Vous lisez:
Les responsables en cas de vols, pertes ou attaques de …
Partager:

Publié le 02/07/2021

Les responsables en cas de vols, pertes ou attaques de données


Image

Cybersécurité santé : quel responsable en cas de vols, pertes ou attaques des données de santé ?

Face aux problèmes de perte, accidentelle ou frauduleuse, des données de santé, le législateur a étoffé la littérature réglementaire. Le traitement de ces données, notamment leur collecte, communication, stockage, partage ou destruction, est soumis aux dispositions éditées par la Loi Informatique et liberté et le Code de la santé publique. Dans les établissements de santé, la responsabilité du Directeur Général est engagée avec la CNIL qui veille au grain.

Avec l’entrée en application, le 25 mai 2018, du Règlement Général sur la Protection des Données (RGPD) et la promulgation le 20 juin 2018 de la loi relative à la protection des données personnelles, un nouveau cadre juridique est posé. Il vise à rendre au citoyen le contrôle de ses données personnelles et renforce la responsabilité des organismes qui les gèrent en leur demandant d’assurer une protection optimale à chaque instant.

Avec le RGPD, chaque professionnel de santé se doit de protéger les données des patients contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle. Ils doivent donc mettre en place des mesures de sécurité adaptées (ex : utilisation de la carte professionnel de santé, mot de passe personnel, utilisation d’un système de chiffrement fort en cas d’utilisation d’internet, etc).

À l’heure de l’explosion du volume de données de santé produites avec l’informatisation aboutie des établissements et l’arrivée de l’IoT et IoMT, la cybersécurité en santé est une notion que les acteurs de Santé doivent absolument maîtriser – directeurs d’établissement, soignants, direction informatique, service RH, etc. – ou du moins intégrer à leur culture.

Des professionnels de santé plus distraits que coupables

Les données de santé attirent les hackers les plus agressifs, si bien que le prix de vente d’un dossier médical est estimé aujourd’hui à 350 euros, soit 2,5 fois plus que la moyenne des autres documents.

Certains professionnels de santé se montrent effectivement inattentifs à cette problématique dans leur pratique quotidienne par manque de temps, quand d’autres ignorent totalement ces contraintes, ce qui entraîne une diffusion anarchique des données de certains patients. C’est le cas notamment de l’envoi de comptes rendus, voire d’images médicales via un canal non sécurisé. Enovacom est opérateur MSSanté et répond à cette problématique du quotidien en proposant une offre de messagerie sécurisée sur mesure. 

Dans de rares cas, des données peuvent disparaitre de manière frauduleuse. Des employés mal attentionnés les séquestrent afin d’en tirer une contrepartie très lucrative. D’où la nécessité d’automatiser la gestion des identités et des habilitations du système d’information. Un besoin auquel Enovacom répond en proposant sa solution Enovacom Identity Manager, qui garantit la sécurité de vos données internes et patient en donnant accès à la bonne information au bon agent et au bon moment à l’intérieur de votre structure ou GHT.

Près de 3 ans après la mise en place du RGPD, les pratiques des professionnels de Santé en matière de gestion des données de leurs patients ne sont toujours pas sécurisées. C’est ce que révèle une enquête commandée par Kapersky France auprès de plus de mille professionnels de Santé. Parmi les dysfonctionnements révélés, le BYOD et les échanges des professionnels de Santé avec leurs patients via des applications grand public.

Une aide de 350 millions d’euros

En février dernier une cyberattaque a visé un fichier contenant des données médicales de près de 500 000 Français. La CNIL s’est alors saisie du dossier et a rappelé l’obligation pour les organismes responsables d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne.

En 2020, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a révélé qu’au total 27 centres hospitaliers avaient été ciblés. L’activité des pirates s’étant largement accélérée au cours des dernières semaines puisqu’en 2021, l’ANSSI dénombre d’ores et déjà une attaque par semaine.

L’État français a donc mis au pont un important plan d’investissement pour renforcer la cybersécurité des hôpitaux et centres hospitaliers français. Le 19 février 2021, le président Emmanuel Macron a lui-même déclaré que 350 millions d’euros seraient investis au travers du Ségur de la santé.

A ce jour, quelques éléments concrets de ce plan d’investissement ont été révélés : l’État a nommé trois prestataires spécialisés en services de cybersécurité pour réaliser des audits et accompagner les hôpitaux dans leur démarche, et exprimé plusieurs conditions à son investissement renforcé, notamment la nécessité pour les hôpitaux d’attribuer 5% à 10% de leurs budgets IT au volet cybersécurité.


Partagez cet article :

icon