Cybersécurité : la nouvelle frontière de la Médecine Numérique

Docteur Christophe RICHARD – Crédit photo : DR

Soyons clairs… personne n’est réellement préparé à une cyberattaque et peu nombreux sont ceux qui pourraient y résister. La seule question pertinente à se poser n’est pas de savoir si une attaque est possible, mais de savoir quand elle surviendra, comment et quelles en seront les conséquences…

Le règlement européen relatif à l’ENISA (Agence européenne pour la cybersécurité) et à la certification de cybersécurité (1) récemment voté, souligne dès son introduction :

« La cybersécurité n’est pas qu’une question liée à la technologie, mais une question pour laquelle le comportement humain est tout aussi important. »

Les plus gros problèmes de la cybersécurité résident moins dans les failles de sécurité des systèmes de santé que dans l’émergence d’environnements hybrides et complexes dans lequel l’« Humain » est prépondérant.

Bien entendu la valeur des données de santé à caractère personnel, fait des organisations de soins de santé, une cible de choix. Mais c’est l’arbre qui cache la forêt.

Il ne faut pas se focaliser sur la valeur des données, ni même sur les problèmes liés au rétablissement des systèmes après une cyberattaque. Avec l’avènement de la Médecine Numérique (2), c’est la vie des patients qui est le véritable « enjeu ».

En effet, la cybersécurité en santé ne se réduit pas à la sécurité ou à l’intégrité d’appareils ou de logiciels sur un poste informatique. Des dispositifs médicaux à l’e-santé, de la télémédecine aux systèmes numériques robotisés, il est indispensable de protéger les patients des vulnérabilités technologiques auxquelles le progrès technique l’expose… auxquels nous les exposons.

Une proportion sans cesse croissante de cybersécurité incombe aux professionnels de santé mais désormais aux patients eux-mêmes. C’est cette réalité qui doit inciter chaque acteur à une prise de conscience, chaque responsable, à s’interroger sur nouvelle « approche » de la cybersécurité en santé pour qu’au final chacun soit partie prenante, à son niveau, de la démarche de sécurité du (et autour) du patient.

Mais concrètement de quoi est-il question … ?

L’avènement des Pathologies BioNumériques (ou CyberInitiées)

WannaCry (3) le ransomware encore présent dans tous les esprits, fut une attaque relativement peu sophistiquée qui n’avait pas pour objectifs de compromettre les données médicales.

Alors imaginons les cas de figure ou les finalités d’une cyberattaque ne seraient pas les données (4) !

Cet attaquant tenterait d’avoir accès aux dossiers médicaux avec d’autres motivations que chiffrer les données pour les vendre ou obtenir une rançon. Il profiterait alors de sa cyberattaque pour saboter une recherche, commettre une fraude à l’assurance, commettre un meurtre ou même un acte de terrorisme.

« Ne pas tenter de transformer les médecins en experts informatiques » (5)

Sans passer en revue toutes les mesures à prendre, un pas de géant à faible coût serait réalisé en « accroissant la sensibilisation des professionnels de santé à la (cyber)sécurité » (6).

Il existe une forme de cloisonnement entre les experts de la cybersécurité qui sécurise les systèmes d’information santé et les professionnels de santé qui défendent leurs prérogatives sur les soins prodigués aux patients. Mais il est vital que les seconds cernent l’importance de la cybersécurité et l’intègre dans leur quotidien médical, car ils sont en contact immédiat avec les patients directement exposés par les systèmes insuffisamment protégés.

Une approche orientée « Médecine Numérique » permettrait d’intégrer nativement la cybersécurité dans les cursus de formation des « professions de santé » afin qu’elle anticipe les menaces et ainsi respecte ses obligations déontologiques (7)

Avec comme objectifs de former les professionnels à réagir de manière adaptée à ces nouvelles situations. Cette démarche n’est plus « théorique » puisque les docteurs Rachel Helpling et Jeff Tully ont médicalement simulé la prise en charge d’une patiente victime du piratage de son stimulateur cardiaque par cyberattaque. Cette simulation médicale a été réalisée lors du CyberMed Summit de l’UA College of Medicine à Phoenix le 13 décembre 2018 (8).

En l’absence de synergies entre professionnels de la sécurité et professionnels de santés, tous les efforts déployés pour améliorer la cybersécurité seront vains.

Il ne sera pas facile de disposer d’une cybersécurité efficace dans le secteur des soins de santé sans la coopération de tous, des médecins aux infirmières, en passant par les professionnels de l’informatique, les fabricants et les éditeurs.

En pratique, la solution reviendrait à ajouter une formation en cybersécurité au sein de la formation des professionnels de santé. Tout au moins d’inclure quelques heures de formation en cybersécurité et de sécurité des patients et d’y associer des mises en situation simulées de cyberattaques pour préparer les cliniciens à des situations imitant une bio pathologie par cyberattaque…

Les mêmes progrès restent indéniablement à réaliser du côté des patients (sensibilisation et probablement la formation …) sachant que ces derniers conserveront leur confiance à un acteur de santé victime d’une cyberattaque avec violation des données personnelles, si celui-ci joue le jeu de la transparence (9) …

Les applications numériques sont-elles des « boites noires » ? (10)

Le directeur médical et de la Cybersécurité (11) de l’Université de Californie à San Diego Health expliquait que « Lorsque WannaCry a frappé, les hôpitaux américains se démenaient pour savoir quels dispositifs médicaux étaient touchés ».

Il n’est pas exceptionnel que les acteurs de santé (Etablissements de santé / Professionnels de santé) ignorent tout des systèmes ou outils qu’ils utilisent quotidiennement. Certains dispositifs sont souvent des boîtes noires pour les hôpitaux.

Cela ne veut pas dire que ces acteurs ne prêtent aucune attention à leurs systèmes informatiques. Mais ils ne se concentrent que sur certains volets de la (cyber)sécurité et ne les intègrent pas dans leur périmètre.

Dans un contexte déjà « tendu », toutes ces conclusions conduisent à considérer toute cyberattaque sur une structure de santé comme une situation particulièrement « dangereuse ».

En France en 2018, l’Atlas des Systèmes d’Information Hospitaliers de la Direction Générale de l’Offre de Soins (DGOS) estimait que 91 % des établissements de santé s’étaient dotés d’une politique de sécurité. Les différentes contraintes qui s’imposent aux établissements ne cessent de croitre et le rythme effréné des progrès techniques placent la Cybersécurité au cœur des priorités… parmi d’autres.

Une Cybersécurité efficace est devenue absolument critique dans un écosystème de santé de plus en plus « techno dépendant » (12). Les impératifs légaux liées aux textes européens (13) (RGPD, cybersécurité) et nationaux (Certifications HDS) place les différents acteurs dans une situation de contraintes sécuritaires de plus en plus en plus forte d’autant que tous n’ont pas suivi le rythme des progrès techniques.

A l’impossible, nul n’est tenu !

Faut-il se résoudre à la réussite d’une cyberattaque ? Evidemment non !

Toutefois si la sécurisation d’équipements exposés coûte plusieurs millions d’euros ou que ces mêmes équipements ne peuvent pas être réparés/patchés, il faut garder à l’esprit qu’un établissement n’est  peut-être pas en mesure de les remplacer.

Alors comment se prémunir ?

D’un point de vue technologique, les ressources et les compétences sont facilement accessibles et plutôt proactives autant en France ANSSI, ASIP, ANSM, cellule d’Accompagnement Cybersécurité des Structures de Santé (ACSS14) CLUSIF (15), APSSIS (16), qu’en Europe avec l’Agence européenne chargée de la sécurité des réseaux et de l’information (AESRI) (17). Et au-delà de l’Union Européenne, la FDA (18) et la Sécurité Publique Canadienne (19)  En synthèse, il s’agit essentiellement de prendre des mesures assez « élémentaires » :

– Déceler/recenser les vulnérabilités et plus globalement de cartographier les risques

– Elaborer une stratégie de (cyber)sécurité (potentiellement collaborative et/ou mutualisée):

• Incluant la définition des rôles et les responsabilités
• Élaborant des politiques et des protocoles y compris en cas d’attaque

– Réaliser une surveillance (pro)active des systèmes

– Établir et obtenir un budget pour la cybersécurité, ce qui inclut de fait l’appui des directions/autorités concernées

D’un point de vue économique les dépenses en cybersécurité devraient atteindre 3,9 milliards d’euros à horizon 2022 (20). Majoritairement dans l’optique d’un alignement sur les obligations du RGPD.

D’un point de vue humain, la première étape consisterait à :

– Prendre conscience de la réalité du problème (de plus en plus d’études (21) se saisissent du sujet et en facilitent l’appropriation)

– Accroître la sensibilisation des professionnels à la cybersécurité

Le problème de la sécurité revient donc à une analyse de risque assez classique, dans laquelle un établissement doit décider des attaques contre lesquelles il se protège, celles pour lesquelles il subit le risque, et celles contre lesquelles il s’assure.

L’idée étant ne plus considérer l’hôpital comme une place forte à défendre (château-fort) mais comme un avion en vol. Cette approche devant offrir à l’établissement de santé, un niveau de sécurité lui permettant un maintien en condition opérationnelle de ses différents processus et activités. Certains préconisent l’adoption par les acteurs de la Santé de modèles de sécurité s’inspirant de ceux d’une compagnie aérienne (22)

Très séduisante, cette approche n’est toutefois pas la panacée. L’état de l’art de la cybersécurité se situe ailleurs (23).

Il convient de signaler la parution récente du Mémento de cybersécurité (24) à l’usage du directeur d’établissement de santé. Il se destine aux « Directions » (Directeur, Président de la CME, Directeur des soins, DRH, …) des établissements de santé, publics comme privés afin de les aider à « connaitre [leurs] risques pour mieux y faire face » ;

Quid de l’intelligence artificielle (IA) dans la cybersécurité ?

Les spécialistes tendent  à délaisser les stratégies de sécurité traditionnelles pour se tourner vers des SOC intelligents capables de prédire les menaces, les détecter, les éviter et leur faire face automatiquement (25).

L’IA sera notamment en capacité de conseiller les analystes sur les incidents potentiels, de trouver la cause d’une attaque et de mettre en place un plan de reprise d’activité (PRA).

D’abord réactive, avec la capacité à détecter et à réagir à des anomalies ou à des attaques, la cybersécurité assistée par l’IA sera proactive, discriminante et implicitement efficace. Enfin, jusqu’au prochain exploit …

Grace à l’IA nous pouvons imaginer avec plus d’optimisme l’avenir de la cybersécurité  pour tous les acteurs de santé. Mais cette option parait encore « lointaine » dans le monde de la santé.

Le plus rapide, le mieux organisé, le plus sophistiqué et le plus ingénieux aura un avantage certain, mais le simple fait d’être préparé est un atout majeur. La tâche aussi complexe soit-elle, n’est pas irréaliste. La Médecine Numérique a un bel avenir… « Commence par faire ce qui est nécessaire, puis ce qui est possible, et subitement, tu te surprendras à réaliser l’impossible. (26) »

1. « Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications »

Consulté en ligne le 29 Aout 2019

Disponible en ligne URL : http://data.europa.eu/eli/reg/2019/881/oj

2. La Médecine Numérique : nouvelle spécialité… nouvelle médecine ! C RICHARD

Consulté en ligne le 09 Aout 2019

Disponible en ligne URL : https://doi.org/10.4267/2042/68725

3. Le 12 mai 2017, une vaste attaque informatique par le rançongiciel (de l’anglais ransomware) auto-répliquant « WannaCry » touchait plusieurs centaines de milliers d’ordinateurs dans le monde. Parmi les systèmes les plus touchés : le service de santé public de Grande-Bretagne.
4. “Health care’s huge cybersecurity problem” https://www.theverge.com/2019/4/4/18293817/cybersecurity-hospitals-health-care-scan-simulation
5. « Healthcare has a massive cybersecurity problem, and we’re not doing enough to fix it. » https://thenextweb.com/podium/2019/04/23/healthcare-has-a-massive-cybersecurity-problem-and-were-not-doing-enough-to-fix-it/
6. Exemples d’initiatives à faible coût utilisées par le centre médical Newton (USA) – Article https://www.beckershospitalreview.com/cybersecurity/the-low-cost-initiatives-newton-medical-center-uses-to-boost-information-security.html
7. Code de déontologie Médicale – Article 11 – Développement professionnel continu (Article R.4127-11 du code de la santé publique) https://www.conseil-national.medecin.fr/code-deontologie/devoirs-generaux-medecins-art-2-31/article-11-developpement-professionnel-continu
8. Article « Can medical devices be hacked? » https://eu.azcentral.com/story/news/local/arizona-health/2018/12/27/ethical-hackers-warn-physicians-cyberattacks-christian-dameff-arizona-college-medicine-jeff-tully/2277625002/
9. HIPAA – Study Confirms Why Prompt Data Breach Notifications Are So Important https://www.hipaajournal.com/study-confirms-why-prompt-data-breach-notifications-are-so-important/
10. Article “The Verge” « Investigation: WannaCry cyber-attack and the NHS » 4 avril 2019 – Consulté en ligne le 21 Aout 2019

Disponible en ligne URL : https://www.theverge.com/2019/4/4/18293817/cybersecurity-hospitals-health-care-scan-simulation

11. Christian Dameff https://www.linkedin.com/in/cdameff
12. La cybersécurité, un organe vital pour l’hôpital https://www.filiere-3e.fr/2018/06/12/la-cybersecurite-un-organe-vital-pour-lhopital/
13. Article «Cyberattaques dans les établissements de santé» 19 août 2019 Me David Lecomte https://www.houdart.org/cyber-attaque-dans-les-etablissements-de-sante/
14. ACSS https://esante.gouv.fr/securite/accompagnement-cybersecurite-des-structures-de-sante
15. Club de la sécurité de l’information français https://clusif.fr/conferences/etudes-menaces-informatiques-pratiques-de-securite-edition-2018/
16. Association Pour la Sécurité des Systèmes d’Information de Santé https://www.apssis.com/
17. ENISA (acronyme en anglais) – https://www.enisa.europa.eu
18. Medical Device Safety Action Plan: Protecting Patients, Promoting Public Health https://www.fda.gov/media/112497/download
19. Sécurité Publique Canada https://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/ntnl-cbr-scrt-strtg-2019/index-fr.aspx
20. « Les entreprises françaises investissent en masse dans la cybersécurité » Nicolas Certes – Mai 2019 https://www.lemondeinformatique.fr/actualites/lire-les-entreprises-francaises-investissent-en-masse-dans-la-cybersecurite-75395.html
21. « Cybersecurity in healthcare: A systematic review of modern threats and trends » https://pdfs.semanticscholar.org/d937/adfdae8887a01541a662e1e6aa90086dcf6f.pdf
22. Le modèle de sécurité du futur n’est-il pas celui d’une compagnie aérienne ? https://www.lemagit.fr/tribune/Le-modele-de-securite-du-futur-nest-il-pas-celui-dune-compagnie-aerienne
23. Objectifs de cybersécurité SSI.GOUV.FR 27 février 2014 https://www.ssi.gouv.fr/uploads/IMG/pdf/20140310_Objectifs_de_cybersecurite_document_public.pdf
24. Mémento de cybersécurité https://solidarites-sante.gouv.fr/systeme-de-sante-et-medico-social/e-sante/sih/article/memento-de-cybersecurite
25. Livre blanc iTrust https://www.itrust.fr/ressources/whitepaper/ITrust_IA.pdf
26. Saint François d’Assise