Santé : quelle approche Française de la Cybersécurité ?

2021 vient à peine de finir, que nous observons continuellement des cyberattaques qui touchent directement les de secteurs clés de la société moderne.

En particulier, celui de la santé. On observe aussi beaucoup de fuite de données de santé dues aux logiciels malveillants et aux actes de cybermalveillance. L’importance de la cybersécurité a toujours es un fait. L’année 2020 l’a assez bien prouvé ainsi que les années précédentes. Mais, ces derniers moments le secteur de la santé semble être l’une des cibles de choix des pirates informatiques. Et cela se comprend nettement.  La situation actuelle a littéralement mis sur la sellette le secteur de la santé et les cybercriminels, comme à leur accoutumée veulent en profiter leur manière.

Cet article va aussi vous intéresser : Fuites de données médicales : vérifier si l’on est concerné par la fuite massive de données de santé

Vu sous cet aspect, nous nous interrogeons alors sur approche françaises de la cybersécurité dans le secteur de la santé.

« La France a pourtant pris en compte la protection des données dès 1978, avec la Loi Informatique et libertés ayant inspiré le Règlement général sur la protection des Données (RGPD), connu pour ses sanctions très dissuasives. De même, la France a largement œuvré en matière de cybersécurité dans le secteur santé, et spécifiquement dans les établissements de santé, ce dont témoignent les nombreux textes et référentiels applicables, la plupart associés à des mécanismes contraignants tels que certification/accréditation obligatoire, et/ou incitations financières. » explique Marguerite Brac de La Perrière, Avocat associé, département Santé numérique au cabinet LERINS & BCW.

Sur cette lancée rappelons les déclarations du ministre de la santé en novembre 2019. Ce dernier avait considéré la sécurité informatique des établissements de santé comme étant une « priorité nationale ». Il profite de cet instant pour interpeller pour les citoyens et les encourager à la vigilance numérique.

De plus, il a été institué depuis le 1er octobre 2017 une obligation pour les établissements de santé, de déclarer tout incident lié à la sécurité informatique à travers un portail qui a été spécialement institué à cet effet. Cette situation était susceptible de l’accompagnement de la part de l’Agence Régionale de la Santé, un démembrement du ministère. Il y a aussi l’obligation de signaler toute violation de données à la Commission nationale de l’Informatique et des libertés, une obligation bien sûr qui ne se limite pas qu’aux établissements de santé cette fois ci.

La disponibilité des informations des patients est importante dans la mise en place d’un quelconque soins ou d’une quelconque prise en charge. Cependant, « cette prise en charge a largement évolué ces dernières années pour les besoins d’un meilleur maillage du territoire et de rationalisation des modes de gestion. » note Marguerite Brac. « En effet, la prise en charge n’est plus assurée au niveau d’un établissement de santé, mais d’un territoire avec, en clef de voûte, un Groupement Hospitalier de Territoire (GHT) pouvant rassembler autour d’un projet médical partagé jusqu’à vingt établissements de santé, lesquels assurent une prise en charge commune et graduée, mise en œuvre au moyen d’un système d’information hospitalier convergent, et notamment d’un dossier patient informatisé (DPI) permettant une prise en charge coordonnée des patients au sein des différents établissements partis au groupement. Ainsi, les informations concernant une personne prise en charge par un établissement public de santé partie à un groupement doivent désormais pouvoir être partagées avec l’ensemble des autres établissements, le GHT étant considéré comme une équipe de soins. » ajoute l’avocate.

« En dehors des GHT, et dans le même sens, la donnée est partagée entre acteurs de santé dans le cadre des parcours de soins coordonnés, articulés autour d’une prise en charge décloisonnée et partagée entre professionnels exerçant dans les secteurs sanitaire, médico-social et social, et ce, via le déploiement et l’usage des services socles tels que le dossier médical partagé (DMP) et les services numériques de coordination. » énonce cette dernière.

Les échanges de données lorsqu’elles sont exécutés dans des contextes en également définis répondant aux critères de sécurité, cela ne pose aucun problème. Cependant cette situation entraînement une plus grande connectivité des établissements de santé. Une situation qui dans une certaine mesure est susceptible de poser problème. En effet, il est clair que les établissements de santé en France ne sont pas suffisamment mature pour appréhender tout ce que tu as fait sans risque.

Accédez maintenant à un nombre illimité de mot de passe :