Cyber et systèmes d’information de santé : le cas du Service de santé des armées
Comme tout système d’information connecté, les systèmes d’information de santé sont nativement exposés au risque cyber. Les objectifs des métiers de la santé, les conditions d’exercice et, de façon générale, les pratiques qui en découlent accroissent encore ce risque.
Des facteurs structurels favorisent la vulnérabilité intrinsèque des systèmes d’information de santé. À la fois culturels, sociétaux, économiques et techniques, ils se conjuguent et se renforcent. Il s’agit d’abord de la dissémination d’établissements, regroupés ou pas dans des structures juridiques complexes, dotés d’une autonomie financière permettant la liberté des choix d’investissement. Il s’agit ensuite d’une informatique ancienne, autonome, qui passe par une grande hétérogénéité des produits, éditeurs et technologies de générations différentes qui engendrent des coûts de maintenance élevés. Ces coûts absorbent une part significative des budgets des DSI, diminuant d’autant les capacités d’investissement. Le troisième facteur aggravant est culturel : les systèmes d’information sont perçus exclusivement au travers des fonctionnalités métier inhérentes à la mise en œuvre des dispositifs biomédicaux et sont utilisés au travers d’une multiplicité d’objets connectés par des utilisateurs, professionnels de santé qui, notamment dans le public, sont habitués à faire des miracles avec peu de moyens et utilisent volontiers des outils gratuits, qui ne sont pas toujours à l’état de l’art en matière de sécurité. Au regard du serment d’Hippocrate, un risque SSI disséminé pèsera toujours moins que le risque souvent vital qui justifie la présence du patient dans l’établissement de santé… Il s’agit enfin des échanges intenses entre établissements de santé, du fait de la mobilité des patients et des partenariats multiples qui contribuent à optimiser l’offre de soins sur le territoire au profit des populations. L’interopérabilité est organisée essentiellement « par le haut », au travers des contenus, des référentiels et des formats de données, d’où la surface d’attaque offerte et les risques de propagation qui sont élevés. On peut mentionner également les politiques des industriels fournisseurs de matériels biomédicaux et de systèmes d’information de santé, souvent issus de multinationales qui ne dépendent pas d’un marché particulier, qui ne font pas évoluer leurs matériels avec la réactivité qui permettrait l’application rigoureuse des mises à jour de sécurité ; les normes techniques sont des standards de fait, permettant l’interopérabilité nécessaire aux métiers, sans pour autant protéger des risques inhérents à toute interopérabilité ; les établissements conservent des systèmes d’exploitation et briques obsolètes, générant difficultés de maintenance et maintien de failles identifiées. Certes, la régulation s’impose petit à petit, s’appuyant sur la certification obligatoire des établissements, dont la dimension SI, la formation et la fourniture d’outils (référentiels) permettent une résorption significative de certains des facteurs de risque ci-dessus, au cours des dernières années.
Néanmoins, au risque cybersystémique, qui concerne tout système d’information connecté, s’ajoute une combinaison de facteurs de vulnérabilité liés aux caractéristiques du secteur de la santé.
REPÈRES
Le rapport 2018 de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) inventorie cinq familles de menaces cyber : l’espionnage, les attaques indirectes, les opérations de déstabilisation et d’influence, le minage des machines par des générateurs de monnaie cryptographique et les fraudes en ligne. Le secteur de la santé cumule ces risques et constitue une cible privilégiée. En France comme partout, les cyberattaques menées contre les établissements de santé ne cessent d’augmenter. Le site de cyberveille de l’ASIP (Agence des systèmes d’information partagés en santé, devenue en décembre 2019 Agence du numérique en santé), ou portail d’accompagnement cybersécurité des structures de santé, répertorie les attaques cybersanté (https://www.cyberveille-sante.gouv.fr/cyberveille-sante).
Sa page d’accueil ne laisse aucun doute : en ce début janvier 2020, plusieurs attaques d’ampleur sont signalées en France, en Allemagne, au Canada, etc.
La révolution de la e‑santé et le risque induit
Le secteur de la santé est par ailleurs le théâtre de la révolution de la e‑santé. Le champ paraît immense : recherche clinique, épidémiologie, recherche fondamentale, aides au diagnostic, télémédecine, etc. Cette évolution se conjugue avec la nouvelle mission de l’hôpital, lieu de vie de seniors de plus en plus nombreux, plus ou moins autonomes, contraignant à un tournant numérique qui s’exprimera au travers de toutes ses disciplines : IA, robotique, partage de connaissance, analyse de sentiment, etc., déployant la notion d’hôpital connecté, plus vulnérable que jamais aux attaques. Porteur de la promesse de la télémédecine (téléconsultation, téléexpertise, télésurveillance médicale, téléassistance et régulation médicale), surfant sur l’innovation et la multiplication des objets connectés, le numérique est supposé apporter la réponse à tous les problèmes structurels du secteur, à la raréfaction des médecins et aux déserts médicaux. Toutefois, cette révolution de la e‑santé s’inscrit dans un socle d’infrastructures et de systèmes qui n’est pas uniformément robuste, induisant des failles et des problèmes de performances. Les professionnels de santé jonglent avec des systèmes d’information discontinus et hétérogènes, où des dispositifs datant du Moyen Âge de l’informatique en termes de conception et d’ergonomie coexistent avec les équipements numériques les plus récents.
“Un risque SSI disséminé pèsera toujours moins
que le risque souvent vital.”
L’avènement de la donnée et la prise de conscience des vulnérabilités à l’occasion du RGPD
C’est dans ce paysage que s’inscrit la prise de conscience de la valeur de la donnée de santé, comme objet juridique porteur de libertés fondamentales, comme outil de santé permettant la complétude des parcours patient individuels et, sur le plan collectif, comme matière première d’étude. Des collections de données toujours plus complètes et détaillées permettent des études de plus en plus approfondies et précises. Les données de santé constituent donc un butin potentiel d’intérêt majeur, hautement symbolique, mais aussi de valeur intrinsèque élevée de nature à mobiliser les pirates et hackers. Elles peuvent être volées, mais aussi rançonnées. Les modalités des cyberattaques sont de plus en plus sophistiquées, mais les vieilles méthodes (phishing puis introduction de code malveillant en misant sur un clic naïf) restent efficaces. S’il n’est pas spécifique au secteur de la santé, l’adoption du RGPD et le cadre juridique connexe qu’il a donné l’occasion de revisiter ont suscité une prise de conscience de la responsabilité des organisations dans la protection efficace de leur patrimoine informationnel, notamment des données personnelles qu’elles détiennent. La définition de la donnée de santé désormais en vigueur invite à réfléchir aux notions et pratiques au fil du cycle de vie de la donnée. Avec le RGPD ont été réhabilitées les mesures de sécurité des systèmes d’information de base. Les expertises et audits auxquels leur mise en conformité a donné lieu ont appelé l’attention sur les architectures : bureautique, authentification des personnes, chiffrement des disques durs et chiffrement en ligne, utilisation des outils dédiés (messagerie sécurisée de santé, promue par l’ASIP Santé), architectures sécurisées par des pare-feux correctement paramétrés, serveurs de rebond pour sécuriser les besoins d’échange inhérents aux collaborations externes aux organisations (autres établissements, praticiens indépendants…), avec des acteurs qui ne relèvent pas de leur zone de confiance.
“Les vieilles méthodes (phishing) restent efficaces…”
La dualité Santé-Défense dans les systèmes d’information de santé du Service de santé des armées
Pleinement ancré au sein du ministère des Armées tout en constituant un opérateur de santé publique, le Service de santé des armées (SSA) partage les préoccupations en matière de sécurité de ses pairs. L’enjeu est double : il doit se protéger en qualité de structure de santé, en lien avec le secteur de la santé, protéger l’actif stratégique que constitue la donnée de santé de défense, et surtout ne pas constituer le talon d’Achille des réseaux de défense. Cette dualité constitue, sinon un facteur aggravant du risque en lui-même, au moins une difficulté dans la nature et la mise en œuvre des solutions qu’il porte, au sein du ministère des Armées. Si les niveaux de réponse sont nombreux, il est permis de souligner l’intérêt de la dimension architectures, pour la défense périmétrique qui se surajoute aux actions de défense dans la profondeur. S’il n’est pas possible de décrire les architectures et process qui permettent de correspondre aux contraintes cumulées et aux objectifs contradictoires du monde de la santé et de celui de la défense, il est possible d’évoquer les lignes directrices qui visent à sécuriser, au profit du SSA, la ressource unique que constituent les données, dans l’intérêt des patients, des enjeux de défense et des praticiens militaires, au service de la France. Ainsi, le SSA, dont le métier santé est tributaire au quotidien d’une ouverture maîtrisée, a‑t-il depuis le début des années 2000 mis en place des empilages de zones de confiance et de sas qui permettent les échanges d’information nécessaires avec la santé civile, dans le cadre des normes en vigueur au sein du monde défense qui s’articule avec la généralisation des outils d’échange (messagerie sécurisée de santé) développés par l’ASIP Santé.
La gouvernance des SI, levier majeur contre le risque cyber
La transformation des systèmes d’information métier du SSA a débuté par le remplacement du système d’information de la médecine des forces. Ainsi, fin 2019 est déployé – dans les délais et budget – le SI Axone, premier volet du programme « CMA numérique », fruit d’une collaboration exemplaire entre la direction de la médecine des forces (DMF) et la maîtrise d’œuvre confiée à la direction des systèmes d’information et du numérique du SSA (DSIN). Axone bénéficie pleinement de l’écosystème sécurité des réseaux défense puisqu’il est exploité sur une plate-forme certifiée « Hébergement des données de santé » (HDS), exploitée par la DIRISI, l’opérateur interne d’infrastructures de la défense, et distribué à ses utilisateurs, sur tous les terrains, au travers du réseau interne du ministère des Armées. Le déploiement d’Axone démontre que la mise en place d’un système d’information adapté aux besoins des professionnels de santé et à leurs pratiques métier est pleinement compatible avec une approche sécurité rigoureuse, y compris dans le contexte des réseaux de défense. La condition de la réussite est un dialogue approfondi, à chaque étape de la conception, des spécifications, de la réalisation, des recettes et de l’intégration dans l’écosystème SIC, entre les professionnels de santé, les informaticiens et les experts de la sécurité, qui s’attachent pour chaque exigence à trouver une réponse pleinement en phase avec tous les objectifs.
Ainsi, Axone peut-il être vu comme la première brique qui permettra la mise en place d’un dossier patient militaire unifié. La perspective de l’enrichissement des dossiers permettant des traitements novateurs, dans le respect des réglementations, par intelligence artificielle ou calcul haute performance, dans un cadre d’étude et de recherche ou dans la perspective d’une optimisation des soins, est désormais réaliste. La reconstitution, de façon aussi exhaustive que possible, du parcours de santé et de soins du patient militaire permettra au Service de santé des armées d’assumer dans les meilleures conditions sa mission, en matière de santé et soutien sanitaire des militaires. Les risques sont ceux de tout projet SI d’ampleur : complexité de l’écosystème, SSI, capacitaire. Ils sont maîtrisables à condition de ne pas être sous-estimés. Les freins culturels et psychologiques, la résistance au changement, sont présents dans les organisations qui se sentent en danger. Fort de sa population jeune, d’un niveau universitaire élevé, qui assume totalement la dualité santé défense de sa mission, le Service de santé des armées est bien armé pour faire face à la révolution de la e‑santé dans le cadre de l’Ambition numérique du ministère, au service des armées et du monde combattant.
Axone : un système d’information métier porteur d’innovations organisationnelles et techniques
L’application Axone, premier volet du programme « CMA numérique », vise à utiliser les opportunités technologiques et numériques pour optimiser les pratiques et les modes de fonctionnement dans le cadre de la transformation des centres médicaux des armées (CMA) de nouvelle génération, issus du modèle SSA 2020. Elle repose sur la mise en œuvre d’un système d’information cible modernisé et d’une infrastructure technique adaptée. On aura ainsi un dossier médico-militaire dématérialisé, qui a vocation à recueillir l’ensemble des événements de santé connus survenant tout au long de la vie des personnes, quel que soit le mode initial de recueil de cette information ; une évolution des matériels utilisés tout au long de ces parcours, y compris les objets connectés ; une infrastructure technique, des réseaux et des modalités d’hébergement des serveurs adaptées ; un pilotage, une analyse et un suivi de l’activité médico-militaire facilités, sur la base d’un décisionnel rénové, à destination des professionnels
en antenne, des CMA NG, de la direction de la médecine des forces,
de la direction centrale et des établissements ; une interopérabilité accrue avec les systèmes d’information connexes. Ce sera la garantie d’échanges sécurisés d’informations et de données de santé avec l’environnement du ministère des Armées et avec l’environnement
de la santé publique, afin de permettre la continuité des parcours
de soins des militaires et ayants droit du ministère des Armées.