LE DIRECT
ⓘ Publicité
Radio France ne vous demandera jamais de communiquer vos coordonnées bancaires.
La protection des données de santé est une priorité mais un gros effort reste à fournir pour arriver à un niveau convenable, reconnaissent les professionnels.

Protection des données de santé : encore trop de failles

4 min
À retrouver dans l'émission

Les cyberattaques contre les hôpitaux et les fuites de données l’ont montré : la filière santé n’est pas au niveau. Un constat dressé lors du Forum international de la cybersécurité (FIC) à Lille la semaine dernière où les experts attendent beaucoup des investissements annoncés par le gouvernement.

La protection des données de santé est une priorité mais un gros effort reste à fournir pour arriver à un niveau convenable, reconnaissent les professionnels.
La protection des données de santé est une priorité mais un gros effort reste à fournir pour arriver à un niveau convenable, reconnaissent les professionnels. Crédits : Patrick Lefèvre - Maxppp

En France, les données de santé sont considérées comme particulièrement sensibles par les autorités et leur protection est une priorité. Elles bénéficient d’un régime juridique particulier, rappelé par la CNIL, mais le fossé est grand entre les ambitions et la réalité : "Les faits nous donnent tort sur l’efficacité de cette protection car nous constatons régulièrement des vols de données de santé", reconnaît Guillaume Poupard, le directeur-général de l’ANSSI, la principale agence de cybersécurité française, lors de sa venue au FIC. Et d'ajouter : "Le fait d’élever le niveau de sécurité des hôpitaux est une priorité”. Le sujet a occupé une partie des discussions lors de ce forum lillois où les professionnels ont estimé qu’un rattrapage d’ampleur est indispensable pour mettre à niveau le système de santé.

La cybersécurité n’était pas une priorité

Les derniers mois l’ont illustré : le système de santé n’était pas préparé à la menace cyber, devenue désormais permanente. Jean-Sylvain Chavanne est le responsable de la sécurité informatique du CHU de Brest et il constate tous les jours des tentatives de connexion frauduleuses : "Nous voyons très régulièrement des tentatives d’intrusion sur nos systèmes d’information, car ces ‘scans’ laissent des traces, mais une infrastructure correctement entretenue et mise à jour est en mesure de les arrêter". Pour cet ancien de l’ANSSI, il s’agit avant tout d’attaques opportunistes : "Les auteurs scannent tous les réseaux possibles en quête d’une faille et s’y engouffrent le cas échéant, sans savoir ce qu’il y a derrière : une mairie, un particulier ou un hôpital… Mais une fois entrés, ils peuvent voler des données et installer des logiciels malveillants qui chiffrent les fichiers et bloquent les systèmes tant qu’une rançon ne leur est pas versée".

Ce scénario s’est répété à au moins trois reprises en 2021 : en février dans les hôpitaux de Dax et Villefranche-sur-Saône et en août à Arles. Ces établissements ont été obligés d’annuler des opérations, de transférer des patients et de revenir au crayon et au papier, faute d’informatique… La doctrine des autorités étant de ne pas verser de rançon. 

Pour afficher ce contenu Twitter, vous devez accepter les cookies Réseaux Sociaux.

Ces cookies permettent de partager ou réagir directement sur les réseaux sociaux auxquels vous êtes connectés ou d'intégrer du contenu initialement posté sur ces réseaux sociaux. Ils permettent aussi aux réseaux sociaux d'utiliser vos visites sur nos sites et applications à des fins de personnalisation et de ciblage publicitaire.
Gérer mes choix

Une cyberattaque sur hôpital chaque semaine

Mais en dehors de ces cas les plus graves, le secrétaire d’État au Numérique Cédric O expliquait le 17 février dernier à l’Assemblée nationale qu’une attaque visant un hôpital avait lieu désormais chaque semaine. 

Jean-Sylvain Chavanne, responsable de la sécurité informatique du CHU de Brest et Erik Boucher de Crèvecœur, ingénieur expert à la Cnil.
Jean-Sylvain Chavanne, responsable de la sécurité informatique du CHU de Brest et Erik Boucher de Crèvecœur, ingénieur expert à la Cnil. Crédits : Maxime Tellier - Radio France

Or, cette réalité n’est pas prise en compte par tous les acteurs de la filière santé, estime Jean-Sylvain Chavanne : “Nous avons clairement identifié une faiblesse chez certains sous-traitants, qui n’ont pas les compétences et les connaissances suffisantes en matière de cybersécurité. Il y a donc une responsabilité des donneurs d’ordre et des institutions qui font appel à des prestataires pour exiger un minimum de bonne pratique avant de leur donner accès à des données de santé”.

Les deux exemples récents de fuite massive de données l’ont illustré : en février, près de 500 000 noms de patients sont dérobés à des laboratoires d’analyses médicales et en août, 700 000 résultats de tests Covid subissent le même sort. Dans le premier cas, la faille serait due à l’utilisation d’un logiciel obsolète dont la mise à jour n’était plus assurée par son concepteur et dans le second, d’une application utilisée par les pharmaciens sans que celle-ci n’ait été autorisée par le ministère de la Santé. Ce logiciel, très pratique pour saisir les résultats de tests, comportait des failles béantes en matière de cybersécurité...

Cédric Voisin est responsable de la sécurité informatique de Doctolib et il partage ce constat : “Il y a aujourd’hui un fossé dans l’écosystème de la santé entre les personnes au fait des risques cyber et celles qui n’en sont pas du tout conscientes”. Il pointe un problème de formation et de culture informatiques mais aussi d’infrastructures : “L’écosystème numérique de santé est vieillissant en France, il n’y a pas eu de gros travaux de rénovation des systèmes d’information des CHU et des risques existent à cause de l’obsolescence et du manque de mise à jour”

De son côté, Doctolib affirme faire tout ce qu’il faut pour garantir le secret médical des données qui transitent par son site : “Nous n’avons pas accès au contenu des données, qui sont chiffrées et uniquement lisibles par les patients et les praticiens”, explique Cédric Voisin, à la tête d’un département sécurité récemment étoffé et qui compte 17 personnes à temps plein. Doctolib est aujourd’hui le numéro un de la prise de rendez-vous médical en France avec 60 millions de patients et 270 000 professionnels de santé (France et Allemagne cumulés d’après des chiffres de juillet 2021). 

Toutefois, l'entreprise fait elle aussi l'objet de critiques pour avoir transmis le contenu des recherches d'une partie de ses utilisateurs allemands en 2021 : des données fournies à Facebook et à l'entreprise de e-marketing Outbrain. En 2020, les données de plus de 6 000 rendez-vous médicaux avaient également été interceptées mais la faille a rapidement été corrigée, assurait Doctolib, qui précisait que cet accès frauduleux ne concernait pas doctolib.fr mais avait été possible via un logiciel tiers. Enfin, Doctolib fait appel aux services d'Amazon Web Services (AWS) pour héberger ses données : un partenariat risqué selon certains car le droit américain permet aux autorités états-uniennes de demander l'accès à toute donnée hébergée par une société basée sur son sol. En mars 2021, des associations avaient déposé une requête en référé liberté devant le Conseil d'État pour dénoncer le partenariat entre le ministère de la Santé et Doctolib sur la campagne de vaccination, requête finalement rejetée par le Conseil ; Doctolib garantissant que les clefs de déchiffrement des données étaient stockés en France chez un hébergeur français.

Ménager la chèvre et le chou : accessibilité et sécurité

Pour les responsables de sécurité des systèmes d’information (les RSSI), la tâche est ardue : “Il faut concilier les besoins des professionnels, qui demandent des systèmes informatiques accessibles et simples à utiliser mais sans faire de concessions sur la sécurité”, résume Jean-Sylvain Chavanne, qui travaille sur le CHU de Brest mais aussi sur le GHT (Groupement hospitalier de territoire) de Bretagne occidentale. Or, pour être opérationnels, certains systèmes doivent être ouverts sur l’extérieur et donc connectés à internet : “Le logiciel qui gère le dossier patient par exemple ou celui de la biologie, qui a besoin de communiquer avec les laboratoires de biologie en ville”.

Et la numérisation croissante des services de santé ajoute sans cesse de nouveaux maillons à un système de plus en plus interconnecté : “Chaque nouvel acteur représente un risque en plus”, poursuit Jean-Sylvain Chavanne, “et en cybersécurité, c’est le maillon le plus faible qui détermine le niveau de sécurité de l’ensemble du réseau”.

Devant ce constat, des mesures ont déjà été annoncées pour améliorer la protection des hôpitaux et des autres maillons. Le 18 février, Emmanuel Macron a présenté un plan national cyber de 1 milliard d’euros qui prévoit notamment une mise à niveau des hôpitaux. Via des financements du plan de relance, l’ANSSI est notamment chargée d’auditer les établissements : 135 Groupements hospitaliers français ont ainsi été intégrés à la liste des “Opérateurs de service essentiels” (OSE), un classement qui implique des règles de sécurité informatique plus strictes et la contrainte d’appliquer aux systèmes d’information les meilleures pratiques de cybersécurité. Par ailleurs, le Ségur de la Santé a prévu une enveloppe de 2 milliards d’euros d’investissements pour accélérer la numérisation des établissements de santé et médico-sociaux, annonçait le ministère de la Santé dans un communiqué du 22 février ; dans ce cadre, 350 millions seront spécifiquement dédiés au renforcement de la cybersécurité de ces structures.

Ces mesures de rattrapage en accompagnent d’autres déjà mises en place, notamment par la CNIL en matière de formation : “Nous avons publié un guide à destination des développeurs pour présenter les bons réflexes en terme de sécurité”, explique Erik Boucher de Crèvecœur, ingénieur expert à la CNIL, spécialiste de la santé. “Pour toucher les entrepreneurs et les startups, nous proposons aussi des séminaires à travers la Station F, un incubateur de jeunes pousses à Paris. On ne peut pas toutes les voir mais je constate que les startups sont de plus en plus nombreuses à venir nous écouter au fil des années. L’idée est vraiment que les entrepreneurs et les développeurs intègrent la sécurité et la protection des données dès la conception de leurs outils, ce qu’on appelle en bon français le ‘security and privacy by design’, un principe inscrit dans le RGPD”.

Le règlement général sur la protection des données (RGPD) est un texte européen entré en vigueur en 2018 et dont le champ d’application comprend aussi les données de santé. La CNIL est notamment chargée de faire appliquer ces recommandations, et peut appliquer des sanctions financières si elle le juge nécessaire ; L’autorité a d’ailleurs ouvert une enquête après la fuite de 700 000 tests Covid révélée en août par Mediapart mais la procédure n’est pas encore terminée. 

Pour les victimes, le risque est important : les groupes criminels disposent en effet de l’identité des patients et de tout un tas de données précieuses : nom, prénom, date de naissance, numéro de sécurité sociale, pathologies éventuelles… Des informations qui permettent ensuite de mener des opérations de hameçonnage ciblées. Le pirate peut forger de faux messages où il se fait passer pour une institution officielle et tente de récupérer les informations de carte bleue de la victime. En menaçant de révéler des informations confidentielles, il peut aussi tenter d’extorquer les personnes… Pour l’instant, les autorités n’ont pas fait part d’attaques d’ampleur ayant exploité ces données volées.

L'équipe
Journaliste
ⓘ Publicité
Radio France ne vous demandera jamais de communiquer vos coordonnées bancaires.

France Culture

est dans l'appli Radio France
Direct, podcasts, fictions

INSTALLER OBTENIR

Newsletter

Découvrez le meilleur de France Culture

S'abonner
À venir dans ... secondes ...par......