Les fondements de la sécurité et de la conformité

Plusieurs cas récents de compromissions de données largement médiatisés dans les secteurs du commerce de détail, de la finance et des assurances soulignent la nécessité pour les entreprises de maintenir la sécurité de leurs données à l’échelle des multiples dispositifs et systèmes auxquels les clients, fournisseurs et travailleurs distants ont accès.

Dans le secteur de la santé plus particulièrement, les préoccupations relatives à la protection des données confidentielles des patients s’intensifient dans le contexte de l’adoption de terminaux connectés à Internet et du déploiement d’environnements cloud pour stocker et gérer l’information. Professionnels IT et concepteurs de dispositifs médicaux s’interrogent quant aux garanties de maintien de la sécurité des données que ces dispositifs partagent sur les réseaux. Les dispositifs médicaux, surtout ceux qui enregistrent des données de patients en soins ambulatoires avec suivi à distance, doivent fonctionner tel que prévu et se conformer aux réglementations des pays et à la législation locale régissant la confidentialité et la sécurité.

La FDA, par exemple, met l’accent sur la formation des professionnels de santé, y compris les équipes IT, au gré des innovations technologiques disruptives pour les pratiques de santé. La FDA a publié l’an dernier des directives sur la cybersécurité des dispositifs médicaux, pourtant de nombreuses organisations de soins utilisant des technologies de pointe manquent toujours de connaissances sur les conditions de prise en charge de ces dispositifs en conformité aux règles.

Les résultats du programme pilote du département américain de la santé et des services aux personnes réalisé en 2012 pour vérifier la conformité de l’industrie aux préconisations Privacy Rule, Security Rule et Breach Rule de l’HIPAA ne sont pas encourageants. La plupart des organisations ayant participé au programme pilote n’étaient pas conformes aux normes HIPAA et deux tiers des organisations n’avaient pas réalisé d’évaluation complète et précise des risques pour la sécurité. Selon le rapport, la cause de non-conformité la plus fréquente des organisations était qu’elles déclaraient « ignorer l’obligation ».

Cette année, devant la recrudescence d’attaques cybercriminelles et la multiplication des cas de « ransonware » (demandes de rançons) sur les centres hospitaliers, une nouvelle série d’audits HIPAA aux États-Unis couvre à la fois les organisations de santé et des centaines de partenaires commerciaux. Ces audits élargis serviront de nouveau test pour les organisations du secteur de la santé et ceux qui font des affaires avec elles et vont intensifier les pressions sur les concepteurs et fabricants de dispositifs médicaux et les professionnels IT qui les accompagnent pour se conformer aux normes afin d’éviter des pénalités.

Un aspect couvert par l’HIPAA que les fournisseurs de dispositifs médicaux et les équipes IT du secteur de la santé doivent prendre en considération concerne l’accès à distance de leur technologie et de leurs dispositifs pour les besoins de maintenance régulière et de support.

En France, le Ministère de la Santé a publié en Juillet 2016 sa nouvelle Stratégie Nationale e-Santé 2020 encourageant entre autre l’utilisation du BigData. Ce plan consacre une large part à la sécurisation des systèmes d’informations de Santé. En effet, face à la montée des menaces en matière de cybersécurité, le ministère chargé de la Santé fait de la sécurité de ces systèmes une priorité et accompagnera par un plan d’action à court terme la mise en œuvre de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S).

Part 2 Prochain article le 5 décembre : Prestations de support IT via la prise en main sécurisée à distance