Des données médicales confidentielles en ligne ?

Hier, Actusoins a révélé au public ce que les acteurs du monde de la sécurité informatique constatent malheureusement chaque jour. Des milliers d'enregistrements comportant des informations sur la santé de diverses personnes sont publiés sur Internet par des prestataires mal formés aux questions de la sécurité informatique.

Il existe pourtant des mesures simples à mettre en oeuvre et tout à fait adaptées pour prévenir ces diffusions non souhaitées et non souhaitables. La rédaction d'Actusoins m'a déjà invité à m'exprimer sur ce sujet mais je souhaite apporter quelques compléments d'information.

L'article précise une phrase évoquant un monopole qui est en fait la concaténation de plusieurs idées. L'hébergement de données de santé n'est premièrement pas un monopole mais un ensemble d'entreprises ayant reçu un agrément du ministère de la santé pour héberger des données de santé. Cette phrase évoque ensuite des coûts qui sont la conséquence logique des mesures de sécurité, de qualité et d'encadrement exigées par l'application du code de la santé publique. L'idée que j'ai cherché à exprimer lors de l'interview est que ce référentiel est aujourd'hui inadapté à la multiplication des petits applicatifs utiles au suivi des soins, qui doivent pouvoir être développés, exploités et protégés pour un coût maîtrisé. En attendant, une solution existe déjà : les éditeurs peuvent solliciter les services d'un hébergeur de données de santé et mutualiser tous ces applicatifs au sein d'une infrastructure unique.

Dans le cadre de mes activités chez 9h37, je suis amené à réaliser, de manière quotidienne, des audits de sécurité informatique spécifiques au monde de la santé chez des éditeurs et prestataires informatiques de toutes tailles.

Les structures capables de s'offrir les services d'experts ne sont pas forcément les pires, ni les meilleures, en terme de sécurité. Mais la démarche d'aller chercher une personne ayant déjà travaillé sur le sujet doit être encouragée. Ces acteurs cherchent ainsi à s'informer de manière précise sur les risques et les mesures de sécurité à mettre en oeuvre pour garantir la protection des données qu'ils gèrent. C'est une première étape vers une bonne protection des données.

Mais attention, si l'on peut s'attendre en toute logique à plus de contrôles de la CNIL, de l'ASIP ou des contrôles internes des différents établissements, il ne faut pas perdre de vue l'intérêt et le rôle qu'ont dans le quotidien des soins beaucoup de ces applicatifs développés par des ingénieurs en CDD ou des stagiaires, disparus depuis longtemps de l'établissement ou du service. Il ne faut pas interdire ni freiner le développement de ces petits outils qui souvent permettent de mieux prendre en charge des pathologies particulières. Il faut juste les encadrer et trouver un niveau de sécurité suffisant pour faire en sorte que les informations ne sortent pas de l'établissement et que les services informatiques puissent les surveiller de loin, notamment pour les protéger et en assurer la maintenance au long terme.

Plusieurs techniques peuvent être mises en oeuvre. Le chiffrement des données paraît être la technique la plus logique et la plus appréciée. Mais chiffrer une donnée implique toujours de la déchiffrer pour pouvoir la consulter. Cette donnée doit être restituée pour être consommée ou analysée, par un processus informatique ou un humain. Se pose alors la question de qui peut déchiffrer l'information, question qui reste souvent sans réponse fermée : le patient, le praticien, le collègue du praticien, l'infirmière, le personnel administratif... et bien entendu le médecin responsable des traitements à l'hôpital ! Quand cette liste est ouverte, avant le chiffrement qui implique de donner les moyens de déchiffrer l'information, se pose la question du contrôle d'accès.

Le contrôle d'accès consiste à mettre en place des verrous logiques dans le but d'éviter qu'une personne non concernée par une fiche ou une information ne puisse y accéder. Dans le cas où des informations se retrouvent indexées sur Google, c'est évidemment là, en premier lieu, qu'il faut agir.

La première question à se pose, dans ce type de crise est : comment ces informations ont elles pu se retrouver dans des zones publiques ? Malheureusement, c'est très simple. Quand une personne conçoit une application web, elle le fait souvent sur un ordinateur avec une configuration spécifique. Cette configuration peut être amenée à changer dans le temps, surtout si cet ordinateur, ou plus précisément ce serveur, est géré par une tierce personne. En effet, ces petites applications sont souvent hébergées chez des hébergeurs grand public non agréés. Leurs auteurs ne se rendent pas compte que cela est formellement interdit par le code de la santé publique, qui impose le recours à un hébergeur de données de santé à caractère personnel.

Une mise à jour du serveur web, le dispositif donnant accès aux documents aux personnes naviguant sur le web, peut en effet activer ou désactiver des options qui permettaient jusque là d'interdire la consultation de certains documents. Des solutions pour éviter ces accidents existent, telles que la mise en place de tests automatisés, aussi appelés tests unitaires ou fonctionnels, mais ces bonnes pratiques sont rarement mises en oeuvre. Surtout, elles supposent que ces applicatifs soient maintenus, ce qui est rarement le cas.

Vous l'aurez compris, interdire l'accès à des documents en se reposant sur une option de configuration d'un serveur web est bien insuffisant. Il existe de nombreuses autres méthodes, mais elles sont légèrement plus complexes à mettre en oeuvre. Dans tous les cas, il est intolérable qu'un document contenant des données de santé soit mis à disposition sans authentification préalable. Google ne rentre jamais en enfonçant des portes, si Google est rentré, c'est que les portes étaient restées ouvertes. Et si les portes étaient restées ouvertes, il n'y a aucune raison pour qu'il n'y aie que Google qui soit passé par là ! Je laisse votre imagination prendre la relève.

Bien sûr, l'authentification des utilisateurs est le point le plus important. En France, nous avons la chance et la malchance de disposer d'un système d'authentification par carte à puce généralisé dans le système de santé. Ce système porte le nom de Carte de Praticien de Santé, ou CPS. Mais il n'est pas accessible sur les périphériques mobiles, les tablettes et autres smartphones dont les utilisateurs raffolent, à juste titre. Il impose également qu'un lecteur soit connecté en permanence à l'ordinateur, pour lire cette carte. Ces contraintes, nécessaires d'un point de vue purement sécuritaire, se mettent en travers des concepteurs, pour qui leur utilisation est trop onéreuse, et des utilisateurs, qui cherchent donc à les contourner.

Ce système doit impérativement évoluer dans les plus brefs délais et l'Etat doit continuer à assurer ce rôle de tiers de confiance en fournissant aux éditeurs, aux établissements et à tous les acteurs des moyens sûrs pour authentifier les utilisateurs de tous ces systèmes d'information de santé.