Avec la croissance de la digitalisation du secteur sanitaire, le piratage, le vol et la falsification des données numériques sont des menaces réelles que doivent anticiper les hébergeurs de données de santé. Quelle est l’ampleur des menaces qui pèsent sur la sécurité des données ultra-sensibles dans le domaine de la santé ? Cet article vous en parle et vous informe aussi sur les réformes de lois relatives à la modernisation du HDS au niveau européen et en France.
Les données de santé, une proie facile pour les hackers
Le secteur de la santé est devenu l’une des cibles adorées par les cybercriminels. Par exemple, en juin 2014, plus d’un million de dossiers ont été piratés sur les serveurs d’une compagnie américaine d’assurance maladie. D’après les chiffres présentés par l’agence américaine Websense, les cas de piratage des systèmes informatiques des centres hospitaliers auraient augmenté de 600% ces dernières années. La menace plane également sur le territoire français. Les exemples ne manquent pas. Selon les rapports de l’ASIP Santé (Agence des systèmes d’information partagés en santé), plus de 478 cas de piratages ont été enregistrés en France entre octobre 2017 et mai 2019.
Si les pirates informatiques se penchent davantage sur les données de santé personnelles, c’est notamment en raison de la grande valeur de ces informations. Ils peuvent s’en servir à diverses fins : chantage, monétisation, espionnage…
Dans le cas du chantage, les données des patients sont volées puis restituées contre une rançon. Par exemple, en mars 2015, des centaines de dossiers médicaux et 40 000 identifiants ont été soutirés à un laboratoire de biologie médicale par un groupe de hackers dénommé Rex Mundi. Le groupe a ensuite exigé une rançon de 20 000 euros pour ne pas divulguer des données sur internet.
Les données médicales ont également une valeur monétaire très élevée sur le dark web. C’est d’ailleurs pour cela que les pirates revendent les informations dérobées sur le marché noir sans laisser beaucoup de traces.
Dans d’autres cas, avec les informations en leur possession, ils peuvent se faire passer pour des médecins afin d’escroquer les compagnies d’assurance maladie ainsi que les patients.
Ces exemples prouvent une chose : les cybercriminels se désintéressent progressivement des réseaux informatiques trop complexes pour se tourner vers les moins complexes, dont ceux des établissements du secteur médical. En effet, bien souvent, les systèmes informatiques dans l’univers de la santé sont peu protégés. De plus, avec de plus en plus de personnel qui peuvent accéder à distance aux données, les risques ne sont que plus importants.
Quelles sont les mesures de sécurité que l’on peut alors prendre pour protéger un HDS (Hébergement de Données de Santé) ?
Le RGPD et la protection des systèmes HDS
Face aux menaces qui planent sur les données dématérialisées, plusieurs mesures ont été prises pour renforcer la sécurité numérique et protéger les informations personnelles. Parmi ces mesures de sécurité figure le RGPD (Règlement Général sur la Protection des Données). Il a été instauré dans les pays membres de l’UE et concerne tous les services d’hébergement et de traitement de données à caractère personnel. Ce texte de loi permet de faire face aux nouvelles réalités du numérique. Il vise à assurer la sécurité et la confidentialité des données personnelles à travers :
- l’instauration d’obligations générales pour les hébergeurs,
- le renforcement des exigences de sécurité applicables aux hébergeurs,
- l’analyse des impacts des incidents de sécurité sur la vie privée.
Le RGPD définit et précise des mesures de sécurité applicables à l’HDS (Hébergement de Données de Santé). Il vient renforcer l’application de la norme ISO27018 relative à la protection des données personnelles dans le secteur de la santé.
HDS : agrément ou certification ?
Le RGPD prévoit à l’article 9-4 que les États concernés peuvent faire des modifications sur les règles qui concernent le traitement des données génétiques, biométriques ou concernant la santé. Ainsi, chaque pays membre peut mettre en œuvre des spécificités nationales pour mieux garantir la sécurité et la disponibilité des données numériques à caractère personnel.
Grâce à cette marge de manœuvre, un cadre réglementaire unique a été établi en France pour encadrer et renforcer la protection de l’hébergement des données de santé personnelles, sur le plan national. Cette réglementation a été établie par la loi 2002-303 du 4 mars 2002 relative aux droits des malades. Ainsi, pour être légale, toute activité d’hébergement des données de santé personnelles est subordonnée à un agrément que délivre le Ministère de la Santé.
Mais, grâce à ordonnance n° 2017-27 du 12 janvier 2017, la procédure d’agrément est remplacée par une nouvelle procédure de certification. Ainsi, toute organisation exerçant l’activité d’hébergement de données de santé doit disposer d’un certificat délivré par l’autorité compétente après avis de la CNIL (Commission nationale de l’informatique et des libertés). Par ailleurs, les hébergeurs de données de santé à caractère personnel devront impérativement remplir les conditions définies à l’article L.1111-8 du code de la santé publique.
Cette nouvelle ordonnance concerne principalement trois grandes catégories de services d’hébergement :
- l’hébergement de données de santé sur support papier,
- l’hébergement de données de santé sur support numérique dans le cadre d’un archivage électronique,
- l’hébergement de données de santé sur support numérique (en dehors de l’archivage électronique).
La loi du 12 janvier 2017 vise à accroître la fiabilité du contrôle des exigences légales relatives à l’hébergement de données de santé. En outre, elle a pour objectif d’inscrire la démarche de certification dans une procédure approuvée dans le monde industriel (notamment la certification ISO 27001).
NetExplorer, pour héberger vos données en toute sécurité
Pour offrir des services de qualité à nos clients et garantir la protection des données de leurs patients et du personnel de santé, NetExplorer possède la certification HDS. Présente dans le domaine du Cloud Computing depuis plus de 10 ans, NetExplorer offre une protection maximale pour l’hébergement de données de santé avec un système de sécurité en évolution continue. Vous pouvez créer un espace « archives » sur notre plateforme pour stocker et protéger vos données de santé dans un Cloud privé entièrement cloisonné. De plus, notre écosystème est pensé pour être flexible, favoriser le travail collaboratif et vous permettre de gérer les droits d’accès à vos documents de manière poussée.
L’hébergement des données de santé doit être réalisé dans un cadre informatique très sécurisé. Pour protéger vos données numériques des hackers grâce à des mesures de protection fiables, n’hésitez donc pas à en confier l’hébergement à NetExplorer, leader français du cloud privé sécurisé.