A l’ère du Cloud, la sécurité au cœur de la santé
Depuis maintenant plus d’un an, l’ensemble des gouvernements font face à la pandémie mondiale de la COVID. Principalement sanitaire, chacun prévoit dans cet épisode dramatique une crise protéiforme d’ordre économique, sociale et politique. Néanmoins, les multiples attaques cyber criminelles subies par nos hôpitaux français (Oloron-Sainte-Marie, Dax) nous rappelle à tous qu’à la pression hospitalière s’ajoute une pression sécuritaire de par la fragilité des infrastructures informatiques.
Longtemps, au sein des établissements de santé, la sécurité de l’information n’était pas une priorité des enveloppes budgétaires. De ce fait, l’actuel processus de numérisation qu’opère le secteur de la santé à travers l’intégration d’outils et de services basés sur le Cloud met en exergue le retard accumulé. Ainsi, de nombreux nouveaux défis en termes de cybersécurité et de protection de la donnée sont désormais à prendre en compte par le corps directionnel.
Le 18 janvier 2021, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) publie un rapport intitulé : « Cloud Security for Healthcare Services ». Ce rapport s’adresse aux professionnels de l’informatique de santé (RSSI, DSI, spécialistes des achats informatiques) ainsi qu’aux professionnels de santé occupant des postes de direction et désirant orienter leurs stratégies pour le recours à un service Cloud.
Le rapport est construit sur un ensemble de 17 mesures de sécurité pour les organisations de soins de santé afin d’assurer la sécurité et la protection des données conformément à la législation européenne applicable en indiquant spécifiquement les responsabilités respectives entre le client du Cloud (« Cloud Service Customer »), le service de santé concerné, et le fournisseur du service Cloud (« Cloud Service Provider »).“`
Le Cloud au service de la santé
Le rapport réitère le contexte politique (Européen et National) applicable aux services Cloud tels que le RGPD, la directive NIS ainsi que la MDD « Medical Device Directive » et la MDR « Medical Device Regulation ».
Voulant s’adresser aussi à un public non initié à la technologie Cloud, un rappel est effectué sur les différents modèles de solutions disponibles (IaaS, PaaS, SaaS) ainsi que leurs modèles de déploiements (Public, Privé, Hybride ou gouvernemental).
Les principaux défis auxquels sont confrontés les organisations de santé lorsqu’elles ont recours aux services Cloud sont :
- La défiance envers les solutions Cloud ;
- Le manque d’expertise sécurité des solutions Cloud ;
- Le sous-investissement en cyber-sécurité ;
- Le manque de conformité des fournisseurs de services aux exigences de santé ;
- La difficulté d’intégration d’une solution Cloud au sein d’une architecture déjà existante.
L’augmentation des contraintes et des menaces rendent le choix d’un fournisseur Cloud de plus en plus difficile pour les instances dirigeantes des établissements de santé.
Pour les aider, l’ENISA propose trois cas d’usage des services Cloud applicables au secteur de la santé. A travers ces exemples, le rapport vise à mesurer les risques afin de pouvoir ensuite y répondre par des mesures de sécurité pertinentes.
- Cas d’usage 1 :
DES, « Dossier de Santé Electronique » soit le recours à un service Cloud pour la collecte, le stockage, la gestion et la transmission du dossier de santé du patient.
Pour ce cas d’usage, la solution Cloud préconisée est de type IaaS. En effet, le DES étant un document contenant des données de santé sur l’état de santé d’un citoyen, le recours à un déploiement gouvernemental d’une solution IaaS est le plus pertinent. Ainsi, le fournisseur de service Cloud gouvernemental sera responsable du stockage des DES ainsi que du développement, de la maintenance et du déploiement de l’application permettant leurs partages.
Cas d’usage 2 :
Télémédecine ou « remote-medecine », lorsqu’un fournisseur de service Cloud offre une plateforme de consultations vidéos entre le professionnel de santé et son patient. L’enregistrement, l’analyse et la transcription des appels sont des fonctionnalités ainsi offertes.
Le recours à une solution SaaS doit être privilégiée dans ce cadre car elle permet à l’établissement de santé de ne pas héberger l’application et ainsi ne pas stocker ses données en interne. De plus, il y a l’assurance du maintien en conditions opérationnelles des applications gérées en externe par le prestataire.
Plus spécifiquement, l’avantage principal de ce service est la qualité de la synchronisation des données accessibles partout et à n’importe quel moment. L’exemple le plus parlant en France est le recours à l’application Doctolib pour une consultation vidéo.
- Cas d’usage 3 :
« Les dispositifs médicaux » ayant recours à une solution Cloud permettant la surveillance à distance des patients souffrant, par exemple, de maladies cardiaques ou de diabète (objets IOT comme un pacemaker par exemple).
Le recours à une solution PaaS pour ce cas d’usage est recommandé. En effet, le corps médical cherche principalement à avoir accès à l’information issue de l’objet connecté. Le fabricant du matériel médical met à disposition une application sur un Cloud PaaS. Il pourra ainsi développer et déployer en toute sécurité son application pour permettre l’échange d’informations entre le corps médical et son patient.
La méthodologie d’appréciation des risques adoptée pour chacun de ces trois cas d’usage est divisée en 4 grandes parties :
- Obtenir une vue d’ensemble des parties prenantes en définissant le type de solution Cloud, le modèle de déploiement ainsi que leurs responsabilités respectives ;
- Définir les éléments relatifs aux traitements de la donnée ;
- Evaluer l’impact du risque cyber selon les critères de disponibilité, d’intégrité et de confidentialité ;
- Evaluer la vraisemblance du risque en établissant une liste de menaces.
A la suite de cette évaluation des risques pour chacun des cas d’usage, l’établissement de santé dispose d’un socle suffisant pour choisir les mesures de sécurité les plus appropriées.
Ainsi, l’ENISA met à disposition 17 mesures de sécurité. Chacune de ces mesures de sécurité du Cloud impliquent une référence :
- Aux bonnes pratiques du guide d’approvisionnement (ENISA, 2020) ;
- Aux cas d’usage pour lequel la mesure est applicable ;
- Au partage des responsabilités par cas d’usage.
Après analyse, ces 17 mesures de sécurité s’inscrivent toutes dans les bonnes pratiques de l’ISO/CEI 27002 et plus particulièrement de l’ISO/CEI 27018 spécifique au Cloud.
En complément, le programme HOP’EN (qui court jusqu’en 2023) intègre des prérequis pouvant être couverts par les mesures issues du rapport ENISA.
Toujours pour renforcer la sécurité des hôpitaux, le gouvernement vient d’annoncer que “d’ici trois mois”, les 135 Groupements Hospitaliers de Territoire (GHT) seront intégrés à la liste des opérateurs de services essentiels (OSE). Cela impliquant une mise en conformité à la Directive NIS.
De plus, chaque établissement de santé désirant opter pour une solution Cloud doit vérifier que le fournisseur de services dispose de la certification 27001 HDS (Hébergeur de Données de Santé). La liste des fournisseurs certifiés est disponible ici.
Conclusion
Le rapport de l’ENISA clarifie les principales responsabilités dans la maitrise des risques et la mise en œuvre de mesures de sécurité dans les projets liés au Cloud. Les établissements de santé et les fournisseurs de services Cloud sont fortement encouragés à s’y conformer.
De plus, l’intégration de services basés sur le Cloud nécessite de mener des contrôles préalables et des analyses détaillées afin d’assurer un niveau de cyber-sécurité et une protection des données suffisantes, conformément aux contraintes réglementaires lors du choix du fournisseur de services. Ainsi, l’acquisition par les établissements de santé de services Cloud est essentielle afin améliorer les services aux patients et augmenter leurs efficacités.
Synetis, de par son approche agile et opérationnelle, accompagne les établissements de santé, via ses offres Pilot, Target et Decide, à définir et mettre en place les différents objectifs en matière de cyber-sécurité (https://www.synetis.com/expertises/conseil-ssi/)
Références
https://www.enisa.europa.eu/publications/cloud-security-for-healthcare-services
https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services
https://solidarites-sante.gouv.fr/systeme-de-sante-et-medico-social/e-sante/sih/hopen
https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies