Même si dans la cybersécurité, comme dans la santé, il faut veiller aux besoins vitaux et savoir parer à l’urgence, il existe des limites. Comprendre les interactions entre ces deux domaines est donc crucial et riche en enseignements – notamment pour les questions relevant de l'anonymat des données.
« Une simple série de mesures de glycémie est unique à chaque patient. Il est donc impossible de la rendre complètement anonyme », explique Christian Lovis, médecin chef du service des sciences de l’information de l’Hôpital universitaire de Genève, face à un auditoire composé de médecins, de politiciens, d'informaticiens, de militaires et même de hackers. Tous sont réunis à l’occasion du Forum Santé numérique et sécurité organisé par la Direction générale de la santé rattachée au Département de l'emploi, des affaires sociales et de la santé (DEAS) du canton de Genève et soutenu par l'Académie suisse des sciences techniques (SATW). Les participants à cette rencontre interdisciplinaire unique sont des acteurs qui ont généralement rarement l’occasion de partager leurs problématiques de sécurité relatives à la santé.
Dans la santé digitale, le premier constat est celui d’un état des lieux similaire à ce qui se fait ailleurs en matière de cybersécurité. Christophe Nicolas du groupe Kudelski pointe un déficit général de cyber-hygiène. Ainsi, dans le cas d’un patch de sécurité, une analyse révèle une mise en place sur 20% des installations 2 jours après publication, 50% après 3 mois et seulement 90% après… 3 ans.
Un risque d’autant plus important qu’aujourd’hui « les patients s’attendent à des dispositifs médicaux connectés », explique Matic Meglic de Medtronic. « La prochaine génération sera connectable via des smartphones et la variété des appareils – sondes médicales, respirateurs, dispositifs goutte-à-goutte… – rend leur sécurisation d’autant plus difficile. » Un risque pris au sérieux comme en témoigne le cas de l’ancien vice-président américain, Dick Cheney, qui avait vu la connectivité de son pacemaker désactivée par sécurité.
Si l’exemple américain semble éloigné de notre quotidien, la situation s’avère bien plus tangible lorsque qu’Alessandro Fossato, white hat* (hacker éthique) et responsable de la société italienne Interlogica, en fait la démonstration. Moyennant quelques connaissances et des informations du domaine public – obtenues essentiellement via Google –, il montre comment il est possible d’accéder à des informations sur des installations au sein d'institutions. Une démonstration qui abonde dans le sens du constat de Matic Meglic quant à la nécessité d’intégrer la sécurité informatique dès la conception d’un produit, notamment en pensant la fin de vie dudit produit.
Le social engineering a démontré depuis longtemps le point faible que constitue le facteur humain dans les dispositifs de cybersécurité. Il s’agit alors surtout d’anticiper au mieux quand et comment se produiront les failles. Des questions auxquelles Solange Ghernaouti, professeure à l’UNIL et membre de la SATW, juxtapose d’autres interrogations non moins essentielles dans le cadre de la santé numérique : « comment sécurise-t-on le système d’information qu’est l’être humain? La médecine personnalisée n’expose-t-elle pas à des attaques personnalisées ? » Loin d’être théoriques, ces questions se sont déjà posées, par exemple en Inde, où le code génétique sert de carte d’identité et est déjà piraté pour obtenir frauduleusement des prestations, mettant à la marge de la société les individus victimes de piratage. Et Solange Ghernaouti d’ajouter : « l’exclusion numérique ne risque-t-elle pas de créé des exclusions dans la santé ? » Selon elle, la santé numérique est à ce titre d’autant plus une infrastructure critique.
Un point de vue partagé par Gérald Vernez, chef de la cyberdéfense de l’armée suisse et membre de l’Académie. Il précise toutefois « [qu’]il est primordial de faire la distinction entre les besoins réellement vitaux, importants et secondaires. » Le risque d’infrastructures de santé prises en otage de leur dépendance numérique est à anticiper. Il faut d’abord protéger les éléments critiques, tel que l’approvisionnement électrique, les réseaux de communication. Sans eux, pas de santé numérique. C’est à ce niveau critique que l’armée doit jouer son rôle, pour déployer des moyens dont le civil ne dispose pas. De même dans le respect du principe de subsidiarité, la sécurisation en termes de besoins opérationnels quotidien revient aux acteurs civils.
L’entraînement et la préparation jouent dans ce cadre un rôle important dans la maîtrise des risques. Ainsi, Eric Stumpp d’IBM Security explique comment la création d’environnements virtuels simulant la survenue d’une cyberattaque permet d’en observer les effets tant sur les infrastructures informatiques que sur les réactions humaines. La sécurité numérique et son pendant humain doivent être intégrés dès le départ dans la conception de solutions et à plus forte raison dans le domaine des infrastructures de santé.
Si la santé numérique est en premier lieu perçue comme un risque devant être évalué et maîtrisé, il convient également de noter le potentiel d’innovation dont dispose ce domaine. En effet, comme mentionné par Christian Lovis et relevé par d’autres intervenants du forum, une convergence entre le digital et le biologique est à prévoir. Inclure la dimension sécuritaire permettra d’exploiter d’autant mieux tout le potentiel de cette convergence.
A relever également le caractère fédérateur de la santé numérique. Comme le mentionne Pascal Lamia, directeur de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI, les hôpitaux ont aujourd’hui la possibilité d’être intégrés gratuitement sur une base volontaire dans un dispositif d’évaluation cyber au niveau national. Il s'agit d’une approche innovante pour répondre aux défis du système politique fédéral face à des risques globalisés et pouvant toucher chacun.
Grâce au traitement de l'information, la santé numérique sera la base de la médecine de demain : prédictive, personnalisée, préventive et participative. Dans cette perspective et dans un monde qui prône à la fois l'open data et la protection des données médicales, il est nécessaire de repenser la gestion de l'information et des données. Cela passe aussi par le fait de favoriser la formation et de développer les compétences qui permettront de faire face à ces risques.
Au niveau fédéral, les pouvoirs publics traitent ces questions relatives à la santé numérique et la sécurité dans le cadre du déploiement du dossier électronique du patient et, au niveau cantonal, il est prévu de développer la coordination entre les acteurs sur ce thème.
Les participants du Forum Santé numérique et sécurité 2018 se sont donnés rendez-vous dans une année au Campus Biotech pour apprécier les avancées réalisées dans ce domaine.
Lien vers le Forum e-santé et sécurité