Les défis de la protection des données de santé

Les défis de la protection des données de santé dans le domaine de la e-santé

Dans un monde de plus en plus connecté, l'e-santé est en plein essor offrant ainsi de réelles opportunités pour les professionnels de la santé et les patients. Cependant, au cœur de cette révolution numérique se pose une question primordiale : la sécurité des données de santé est-elle suffisamment assurée ?

Franz TRIERWEILER, directeur du Pôle Technologies chez OLAQIN, nous répond en nous éclairant sur la façon dont les équipes Olaqin prennent en considération ces problématiques dans la conception et l'exploitation de leurs solutions.

Quel rôle joue la sécurisation des données dans la e-santé ?

La sécurité des données de santé est d'une importance capitale dans le domaine de la santé numérique. Nous devons, en effet, faire face aux menaces grandissantes auxquelles elles sont confrontées : attaques par des logiciels malveillants, usurpations d'identité et fuites de données de santé. Ces risques sont malheureusement de plus en plus fréquents, comme nous en informent régulièrement les médias.

Les professionnels de santé ont l'obligation de protéger les données des patients contre tout accès non autorisé ou illégal. Il est également essentiel de préserver ces données contre les pertes, les destructions ou les dommages accidentels ou intentionnels. Nous devons garder à l'esprit que certains pirates cherchent également à nuire à la réputation des entreprises qui s'engagent quotidiennement dans leur mission, en détruisant des dispositifs pourtant bien utiles à notre système de santé solidaire !

Quelles sont les mesures spécifiques que les prestataires de santé en France doivent prendre pour en garantir la sécurité ?

En France, la Commission Nationale de l'Informatique et des Libertés (CNIL), veille à ce que les traitements des données de santé respectent les dispositions légales et réglementaires. En Europe, le RGPD (Règlement Général sur la Protection des Données) édicte des règles pour protéger les données personnelles de manière générale, et donc les données de santé. Cependant, les prestataires de services français doivent appliquer des mesures spécifiques, comme l'hébergement de ces données dans des infrastructures certifiées HDS (Hébergement de Données de Santé). Ces obligations sont définies par le code de la santé publique.

Pourquoi la confiance dans la sécurisation des données de sante est-elle essentielle ?

Les données de santé nous concernent tous. Chaque patient, chaque assuré social a le droit de s'inquiéter de ce qui peut arriver à ses données collectées, produites et transformées à des fins administratives ou scientifiques. La numérisation de la santé fait partie des grandes transformations de notre société. Et pour que ces révolutions technologiques soient socialement acceptées, il est essentiel qu'elles inspirent confiance, et surtout qu'elles prouvent qu’elles protègent nos données de santé.

On critique souvent les pays membres de l'UE pour leur prudence et leur volonté de réglementer de manière stricte en imposant des règles de sécurité rigoureuses. En réalité, cette approche peut servir d'accélérateur à l'acceptation sociale des innovations technologiques. La sécurité devient ainsi un catalyseur de l'adoption de nouveaux services numériques.

Les données de santé sont protégées par la réglementation européenne mais qu'en est-il dans les faits ?

En Europe, nous accordons une grande importance à la protection de nos données personnelles, notamment grâce au Règlement Général sur la Protection des Données (RGPD). C'est grâce à ce règlement que les données de santé ont été définies pour la première fois au niveau européen. La collecte et l’utilisation des données de santé étaient cependant déjà réglementées en France avant 2018.

Le RGPD impose aux professionnels de santé la prise de mesures adéquates pour protéger les données de santé contre les accès non autorisés, les pertes, les destructions et les dommages accidentels ou volontaires.

Chez Olaqin, nos clients sont des professionnels de santé. En tant que tels, ils ne collectent que les informations nécessaires et pertinentes pour assurer la prise en charge des patients dans le cadre de leurs activités de prévention, de diagnostic et de soins. La transmission de ces données est également strictement encadrée. Par exemple, notre service de production de feuilles de soins électroniques utilise uniquement les données nécessaires et assure une protection rigoureuse lors du stockage, de la consultation et de la transmission de ces données.

Cette réglementation garantit que de nombreux services de santé en ligne sont naturellement sécurisés, car les acteurs de la santé en France sont sérieux et engagés ! Cependant, il est important de garder à l'esprit que l'utilisateur ou l'exploitant, en tant qu’humain, de ces outils reste le maillon faible de la chaîne de sécurité. Le déploiement et l'utilisation de ces outils doivent donc s'accompagner d'une sensibilisation à la sécurité, aux bonnes pratiques et à la valeur inestimable des données de santé. Pendant la crise de la Covid, on a pu facilement constater des comportements à risque de la part des patients et des professionnels de santé, principalement en raison du manque d'outils numériques adaptés, notamment pour la téléconsultation.

La réalité est que, malgré la réglementation stricte à laquelle les acteurs de l'e-santé se conforment, la sécurité des systèmes ne produira ses effets bénéfiques qu'avec l'éducation et la sensibilisation aux bonnes pratiques.

Donc le facteur humain joue un rôle important dans la sécurité ?

Oui, et c’est le maillon le plus important de la sécurité ! Il doit être pris en compte lors de la conception d’un système, négliger le facteur humain c’est laisser des portes ouvertes à de nombreuses vulnérabilités.

La sécurité ne doit pas être perçue comme une contrainte, mais plutôt comme une composante inclusive. Une approche trop contraignante peut être contre-productive pour les utilisateurs, qui cherchent souvent des moyens de contourner les mesures de sécurité pour gagner du temps.

Prenons un exemple simple. L'authentification en ligne repose encore largement sur la méthode de l’identifiant et du mot de passe, inventée il y a des décennies au début des systèmes informatiques en "time-sharing". Si le mot de passe est suffisamment complexe, changé régulièrement et gardé secret, il reste un moyen sûr d'accéder à un système.

Cependant, de nombreux utilisateurs se font piéger par des techniques de phishing ou prennent le risque de noter leur mot de passe sur un simple "post-it" collé à leur clavier. Est-il raisonnable d'imaginer qu'un simple mot de passe, sans exigence de complexité, puisse garantir l'accès à des données de santé ? Chez Olaqin, la réponse est clairement non !

Par exemple, sur notre service Stellair, nous demandons aux utilisateurs d'utiliser leur carte CPS (Carte Professionnel de santé) en complément du mot de passe statique pour accéder aux données de santé. Ceci est donc une sécurité supplémentaire en ajoutant deuxième moyen d’authentification : la carte CPS détenue par le professionnel et le code PIN que lui seul connaît. L'utilisation de la carte CPS est systématique chez les professionnels de santé. Nous avons simplement adapté ce mécanisme en pensant d'abord à l'utilisateur : entrer un code PIN sur un terminal sécurisé est un geste largement répandu en France depuis l'introduction des paiements par carte bancaire.

Nous sommes conscients des faiblesses humaines et nous mettons en place des garde-fous lorsque cela est possible, en utilisant des méthodes connues et faciles à utiliser. Chez Olaqin, nous sommes de fervents défenseurs de la sécurité par carte à puce, car c'est un moyen sûr et connu de tous ! Nous connaissons tous les cartes CPS et Vitale, elles font partie de notre quotidien, elles inspirent confiance et offrent de véritables services de sécurité.

Cependant, certains comportements doivent être modifiés grâce à la sensibilisation. Par exemple, il est essentiel de ne pas manipuler des données de santé avec des outils qui ne sont pas conçus à cet effet. Pendant la crise de la Covid, des professionnels de santé et patients échangeaient des données médicales via des réseaux sociaux comme WhatsApp (ordonnances ou photos de cartes Vitale pour les téléconsultations). La raison en était simple : un manque de sensibilisation et un manque d’information sur les outils existants. Qui connait l’Espace Numérique de Santé auquel tout assuré social peut se connecter pour échanger de façon sécurisée des informations médicales avec ses médecins ? Peu de personnes, à commencer par les professionnels de santé eux-mêmes !

Il faudra encore du temps pour que les patients et les professionnels de santé adoptent les bons outils. Chaque acteur de la santé numérique a un rôle à jouer en rendant ces outils pratiques et accessibles !

“Nous sécurisons les revenus des professionnels de santé". Avec un slogan comme celui-ci, le défi sécuritaire de vos solutions doit être impressionnant ?

Absolument ! Chez Olaqin, nous sommes fiers de développer nos propres technologies, tout en intégrant également des solutions externes que nous adaptons aux besoins des professionnels de santé.

Nos systèmes génèrent des feuilles de soins électroniques pour sécuriser les revenus des professionnels de santé, en particulier dans le cadre du tiers-payant, ou pour encaisser des paiements par carte bancaire plusieurs jours après la sortie d'un patient de l'hôpital. Nous savons également interagir avec les assurances complémentaires, notamment pour les demandes de prise en charge dans le secteur hospitalier. Ces systèmes n’ont pas le droit à l’erreur. En sécurisant la bonne exécution de ces services, nous protégeons les flux financiers et les revenus de nos clients.

Chez Olaqin, la sécurité est profondément ancrée dans notre culture d'entreprise. Je vais vous expliquer en quelques mots comment cela se matérialise au quotidien.

Nous avons instauré une culture de la sécurité au sein de l'entreprise. Chaque membre du personnel, qu'il s'agisse d'un utilisateur de poste de travail ou d'un ingénieur en développement, est concerné. Il est essentiel de diffuser un état d'esprit axé sur la sécurité à tous les niveaux. Un utilisateur imprudent sur un ordinateur peut mettre en danger les données de l'entreprise, et un développeur qui n'est pas sensibilisé à la sécurité ne contribuera pas activement à l'approche de conception sécurisée ("security by design"), que nous attendons.

Notre approche est proactive, et nous avons des exigences en matière de sécurité à tous les niveaux. De nombreux mécanismes de sécurité ont été conçus par nos développeurs, car les meilleures idées émergent souvent de ceux qui créent les logiciels ! Nous ne faisons pas descendre le « comment » du haut vers le bas. Au contraire, nous encourageons chaque personne à contribuer à la sécurité grâce à une politique globale qui couvre la conception et l'exploitation de nos solutions. Chacun est encouragé à jouer un rôle dans la sécurité.

En plus de notre politique générale de sécurité, nous nous appuyons sur les exigences du Référentiel Général de Sécurité (RGS) et nous consultons les recommandations de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) et de l’ANS (Agence du Numérique en Santé).

Une politique et un ensemble de bonnes pratiques ne sont applicables et comprises que si elles sont expliquées, démontrées, enrichies. En complément de nos politiques de sécurité, notre approche est guidée par notre référent en sécurité, qui conseille, explique et étudie les mécanismes de sécurité, en plus de ses fonctions de lead dev.

Notre approche de la sécurité est inspirée de Vauban. L'idée sous-jacente est de supposer qu'un mécanisme de sécurité finit toujours par s'affaiblir et être contourné. De la même manière que l'architecte français Vauban concevait des fortifications avec des systèmes de défense concentriques, nous intégrons dans nos systèmes des mécanismes complémentaires. Ainsi, si l'un d'entre eux est contourné ou défaillant, un autre vient en renfort pour protéger l'information sensible.

Nous utilisons systématiquement les fonctionnalités de sécurité disponibles sur les équipements que nous utilisons comme plateformes d'exécution pour nos applications. Par exemple, nous exploitons au maximum les fonctionnalités de sécurité des terminaux de paiement sur lesquels nous exécutons nos logiciels de santé.

Nous mettons régulièrement nos mécanismes de sécurité à l'épreuve en les soumettant à des tests d'intrusion ("pentesting"). C'est la seule façon de démontrer et valider l'efficacité de nos mesures de sécurité sur le terrain.

Dans le cadre de notre démarche de certification de nos solutions, nous travaillons en étroite collaboration avec différents organismes pour garantir la pertinence de notre approche de sécurité. Nous soumettons des dossiers détaillés, expliquant en quoi nos mécanismes sont des réponses solides et efficaces aux exigences de sécurité. Cette étape supplémentaire peut sembler contraignante, mais pour nous, c'est un gage de qualité et de sécurité.

Chez Olaqin, nous sommes convaincus que la sécurité ne peut pas être travaillée en solitaire. Nous nous engageons à collaborer avec l'écosystème de la santé pour garantir la meilleure expérience possible à nos utilisateurs.

En 2007, le CNIL a imposé une mesure d'anonymat dans le cadre de la transmission des données, en obligeant qu'elles soient cryptées. Cela présente-t-il des failles ?

Chez Olaqin, nous comprenons l'importance de protéger les données sensibles de nos utilisateurs dans le domaine de la e-santé. Avant de poursuivre, permettez-moi de rectifier un terme incorrect : au lieu de "crypter", on utilise plutôt le terme "chiffrer" des données. Les personnes honnêtes chiffrent et déchiffrent les données, tandis que les pirates tentent de décrypter un contenu qui ne leur est pas destiné.

En 2007, la CNIL a en effet mis en place une mesure d'anonymat pour assurer la confidentialité des données lors de leur transmission en exigeant qu'elles soient chiffrées.

De façon générale, l'anonymisation garantit qu'une personne ne peut pas être identifiée à partir des données, préservant ainsi sa vie privée. La principale difficulté de l‘anonymisation est de pouvoir répondre à des critères de « qualité » tels que l’individualisation, la corrélation et l’inférence. Ces critères sont requis par exemple si les systèmes produisent des données destinées à l’analyse scientifique. Certains champs de données sont alors détruits. Les systèmes développés par Olaqin produisent uniquement des données médico-administratives, Olaqin ne réalise pas de traitements sur les données personnelles des patients et n’exporte pas de données en dehors de l’usage pour lequel le système a été conçu. A titre d’exemple, une solution Olaqin destinée à la production de feuilles de soins électroniques ne communique qu’avec les frontaux de l’Assurance-Maladie ou des assurances complémentaires. La responsabilité que nous avons est de protéger les identifiants de patients et les données lors de leur stockage et lors de leur transport, par des algorithmes de chiffrement et des protocoles de communication sûrs.

Il peut cependant exister des vulnérabilités dans les systèmes de chiffrement. C'est pourquoi nous effectuons régulièrement des des protocoles et des algorithmes. En résumé, comme les menaces évoluent en permanence et que de nouvelles failles peuvent être découvertes, l’efficacité d’un système de sécurité est en constante évolution et doit être régulièrement revu.

Il est impossible de garantir à 100 % qu'un système est sécurisé à un instant précis. Cependant, nous nous engageons à adopter une approche de remise en question continue et à déployer des efforts constants pour améliorer en permanence notre sécurité. Chez Olaqin, c'est notre philosophie quotidienne, un défi que nous relevons avec passion, et nous avons mis en place une organisation adaptée pour y faire face !

Dans une entreprise, la sécurité doit être perçue comme une forme de patrimoine qu’il convient d’entretenir. C’est une charge de fond, un passage obligé.

La veille sécuritaire est donc une tâche essentielle pour nos équipes techniques. Que ce soit pour surveiller les évolutions en matière de cryptographie (comme la vulnérabilité de certains algorithmes qui deviennent faibles) ou pour détecter les failles de sécurité dans les composants logiciels que nous utilisons, nous sommes constamment en alerte pour assurer la meilleure protection possible.

Vos solutions peuvent-elles être utilisées avec des appareils non sécurisés ? Dans l'affirmative, comment gérez-vous la protection des données ?

Non. Nous ne négligeons aucun détail lorsqu'il s'agit de la sécurité de nos systèmes. Nous pensons "système global". Nous veillons à ce que chaque maillon de notre système, chaque composant qui contribue au bon fonctionnement de nos services, soit sécurisé de manière rigoureuse. Nous ne faisons aucun compromis en intégrant des éléments "faibles" dans nos solutions.

Comment est sécurisée la plateforme Stellair ?

Nous avons quelques secrets. Je ne révélerai pas tout ! Je vais surtout vous expliquer quelques grands principes.

Ce qu’il faut avoir en tête c’est que l’utilisateur tient un rôle central. Il a été pris en compte lors de la conception de la solution. Comme je vous l’ai expliqué, nous avons ajouté des mécanismes visibles de l’extérieur tel que l’utilisation de la CPS pour authentifier l’utilisateur en complément du simple identifiant et mot de passe. C’est ce que nous pouvons appeler un mécanisme « visible », destiné à protéger l’accès aux fonctions et données de la solution Stellair.

Notre approche est le « security by design ». Ce qui signifie que nous n’ajoutons pas la sécurité à la fin, nous la pensons dès le début en identifiant ce qui est critique dans le système et ce qu’il faut protéger. En gros, cela s’appelle une analyse des risques à laquelle nous appliquons une politique de gestion des risques qui ont été mis en évidence.

Dans notre politique de gestion des risques, nous mettons tout en place pour anticiper et contenir les risques, en utilisant la plupart du temps plusieurs mécanismes de sécurité pour faire face à un même risque.

Je vais poursuivre avec l’exemple de l’authentification de l’utilisateur, en supposant qu’une personne mal intentionnée se soit introduite dans le système Stellair en contournant par exemple l’authentification. Ici, nous voyons clairement que le premier niveau de fortification de Vauban est tombé. Un deuxième mécanisme va alors entrer en action. On peut imaginer que cette personne malveillante se positionne entre deux machines virtuelles pour tromper l’une d’entre elles et pouvoir récupérer ainsi le flux de données échangées.

Lorsque nous échangeons des données entre plusieurs modules internes à Stellair, nous authentifions systématiquement les deux parties qui s’échangent des données. Tout émetteur de la donnée est authentifié, le récepteur également. La donnée transmise est chiffrée et signée avec des données cryptographiques spécifiques au service. Un intrus dans le système qui voudrait capter de l’information ou la modifier serait ainsi empêché par ces moyens cryptographiques car il ne possède pas les secrets pour se mettre en capacité de tromper l’émetteur et de récupérer les données. Par cette même approche, nous segmentons l’usage des secrets. Ainsi, si un secret cryptographique est volé, son usage sera limité à une fonction précise. Le fait de cloisonner les secrets empêche des usages dérivés de secrets volés.

Nous n’avons rien inventé, ce sont juste des bonnes pratiques qui résultent de notre expérience dans la sécurité.

En complément, nous implantons des mécanismes qui permettent de retracer qui a accédé à une donnée, en cas de fuite de données. C’est un mécanisme dit « d’imputabilité » qui est requis sur tout système de santé. Une fois de plus nous nous conformons à la politique de sécurité du RGS, en plus de nous montrer rigoureux dans l’application des bonnes pratiques.

Nous avons compris que les défis concernant la protection des données de santé sont énormes. Olaqin se donne tous les moyens de les relever avec succès. En quelques mots votre conclusion ?

La sécurité est plus qu’une exigence, c’est un combat de tous les jours. Ce combat est un garant de qualité des solutions Olaqin.