Cyber et systèmes d’information de santé

Cyber et systèmes d’information de santé : le cas du Service de santé des armées

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Sylvie POUSSINES

Comme tout sys­tème d’information connec­té, les sys­tèmes d’information de san­té sont nati­ve­ment expo­sés au risque cyber. Les objec­tifs des métiers de la san­té, les condi­tions d’exercice et, de façon géné­rale, les pra­tiques qui en découlent accroissent encore ce risque.

Des fac­teurs struc­tu­rels favo­risent la vul­né­ra­bi­li­té intrin­sèque des sys­tèmes d’information de san­té. À la fois cultu­rels, socié­taux, éco­no­miques et tech­niques, ils se conjuguent et se ren­forcent. Il s’agit d’abord de la dis­sé­mi­na­tion d’établissements, regrou­pés ou pas dans des struc­tures juri­diques com­plexes, dotés d’une auto­no­mie finan­cière per­met­tant la liber­té des choix d’investissement. Il s’agit ensuite d’une infor­ma­tique ancienne, auto­nome, qui passe par une grande hété­ro­gé­néi­té des pro­duits, édi­teurs et tech­no­lo­gies de géné­ra­tions dif­fé­rentes qui engendrent des coûts de main­te­nance éle­vés. Ces coûts absorbent une part signi­fi­ca­tive des bud­gets des DSI, dimi­nuant d’autant les capa­ci­tés d’investissement. Le troi­sième fac­teur aggra­vant est cultu­rel : les sys­tèmes d’information sont per­çus exclu­si­ve­ment au tra­vers des fonc­tion­na­li­tés métier inhé­rentes à la mise en œuvre des dis­po­si­tifs bio­mé­di­caux et sont uti­li­sés au tra­vers d’une mul­ti­pli­ci­té d’objets connec­tés par des uti­li­sa­teurs, pro­fes­sion­nels de san­té qui, notam­ment dans le public, sont habi­tués à faire des miracles avec peu de moyens et uti­lisent volon­tiers des outils gra­tuits, qui ne sont pas tou­jours à l’état de l’art en matière de sécu­ri­té. Au regard du ser­ment d’Hippocrate, un risque SSI dis­sé­mi­né pèse­ra tou­jours moins que le risque sou­vent vital qui jus­ti­fie la pré­sence du patient dans l’établissement de san­té… Il s’agit enfin des échanges intenses entre éta­blis­se­ments de san­té, du fait de la mobi­li­té des patients et des par­te­na­riats mul­tiples qui contri­buent à opti­mi­ser l’offre de soins sur le ter­ri­toire au pro­fit des popu­la­tions. L’interopérabilité est orga­ni­sée essen­tiel­le­ment « par le haut », au tra­vers des conte­nus, des réfé­ren­tiels et des for­mats de don­nées, d’où la sur­face d’attaque offerte et les risques de pro­pa­ga­tion qui sont éle­vés. On peut men­tion­ner éga­le­ment les poli­tiques des indus­triels four­nis­seurs de maté­riels bio­mé­di­caux et de sys­tèmes d’information de san­té, sou­vent issus de mul­ti­na­tio­nales qui ne dépendent pas d’un mar­ché par­ti­cu­lier, qui ne font pas évo­luer leurs maté­riels avec la réac­ti­vi­té qui per­met­trait l’application rigou­reuse des mises à jour de sécu­ri­té ; les normes tech­niques sont des stan­dards de fait, per­met­tant l’interopérabilité néces­saire aux métiers, sans pour autant pro­té­ger des risques inhé­rents à toute inter­opé­ra­bi­li­té ; les éta­blis­se­ments conservent des sys­tèmes d’exploitation et briques obso­lètes, géné­rant dif­fi­cul­tés de main­te­nance et main­tien de failles iden­ti­fiées. Certes, la régu­la­tion s’impose petit à petit, s’appuyant sur la cer­ti­fi­ca­tion obli­ga­toire des éta­blis­se­ments, dont la dimen­sion SI, la for­ma­tion et la four­ni­ture d’outils (réfé­rentiels) per­mettent une résorp­tion signi­fi­ca­tive de cer­tains des fac­teurs de risque ci-des­sus, au cours des der­nières années.

Néan­moins, au risque cyber­sys­té­mique, qui concerne tout sys­tème d’information connec­té, s’ajoute une com­bi­nai­son de fac­teurs de vul­né­ra­bi­li­té liés aux carac­té­ris­tiques du sec­teur de la santé.


REPÈRES

Le rap­port 2018 de l’ANSSI (Agence natio­nale de la sécu­ri­té des sys­tèmes d’information) inven­to­rie cinq familles de menaces cyber : l’espionnage, les attaques indi­rectes, les opé­ra­tions de désta­bi­li­sa­tion et d’influence, le minage des machines par des géné­ra­teurs de mon­naie cryp­to­gra­phique et les fraudes en ligne. Le sec­teur de la san­té cumule ces risques et consti­tue une cible pri­vi­lé­giée. En France comme par­tout, les cybe­rat­taques menées contre les éta­blis­se­ments de san­té ne cessent d’augmenter. Le site de cyber­veille de l’ASIP (Agence des sys­tèmes d’information par­ta­gés en san­té, deve­nue en décembre 2019 Agence du numé­rique en san­té), ou por­tail d’accompagnement cyber­sé­cu­ri­té des struc­tures de san­té, réper­to­rie les attaques cyber­san­té (https://www.cyberveille-sante.gouv.fr/cyberveille-sante).
Sa page d’accueil ne laisse aucun doute : en ce début jan­vier 2020, plu­sieurs attaques d’ampleur sont signa­lées en France, en Alle­magne, au Cana­da, etc. 


La révolution de la e‑santé et le risque induit

Le sec­teur de la san­té est par ailleurs le théâtre de la révo­lu­tion de la e‑santé. Le champ paraît immense : recherche cli­nique, épi­dé­mio­lo­gie, recherche fon­da­men­tale, aides au diag­nos­tic, télé­mé­de­cine, etc. Cette évo­lu­tion se conjugue avec la nou­velle mis­sion de l’hôpital, lieu de vie de seniors de plus en plus nom­breux, plus ou moins auto­nomes, contrai­gnant à un tour­nant numé­rique qui s’exprimera au tra­vers de toutes ses dis­ci­plines : IA, robo­tique, par­tage de connais­sance, ana­lyse de sen­ti­ment, etc., déployant la notion d’hôpital connec­té, plus vul­né­rable que jamais aux attaques. Por­teur de la pro­messe de la télé­mé­de­cine (télé­con­sul­ta­tion, télé­ex­per­tise, télé­sur­veillance médi­cale, téléas­sis­tance et régu­la­tion médi­cale), sur­fant sur l’innovation et la mul­ti­pli­ca­tion des objets connec­tés, le numé­rique est sup­po­sé appor­ter la réponse à tous les pro­blèmes struc­tu­rels du sec­teur, à la raré­fac­tion des méde­cins et aux déserts médi­caux. Tou­te­fois, cette révo­lu­tion de la e‑santé s’inscrit dans un socle d’infrastructures et de sys­tèmes qui n’est pas uni­for­mé­ment robuste, indui­sant des failles et des pro­blèmes de per­for­mances. Les pro­fes­sion­nels de san­té jonglent avec des sys­tèmes d’information dis­con­ti­nus et hété­ro­gènes, où des dis­po­si­tifs datant du Moyen Âge de l’informatique en termes de concep­tion et d’ergonomie coexistent avec les équi­pe­ments numé­riques les plus récents.

“Un risque SSI disséminé pèsera toujours moins
que le risque souvent vital.”

L’avènement de la donnée et la prise de conscience des vulnérabilités à l’occasion du RGPD

C’est dans ce pay­sage que s’inscrit la prise de conscience de la valeur de la don­née de san­té, comme objet juri­dique por­teur de liber­tés fon­da­men­tales, comme outil de san­té per­met­tant la com­plé­tude des par­cours patient indi­vi­duels et, sur le plan col­lec­tif, comme matière pre­mière d’étude. Des col­lec­tions de don­nées tou­jours plus com­plètes et détaillées per­mettent des études de plus en plus appro­fon­dies et pré­cises. Les don­nées de san­té consti­tuent donc un butin poten­tiel d’intérêt majeur, hau­te­ment sym­bo­lique, mais aus­si de valeur intrin­sèque éle­vée de nature à mobi­li­ser les pirates et hackers. Elles peuvent être volées, mais aus­si ran­çon­nées. Les moda­li­tés des cybe­rat­taques sont de plus en plus sophis­ti­quées, mais les vieilles méthodes (phi­shing puis intro­duc­tion de code mal­veillant en misant sur un clic naïf) res­tent effi­caces. S’il n’est pas spé­ci­fique au sec­teur de la san­té, l’adoption du RGPD et le cadre juri­dique connexe qu’il a don­né l’occasion de revi­si­ter ont sus­ci­té une prise de conscience de la res­pon­sa­bi­li­té des orga­ni­sa­tions dans la pro­tec­tion effi­cace de leur patri­moine infor­ma­tion­nel, notam­ment des don­nées per­son­nelles qu’elles détiennent. La défi­ni­tion de la don­née de san­té désor­mais en vigueur invite à réflé­chir aux notions et pra­tiques au fil du cycle de vie de la don­née. Avec le RGPD ont été réha­bi­li­tées les mesures de sécu­ri­té des sys­tèmes d’information de base. Les exper­tises et audits aux­quels leur mise en confor­mi­té a don­né lieu ont appe­lé l’attention sur les archi­tec­tures : bureau­tique, authen­ti­fi­ca­tion des per­sonnes, chif­fre­ment des disques durs et chif­fre­ment en ligne, uti­li­sa­tion des outils dédiés (mes­sa­ge­rie sécu­ri­sée de san­té, pro­mue par l’ASIP San­té), archi­tec­tures sécu­ri­sées par des pare-feux cor­rec­te­ment para­mé­trés, ser­veurs de rebond pour sécu­ri­ser les besoins d’échange inhé­rents aux col­la­bo­ra­tions externes aux orga­ni­sa­tions (autres éta­blis­se­ments, pra­ti­ciens indé­pen­dants…), avec des acteurs qui ne relèvent pas de leur zone de confiance.

“Les vieilles méthodes (phishing) restent efficaces…”

La dualité Santé-Défense dans les systèmes d’information de santé du Service de santé des armées

Plei­ne­ment ancré au sein du minis­tère des Armées tout en consti­tuant un opé­ra­teur de san­té publique, le Ser­vice de san­té des armées (SSA) par­tage les pré­oc­cu­pa­tions en matière de sécu­ri­té de ses pairs. L’enjeu est double : il doit se pro­té­ger en qua­li­té de struc­ture de san­té, en lien avec le sec­teur de la san­té, pro­té­ger l’actif stra­té­gique que consti­tue la don­née de san­té de défense, et sur­tout ne pas consti­tuer le talon d’Achille des réseaux de défense. Cette dua­li­té consti­tue, sinon un fac­teur aggra­vant du risque en lui-même, au moins une dif­fi­cul­té dans la nature et la mise en œuvre des solu­tions qu’il porte, au sein du minis­tère des Armées. Si les niveaux de réponse sont nom­breux, il est per­mis de sou­li­gner l’intérêt de la dimen­sion archi­tec­tures, pour la défense péri­mé­trique qui se sur­ajoute aux actions de défense dans la pro­fon­deur. S’il n’est pas pos­sible de décrire les archi­tec­tures et pro­cess qui per­mettent de cor­res­pondre aux contraintes cumu­lées et aux objec­tifs contra­dic­toires du monde de la san­té et de celui de la défense, il est pos­sible d’évoquer les lignes direc­trices qui visent à sécu­ri­ser, au pro­fit du SSA, la res­source unique que consti­tuent les don­nées, dans l’intérêt des patients, des enjeux de défense et des pra­ti­ciens mili­taires, au ser­vice de la France. Ain­si, le SSA, dont le métier san­té est tri­bu­taire au quo­ti­dien d’une ouver­ture maî­tri­sée, a‑t-il depuis le début des années 2000 mis en place des empi­lages de zones de confiance et de sas qui per­mettent les échanges d’information néces­saires avec la san­té civile, dans le cadre des normes en vigueur au sein du monde défense qui s’articule avec la géné­ra­li­sa­tion des outils d’échange (mes­sa­ge­rie sécu­ri­sée de san­té) déve­lop­pés par l’ASIP Santé. 

La gouvernance des SI, levier majeur contre le risque cyber

La trans­for­ma­tion des sys­tèmes d’information métier du SSA a débu­té par le rem­pla­ce­ment du sys­tème d’information de la méde­cine des forces. Ain­si, fin 2019 est déployé – dans les délais et bud­get – le SI Axone, pre­mier volet du pro­gramme « CMA numé­rique », fruit d’une col­la­bo­ra­tion exem­plaire entre la direc­tion de la méde­cine des forces (DMF) et la maî­trise d’œuvre confiée à la direc­tion des sys­tèmes d’information et du numé­rique du SSA (DSIN). Axone béné­fi­cie plei­ne­ment de l’écosystème sécu­ri­té des réseaux défense puisqu’il est exploi­té sur une plate-forme cer­ti­fiée « Héber­ge­ment des don­nées de san­té » (HDS), exploi­tée par la DIRISI, l’opérateur interne d’infrastructures de la défense, et dis­tri­bué à ses uti­li­sa­teurs, sur tous les ter­rains, au tra­vers du réseau interne du minis­tère des Armées. Le déploie­ment d’Axone démontre que la mise en place d’un sys­tème d’information adap­té aux besoins des pro­fes­sion­nels de san­té et à leurs pra­tiques métier est plei­ne­ment com­pa­tible avec une approche sécu­ri­té rigou­reuse, y com­pris dans le contexte des réseaux de défense. La condi­tion de la réus­site est un dia­logue appro­fon­di, à chaque étape de la concep­tion, des spé­ci­fi­ca­tions, de la réa­li­sa­tion, des recettes et de l’intégration dans l’écosystème SIC, entre les pro­fes­sion­nels de san­té, les infor­ma­ti­ciens et les experts de la sécu­ri­té, qui s’attachent pour chaque exi­gence à trou­ver une réponse plei­ne­ment en phase avec tous les objectifs.

Ain­si, Axone peut-il être vu comme la pre­mière brique qui per­met­tra la mise en place d’un dos­sier patient mili­taire uni­fié. La pers­pec­tive de l’enrichissement des dos­siers per­met­tant des trai­te­ments nova­teurs, dans le res­pect des régle­men­ta­tions, par intel­li­gence arti­fi­cielle ou cal­cul haute per­for­mance, dans un cadre d’étude et de recherche ou dans la pers­pec­tive d’une opti­mi­sa­tion des soins, est désor­mais réa­liste. La recons­ti­tu­tion, de façon aus­si exhaus­tive que pos­sible, du par­cours de san­té et de soins du patient mili­taire per­met­tra au Ser­vice de san­té des armées d’assumer dans les meilleures condi­tions sa mis­sion, en matière de san­té et sou­tien sani­taire des mili­taires. Les risques sont ceux de tout pro­jet SI d’ampleur : com­plexi­té de l’écosystème, SSI, capa­ci­taire. Ils sont maî­tri­sables à condi­tion de ne pas être sous-esti­més. Les freins cultu­rels et psy­cho­lo­giques, la résis­tance au chan­ge­ment, sont pré­sents dans les orga­ni­sa­tions qui se sentent en dan­ger. Fort de sa popu­la­tion jeune, d’un niveau uni­ver­si­taire éle­vé, qui assume tota­le­ment la dua­li­té san­té défense de sa mis­sion, le Ser­vice de san­té des armées est bien armé pour faire face à la révo­lu­tion de la e‑santé dans le cadre de l’Ambition numé­rique du minis­tère, au ser­vice des armées et du monde combattant.


Axone : un système d’information métier porteur d’innovations organisationnelles et techniques

L’application Axone, pre­mier volet du pro­gramme « CMA numé­rique », vise à uti­li­ser les oppor­tu­ni­tés tech­no­lo­giques et numé­riques pour opti­mi­ser les pra­tiques et les modes de fonc­tion­ne­ment dans le cadre de la trans­for­ma­tion des centres médi­caux des armées (CMA) de nou­velle géné­ra­tion, issus du modèle SSA 2020. Elle repose sur la mise en œuvre d’un sys­tème d’information cible moder­ni­sé et d’une infra­struc­ture tech­nique adap­tée. On aura ain­si un dos­sier médi­co-mili­taire déma­té­ria­li­sé, qui a voca­tion à recueillir l’ensemble des évé­ne­ments de san­té connus sur­ve­nant tout au long de la vie des per­sonnes, quel que soit le mode ini­tial de recueil de cette infor­ma­tion ; une évo­lu­tion des maté­riels uti­li­sés tout au long de ces par­cours, y com­pris les objets connec­tés ; une infra­struc­ture tech­nique, des réseaux et des moda­li­tés d’hébergement des ser­veurs adap­tées ; un pilo­tage, une ana­lyse et un sui­vi de l’activité médi­co-mili­taire faci­li­tés, sur la base d’un déci­sion­nel réno­vé, à des­ti­na­tion des professionnels
en antenne, des CMA NG, de la direc­tion de la méde­cine des forces,
de la direc­tion cen­trale et des éta­blis­se­ments ; une inter­opé­ra­bi­li­té accrue avec les sys­tèmes d’information connexes. Ce sera la garan­tie d’échanges sécu­ri­sés d’informations et de don­nées de san­té avec l’environnement du minis­tère des Armées et avec l’environnement
de la san­té publique, afin de per­mettre la conti­nui­té des parcours
de soins des mili­taires et ayants droit du minis­tère des Armées.

Poster un commentaire