Entre 2013 et 2020, le volume de données de santé produites au niveau mondial a été multiplié par 15, passant de 153 exabytes à 2 314 exabytes 1. Ainsi, le Big Data en matière de santé devrait passer d’une valeur d’environ 11,5 milliards de dollars en 2016 à 70 milliards de dollars en 20252.
Tribune Progress – Parallèlement les attaques contre les établissements de santé, notamment en France, se multiplient. En février 2021, le secrétaire d’État à la transition numérique révélait l’existence de 27 cyberattaques d’hôpitaux en 2020 et depuis le début de l’année 2021. Soit une attaque par semaine. Le même mois, c’est un fichier comportant les données médicales sensibles de près de 500 000 personnes en France qui circulait sur Internet 3.
Or, protéger les données dans n’importe quel établissement de soins de santé n’est pas une mince affaire. Les prestataires de soins de santé et leurs partenaires doivent trouver un équilibre entre la protection de la vie privée des patients et les prestations de soins efficaces. Le tout en respectant des exigences réglementaires strictes en matière de confidentialité des données.
Les informations de santé protégées (PHI) font partie des données privées les plus sensibles (et pour les cybercriminels, les plus précieuses). Or, les directives pour les prestataires de soins de santé et les autres établissements qui traitent, utilisent ou transmettent des informations sur les patients reposent sur des exigences strictes en matière de protection des données. Ces directives s’accompagnent de sanctions importantes si elles ne sont pas suivies. Bien que ce défi soit largement reconnu, pourquoi la sécurisation de l’intégrité des données sensibles lors des déplacement au sein ou en dehors des établissements de santé reste-t-elle une vulnérabilité souvent négligée ?
Bien sûr, le partage d’informations est une exigence et une fonction fondamentale de tout établissement. Sans cela ce dernier ne pourrait pas fonctionner. Mais lorsque ces informations sont de nature personnelle et clinique, il n’est pas possible de laisser la sécurité au hasard. De la simple pièce jointe à un e-mail aux transferts automatisés machine to machine à grande échelle, les prestataires de soins de santé sont confrontés à un ensemble de risques qu’ils doivent traiter. Avec de lourdes conséquences en cas d’échec. Étant donné que le partage d’informations doit continuer pour que l’établissement puisse fonctionner, il doit être entouré de mesures de sécurité efficaces.
En raison des risques liés à la perte ou à la corruption de données, de nombreux prestataires de soins de santé se tournent vers des partenaires spécialisés qui créent, gèrent et maintiennent un niveau de sécurité adapté à la nature des menaces auxquelles les PHI sont confrontés. Un élément clé de la création d’une stratégie de sécurité PHI viable consiste à déterminer comment les données sont déplacées, que ce soit par des utilisateurs individuels ou dans le cadre d’un processus automatisé. Les meilleures pratiques imposent aux établissements de soins de santé de s’assurer que la technologie est déployée pour chiffrer ces données à la fois au repos et en transit. Ceci quelle que soit la manière dont elles sont réellement transférées. Une solution conforme à la norme FIPS 140-2 qui traite tous les cas d’utilisation de transfert possibles garantit l’intégrité des données sensibles. Tandis qu’une capacité de gestion offre une visibilité vérifiable sur le processus lui-même. De plus, un journal complet de tous les aspects des transferts offre une transparence dans le processus. Quant au contrôle d’erreur complet il réduit également le risque de perte de données ou d’échec de toute une partie d’un processus de transfert.
Mais le déploiement d’une technologie riche et fonctionnelle présente encore des limites, notamment lorsqu’il s’agit de transferts effectués par des utilisateurs. Le déploiement d’une technologie intrusive, peu intuitive ou simplement lourde à utiliser a inévitablement pour conséquence que les utilisateurs la contournent d’une manière ou d’une autre. Cela induit des risques de sécurité spécifiques qu’elle est censée éliminer. Ainsi, en plus d’adopter des solutions technologiques fonctionnellement robustes, efficaces et efficientes, cette technologie doit également être facile à utiliser par les utilisateurs. Elle doit reproduire entièrement, ou aussi étroitement que possible, les processus et les procédures que les utilisateurs connaissent afin que son adoption et son utilisation soient totalement transparentes.
- Stanford Medicine Health Trends Report, « Harnessing the Power of Data in Health », 2017.
- Statista, « Global Healthcare Big Data Market Size in 2016 and a Forecast for 2025 », disponible sur : www.statista.com.
- Ces informations ont été révélées par Zataz et la rubrique de vérification CheckNews du quotidien Libération