Pas de santé sans cybersécurité

Publié le 06/12/2017

Cybersecurity & Healthcare

Hôpitaux bloqués, pacemakers déréglés, données médicales vendues au marché noir… Les quelques exemples cités au cours des conférences suffisent à le prouver : la santé devenue numérique ne se conçoit plus sans cybersécurité. Sauf que le problème est épineux et hyper complexe… Retour sur Cybersecurity & Healthcare. C’était le 30 novembre, l’une des journées de la European Cyber Week.

Un témoignage, en cours de journée, permettra de toucher le problème du doigt. Le professeur Jean-Yves Gauvrit, neuroradiologue au CHU de Rennes, est venu raconter son désarroi quand, un jour, le service d’imagerie qu’il dirige s’est retrouvé complètement isolé. Incapable de transmettre une radio ou un scanner, y compris aux blocs opératoires à l’intérieur de l’établissement. “Aujourd’hui, toute l’imagerie est numérique. Imaginez ce qu’il peut se passer en cas de cyberattaque !” Dans les mots, dans l’attitude du médecin, on perçoit une prise de conscience profonde et la crainte d’autres incidents. Car, au final : “Celui qui pourrait payer, c’est le patient.”

Au-delà de cette illustration par du vécu, les interventions abordaient la question de la cybersécurité dans la santé sous tous les angles : organisation, sécurité des équipements médicaux, transport d’information, sensibilisation des personnes, protection des données personnelles, cadre juridique… Avec aussi des sujets très pointus : l’anonymisation des données, la protection des données génomiques, l’utilisation de la blockchain pour fluidifier les échanges, le tatouage numérique de documents d’imagerie… Bref, un programme extrêmement dense dont ces lignes ne sont qu’une compilation de morceaux choisis.

La European Cyber Week, manifestation annuelle qui en est à sa deuxième édition, se tenait à Rennes du 27 novembre au 1er décembre 2017. Avec au centre de l’organisation le Pôle d’excellence cyber. Il était accompagné pour cette journée Cybersecurity & Healthcare par EIT Digital, Bretagne Développement Innovation, ID2Santé, IRISA et Images & Réseaux.

D’abord une question de gouvernance

Idéale pour planter le décor, commençons par l’intervention de Philippe Loudenot. Pour le chef de la cybersécurité au ministère de la Santé : “On n’a pas pris le risque cyber à sa juste dimension.” Une crise pourrait concerner toute une région comme la Bretagne, “voire l’ensemble du pays”. La preuve ? Elle nous est venue d’outre-Manche quand le ransomware Wannacry a paralysé une quarantaine d’hôpitaux à travers l’Angleterre et l’Écosse. Et ce d’autant que “les points d’entrés d’attaques” se multiplient dans les hôpitaux, car tout y est connecté : le matériel biomédical “en général mal sécurisé”, mais aussi l’ascenseur, la climatisation, la pharmacie… Jusqu’aux “couveuses pour bébés prématurés”.

Le problème est sérieux. Il est aussi de plus en plus complexe. Car avec le développement de l’ambulatoire et de l’hôpital à domicile, “les établissements sont de plus en plus connectés”. Et demain la e-santé, la m-santé, les médicaments connectés… Du côté du personnel, on observe des résistances : “Pour le médecin, le login/mot-de-passe n’existe pas”. Il existe aussi des méconnaissances comme ces 7000 dossiers sur des personnes atteintes du cancer que l’on pensait sécurisés parce qu’accessibles sur internet “depuis un site en https”. On est encore bien loin de la GDPR !

Mais attention, pas question de revenir au stéthoscope : “Nous n’en sommes plus capable.” Il faut aller de l’avant et se saisir de la question dans son ensemble. Selon Philippe Loudenot : “Le risque cyber n’est pas un problème technique. Les solutions existent. C’est d’abord une question de gouvernance.” De la même façon qu’on anticipe l’incendie, l’inondation ou une vague terroriste, il faudra se préparer à l’attaque informatique. Jusqu’à évoquer, plus tard au cours des échanges, “un plan blanc cybersécurité”.

LA priorité ! Mais parmi tant d’autres…

Le tableau est sombre. Il conservera cette teinte, plutôt inquiétante, au fil des présentations. Hervé Troalic de Sodifrance et Vincent Trély, président de l’association pour la sécurité des systèmes d’information de santé (APSSIS), apporteront leur lot d’exemples édifiants. Ainsi un scanner acheté en 2017 plus de 2 millions d’euros, qui tourne sous Windows XP alors que le système d’exploitation n’est plus maintenu par Microsoft. Et sur lequel, préconisation du constructeur : “Il ne faut pas installer d’antivirus parce que sinon il va planter.”

Surtout, ils pointent le rôle ingrat du RSSI, le responsable de la sécurité du système d’information, tel qu’ils l’observent dans la plupart des hôpitaux de France. Ils décrivent une personne que l’on a pioché dans les services informatiques “pour se mettre en conformité avec la réglementation”. À qui on accorde seulement “20% de son temps dédié à la sécurité”. Dont on rejette les demandes parce qu’il existe mille autres priorités notamment budgétaires. Et qui pour les achats d’équipements “n’est même pas dans la boucle”. Ceci jusqu’au jour où un incident accélère la prise de conscience, “sinon le problème reste virtuel”.

Plus tard, Yann Allain de Serma Safety & Security et Fabien Prestavoine de Diagnostica Stago expliqueront combien il n’est pas si facile de développer un dispositif médical sécurisé qui soit conforme aux règlements. “La conformité est très différente de la sécurité. Donc il faut faire les deux.” Une sorte d’équation impossible quand il s’agit d’un équipement destiné à l’international. Avec à la fois des réglementations très contraignantes comme celles de la FDA aux États-Unis. Et certains pays qui exigent que “la sécurité soit débrayable”. D’autres encore qui veulent “tout voir en clair”. Parmi les contraintes difficiles à atteindre, l’exigence d’être “conforme à l’état de l’art”. Alors que celui-ci, par essence, évolue en permanence. Surtout quand le dispositif médical est prévu pour fonctionner 10 ans.

Le futur est dans la confiance

Peut-être faut-il prendre du recul, et réfléchir à la sécurisation du système de santé dans son ensemble ? C’est la position que défend Bill Buchanan, professeur en Computing Science. Il nous vient d’Écosse, de la Edinburgh Napier University. Il prend exemple sur deux pays du Nord : la Finlande et l’Estonie. Ceux-ci ont totalement repensé leurs systèmes de santé dans une perspective de e-santé : e-prescription du médecin, e-archivage des données, e-accès des patients à leurs données… Le tout basé sur trois incontournables : le consentement du patient, une gouvernance forte, et la confiance dans le système. Cette question de la confiance est centrale. Qui suppose une protection sans faille des données de santé et qui passe par une possibilité de contrôle sur ses propres données.

Les bénéfices de cette dématérialisation de bout en bout ? Une réduction des inégalités dans l’accès au soin, un fonctionnement plus fluide des services de santé et de remboursement, des coûts maîtrisés, un système qui prend une dimension citoyenne et participative. Et, cerise sur le gâteau, l’émergence de nouveaux leviers économiques grâce aux applications et services développés. Construire le futur de la santé consiste à passer de l’âge de l’industrie (centré sur l’acte médical) à l’âge de l’information (centré sur le patient).

Sur les moyens de sécurité à mettre en œuvre, quelques pistes. D’abord la pseudonymisation, une technique qui permet de séparer les données sensibles (liées à la santé) des données d’identification. Ensuite, dans une autre intervention, Bill Buchanan propose d’adosser les prestations de santé à la blockchain. Plus précisément le protocole Ethereum et la notion de Smart Contracts qui ont l’avantage, outre la sécurité, d’être relativement économes en énergie.

Cybersécurité : une somme de batailles à mener

Quelques mots sur les autres conférences “technos” de la journée, notamment sur celles orientées protection des données de santé. À commencer par le sujet de l’anonymisation des informations. Catuscia Palamidessi de l’INRIA démontre que les techniques utilisées actuellement (k-anonymity) ont leurs limites. Et qu’il existe bien d’autres moyens que le nom pour identifier les gens. En croisant des données dites anonymes avec des informations issues entre autres des réseaux sociaux ou encore par des attaques combinées sur une base de données, il serait possible de lever le secret. La chercheuse propose alors une approche probabiliste et non-déterministe qui rend impossible la désanonymisation.

Erman Ayday – La protection des données génomiques est la bataille à ne pas perdre.

Dans un autre registre, Michel Cozic, de Medecom, et Gouenou Coatrieux, de l’IMT Atlantique, s’intéressent à la sécurité des images issues d’imagerie médicale. L’objectif est double : protéger l’image tout en permettant qu’elle puisse être partagée et traitée normalement. La méthode utilisée est une technique de crypto-watermarking qui permet d’embarquer dans les pixels une série d’informations d’identification, de traçabilité et de contrôle d’intégrité. Ceci de façon transparente pour les applications d’archivage et de traitement.

Enfin laissons le dernier mot à Erman Ayday, de la Bilkent University d’Ankara en Turquie. Le thème de ses recherches :  la sécurité et la confidentialité des données génomiques. Un sujet très sensible, qui peut déboucher sur de la discrimination génétique. Par exemple, refuser d’assurer une personne dont on sait qu’elle présente une prédisposition à telle ou telle maladie. Ce qui, en passant, peut valoir aussi pour sa descendance. En cas de fuite, le dommage est irréparable. Car s’il est possible de changer de carte bancaire ou autre accessoire corrompu, on ne change pas d’ADN. Les stratégies de protection ? Erman Ayday donne quelques pistes. La cryptographie, à condition que le protocole soit suffisamment robuste pour résister aux attaques sur le long terme ; le recours à des tiers de confiance ; la sécurité hardware. Pour situer l’importance de l’enjeu, le chercheur conclut : “This is the battle we cannot lose.”