La santé progresse, malgré les obstacles
Gestion des risques liés à la sécurité informatique du secteur de la santé
Avec des informations circulant dans l’ensemble de leurs organisations et des patients qui dépendent des appareils connectés pour répondre à leurs besoins en matière de soins de santé, les DSI sont confrontés à une nouvelle vague de problèmes relatifs à la protection des données, qui apparaissent à mesure que les technologies médicales connectées évoluent.
“La protection des données et des équipements de l’hôpital est une préoccupation constante”, déclare David Higginson, responsable des systèmes d’information de l’hôpital pour enfants de Phoenix. “J’y réfléchis souvent, et il n’y a pas une année sans laquelle de nouvelles menaces apparaissent.”
La valeur des données de santé
La quantité croissante d’appareils connectés dans le secteur de la santé a permis de mettre en place de nouvelles méthodes innovantes pour administrer des soins : les appareils médicaux compatibles avec les mobiles peuvent suivre un patient à l’hôpital ou à domicile, et un appareil connecté peut également être implanté dans la peau ou dans le cœur. Les hôpitaux constituent une cible de choix pour les cybercriminels puisque des informations médicales personnelles peuvent valoir des centaines ou des milliers de dollars sur le marché noir1. En l’espace de quelques années, le secteur de la santé est devenu la principale cible des cyberattaques dans le monde, avec des atteintes à la protection des données presque quotidiennes2. Les menaces se perfectionnent également. Parmi toutes les cyberattaques, les plus destructrices peuvent renverser des systèmes entiers, ce qui nuit aux dossiers patient et paralyse les activités des hôpitaux. En 2017, le rançongiciel connu sous le nom de WannaCry s’est propagé dans le monde entier en quelques heures et a causé plus de 4 milliards de dollars de dégâts3. Les cliniciens se sont vus contraints d’utiliser un stylo et du papier pour consigner les données cliniques, d’essayer d’administrer des soins médicaux sans accès aux dossiers patient et d’utiliser leurs téléphones mobiles et tablettes personnels. Dans certains cas, les hôpitaux ont dû rediriger les patients.
Appareils médicaux : la nouvelle limite
La protection des informations électroniques est l’un des rôles principaux du DSI. Aussitôt qu’une nouvelle menace de sécurité apparaît, sa tâche est d’évaluer et d’analyser le risque qu’elle représente pour son organisation afin d’éviter que les informations patient ne soient menacées. La croissance continue des systèmes de santé est un défi de taille : il faut assurer la protection du système et des données qu’il contient. Avec l’intégration en croissance rapide, l’interconnexion d’appareils médicaux disparates et les systèmes dans lesquels des données médicales sont de plus en plus échangées, les menaces de sécurité se multiplient. Une nouvelle limite en matière de sécurité concerne les appareils médicaux connectés tels que les défibrillateurs cardiaques ou les pompes à insuline. Les hôpitaux et les organisations du secteur de la santé du même ordre disposent de plus en plus d’appareils médicaux4 qui présentent plus de fonctions d’automatisation et collectent, analysent et conservent des quantités de données de santé croissantes. “Ce qui, à mon avis, est le plus préoccupant, ce sont les appareils ou les équipements médicaux. Par le passé, nous étions très focalisés sur nos réseaux, nos serveurs et nos ordinateurs. On accordait peu d’importance à l’informatique des équipements médicaux, ou à leur connectivité réseau” déclare M. Higginson.
Appareils et systèmes d’épreuve d’effort
Une meilleure coordination entre les fournisseurs et les fabricants afin de gérer les problèmes de sécurité est un aspect central nécessaire pour répondre aux nouvelles menaces, en particulier en ce qui concerne la sécurité informatique des appareils médicaux. Des organisations telles que l’HIMSS organisent des groupes de travail sur la sécurité, en mettant l’accent sur les meilleures pratiques, réponses et responsabilités, ainsi que le cadre juridique et réglementaire dans lequel ces problèmes doivent être résolus. À l’hôpital pour enfants de Phoenix, des contrôles de sécurité réguliers et des simulations de cyberattaques sont effectués sur les équipements médicaux afin de tester la robustesse des systèmes et des appareils, et d’identifier les potentielles failles de leur réseau. “Nous devons conserver une longueur d’avance,” déclare Vinay Vaidya, directeur de l’informatique médicale à l’hôpital pour enfants de Phoenix ; “nous reproduisons des intrusions, des exercices, nous simulons des cyberattaques afin d’identifier les failles de notre système et nous voulons conserver une longueur d’avance sur les criminels afin de protéger la santé de nos enfants.” Pour les responsables informatiques, il est essentiel de sans cesse évaluer l’exposition de l’établissement aux risques liés à la sécurité informatique. Les réglementations de la FDA concernant la sécurité informatique sont destinées à aider les fabricants d’appareils médicaux à gérer les risques liés à la sécurité informatique et demandent aux fabricants de créer une protection intégrée pour tous leurs appareils, à tous les niveaux5. Les hôpitaux ont besoin d’une garantie en ce qui concerne la sécurité des appareils médicaux et la protection des données qui y sont collectées. Ainsi, les partenaires technologiques doivent s’engager à mettre en place des plans de sécurité rigoureux et complets qui assurent la protection des données patient et des appareils connectés contre les cyberattaques.
Partager cette page avec un collègue
1 Forbes, ‘Your Electronic Medical Records Could Be Worth $100 to Hackers’ 2 HIPAA, Breach News 3 Reuters, ‘More Disruptions feared from Cyber Attack’ 4 Deloitte 5 Norton, ‘The Risks of Connected Healthcare Devices’
On accordait peu d’importance à l’informatique des équipements médicaux, ou à leur connectivité réseau”
David Higginson
Responsable des systèmes d’information de l’hôpital pour enfants de Phoenix
Répondre aux défis
majeurs en matière de
solutions d’informatique médicale
Cinq conseils pour gérer les risques liés à la sécurité informatique du secteur de la santé et protéger les données de santé
Discutons-en
Quels sont vos principaux défis en matière de solutions informatiques ? Qu’il s’agisse de l’interopérabilité des systèmes au sein de votre établissement hospitalier ou d’une plus grande harmonisation des soins, nous travaillons à vos côtés pour comprendre en détail votre infrastructure et vos opérations, et fournir des solutions qui vous aident à transformer votre système de santé. Pour commencer, contactez-nous à l’aide du formulaire ci-dessous.
