[ANALYSE] Le coût moyen de l’impact cyber sur un établissement de soins peut être estimé à environ 8 000 euros par lit, le coût humain restant le plus fort, ce qui corrobore avec la nécessité d’avoir les bonnes compétences et en nombre suffisant au niveau des directions techniques et informatiques.Depuis le mars 2020 (début de la pandémie de Covid-19), le secteur de la santé dans son ensemble, de l’industriel au patient, n’a cessé de réaliser combien la technologie n’était non pas un renfort à la pratique de la médecine mais un maillon indissociable de la chaîne des praticiens, du biologiste au médecin en passant par la pharmacopée et l’équipementier. En face, le patient découvre combien sa donnée de santé peut changer sa liberté de mouvement, son indépendance et son libre arbitre via le buzz des applications StopCovid et TousAntiCovid ou encore Doctolib, devenu le fédérateur national de la relation patient-praticien dans le cadre de la pandémie au point de devenir un sous-traitant malgré lui d’une fonction régalienne mal anticipée par l’État. Démonstration faite du rôle vital que portent la technologie et les systèmes de données, le Ségur de la Santé n’aura pourtant pas imposé dès 2020 une obligation de sécurité sur les programmes traitant la donnée du patient.Ce sujet arrive en 2022 et 2023 avec des règlements imposant des audits vérifiés et depuis 2020 oblige à certaines règles d’hébergement (HDS) ou de sous-traitance limitées. Mais cette prise de conscience portée par l’Agence du numérique en santé (ANS) et le ministère en charge de la Santé, avec le soutien de la Cnil, ne concerne que les systèmes futurs et non passés.
La donnée à un prix, sa sûreté aussi
Afin de mieux comprendre les enjeux du marché en plein essor de la cybercriminalité en santé, H&TI décrypte le sujet en 5 parties : • la réglementation au secours de la donnée :> le législateur s’empare du sujet technique en définissant des nouveaux critères de sûreté ;> une prise de conscience en partie liée à la pandémie et à la crise hospitalière ;> constat fait que la donnée d’un patient a de la valeur, pouvant aller jusqu’à 2 dollars pour une donnée complète et 1 dollar pour une donnée anonymisée, le secteur se devait d’agir. Action première : réglementer pour imposer les fournisseurs à améliorer la résilience des systèmes mais dans une certaine limite, la sécurité by design n’ayant pas été rendue obligatoire ;• la donnée à un prix, sa sûreté aussi :> les « datavors » de la santé sont prêts à payer le prix fort pour obtenir des bases à jours, bien remplies et facilement exploitables ;> une « guerre » sur la marché de la donnée de santé entre groupes pharma, assureurs, analystes, politiques et éditeurs ;• le vol de donnée, premier risque à traiter :> problème : il existe des milliers de systèmes ayant plus de 10 ans d’âge, donc très exposés au risque cyber ;> il existe quelques bons acteurs en France mais les solutions américaines et israéliennes restent incontournables ;• déterminer quoi et comment protéger son système de donnée, une responsabilité désormais inévitable :> l’initiateur du traitement de la donnée doit prendre une part de responsabilité ;> le coût de l’impact cyber estimé à environ 8 000 euros par lit ;• la cybercriminalité en bonne santé :> les hackers savent qu’il est moins risqué de voler la donnée de santé plutôt que d’attaquer un établissement de soins via un ransomware (rançongiciels) ;> la menace n’a jamais été aussi pesante et elle ne va pas cesser de croître ;> l’investissement dans l’innovation s’accélère sans accompagner les systèmes empiriques, qui restent vulnérables et toujours en place.📌 Cette analyse a été rédigée par Frans Imbert-Vier, président d’UBCOM. Expert en cybersécurité, il rejoint l’équipe de contributeurs H&TI pour une série d’articles (analyses) centrés sur la cybersécurité en santé.