestation basés sur le Cloud nécessite de mener des contrôles préalables et des analyses détaillées afin d’assurer un niveau de cyber-sécurité et une protection des données suffisantes, conformément aux contraintes réglementaires lors du choix du fournisseur d’assistance . Ainsi, l’acquisition par les établissements de santé de services Cloud est essentielle afin améliorer les aides aux patients et augmenter leurs efficacités.
Par notre approche agile et opérationnelle, nous accompagnons les établissements de santé, via ses offres Pilot, Target et Decide, à définir et mettre en place les différents objectifs en matière de cyber-sécurité (https://www.synetis.com/expertises/conseil-ssi/)
Références
https://www.enisa.europa.eu/publications/cloud-security-for-healthcare-services
https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services
https://solidarites-sante.gouv.fr/systeme-de-sante-et-medico-social/e-sante/sih/hopen
https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies
