Santé et numérique : faire face aux menaces de cyber-attaques

Santé et numérique : faire face aux menaces de cyber-attaques

Par Stéphane Astier et Claire Lefebvre

Depuis plusieurs années, les attaques cyber contre les systèmes informatiques des établissements de santé se multiplient : les hôpitaux ont représenté près de 11% des cyberattaques recensées en France en 2020 et la tendance s’est poursuivie en 2021 avec, entre autres, la cyberattaque de l’AP-HP confirmée le 12 septembre dernier

Pour renforcer la protection de ce secteur particulièrement exposé au risque cyber, notons la création de la cellule d’Accompagnement Cyber sécurité des Structures de Santé (ACSS), renommée « CERT Santé » en avril 2021.

Le secteur sanitaire, une cible privilégiée

L’intérêt des attaquants étant essentiellement lucratif, le secteur de la santé leur est particulièrement attractif pour plusieurs raisons :

  1. Les hôpitaux, les laboratoires, les établissements médico-sociaux, centralisent un très grand nombre de données (données de santé et de contact des patients, etc.) ;

  2. L’accès à ces données et le bon fonctionnement du système informatique de ces acteurs sont essentiels à leurs missions. Si l’accès au système informatique et aux données est paralysé, c’est l’ensemble de l’établissement qui se retrouve en grande difficulté pour assurer sa mission et les conséquences peuvent être très lourdes pour les patients et le système de santé en général ;

  3. Les systèmes informatiques de santé, sont souvent mal ou insuffisamment protégés: dès lors que ce secteur manque déjà de moyens pour remplir ses missions premières de soin ou d’accompagnement, les systèmes informatiques et la cybersécurité de ces établissements pâtissent d’un manque de fonds et de protection.

La réglementation applicable à la cybersécurité du secteur de la santé

Un certain nombre de règles de sécurité applicables à la protection des données à caractère personnel traitées dans le domaine de la santé doit être pris en compte. Avec l’ordonnance du 12 mai 2021, ces mesures de sécurité ont connu un nouveau renforcement.

La réglementation applicable à la protection des données de santé

Les données de santé sont : 

1) des données à caractère personnel soumises à la réglementation applicable en matière de protection des données (en particulier le règlement 2016/679 sur la protection des données (le « RGPD »)) et

2) une catégorie particulière de données au sens de l’article 9 du RGPD, c’est-à-dire des données dont le traitement n’est autorisé que sur certains motifs (dont font, naturellement, partie les missions de soins des établissements de santé).

En tant que responsable de traitement des données de santé, les acteurs de santé sont tenus de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque de violation des données, c’est-à-dire toutes les mesures nécessaires pour empêcher la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé aux données personnelles.

Ces mesures doivent notamment garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de traitement des données (article 32 du RGPD).

La CNIL a ainsi édité plusieurs référentiels propres au secteur de la santé pour guider ce secteur spécifique dans le respect de la réglementation applicable : un référentiel pour la gestion des traitements courants des cabinets médicaux et paramédicaux et deux guides concernant la conservation des données (dans le domaine de la recherche ou hors recherche) [1], non contraignants ou encore un rappel sur les formalités à mettre en œuvre pour les traitements de données personnelles dans le cadre de la santé.

En effet, les données de santé étant particulièrement sensibles, elles sont souvent susceptibles de donner lieu à la réalisation d’analyse d’impact au sens de l’article 35 du RGPD.

De plus, d’autres données collectées dans le cadre des soins sont soumises à des régimes de formalités spécifiques : par exemple, les traitements automatisés dont la finalité est ou devient la recherche ou l’évaluation ou l’analyse des pratiques ou activités de soin ou de prévention doivent faire l’objet d’une autorisation spécifique. L’utilisation du numéro d’inscription au répertoire national des personnes physiques est également encadrée par la voie réglementaire.

Au regard des enjeux de sécurité de ces données, les contrôles de la CNIL n’épargnent pas non plus les professionnels de santé et en décembre 2020, deux médecins libérés ont ainsi écopé d’une amende administrative pour avoir insuffisamment protégé leurs données et ne pas avoir notifié la violation de données en résultant.

La réglementation applicable aux Opérateurs de Services Essentiels (OSE) et aux Opérateurs d’Importance Vitale (OIV)

La loi n° 2018-133 du 26 février 2018 et ses décrets d’application, transposant la directive européenne dite « Network and Information Security » (NIS), obligent les « opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services » à respecter un certain nombre de règles de sécurité nécessaires à la protection des réseaux, afin, notamment de garantir, la gouvernance, la protection et la défense des réseaux et systèmes d’information ainsi que d’assurer la résilience de leurs activité.

Cela se traduit par exemple par l’établissement d’une liste de leurs réseaux et systèmes d’information ou encore la soumission aux contrôles de l’ANSSI.

En outre, ces OSE doivent notifier à l’ANSSI (Agence nationale de sécurité des systèmes d’information) tous les incidents affectant leurs réseaux et systèmes d’information qui impactent ou sont susceptibles d’impacter la continuité de leurs services. A ce titre, chaque OSE doit désigner une personne contact en charge de le représenter auprès de l’ANSSI.

Les établissements de soins de santé, y compris les hôpitaux et cliniques privées, sont des OSE en vertu du décret 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et fournisseurs de services numériques, et sont donc soumis à ces différentes obligations.

Le secteur de la santé est également visé comme l’une des activités réputées stratégiques et difficilement substituables pour la nation ; des acteurs de ce domaine peuvent donc également être classés comme des Opérateurs d’Importance Vitale (OIV), dont la liste est classée secret relevant de la défense nationale.

Les OIV se voient aussi imposer des mesures relatives à la sécurité de leurs activités, y compris sur le plan cyber (Articles L. 1332-1 et suivants du Code de la défense).

L’hébergement des données de santé

L’hébergement des données de santé recueillies à l’occasion d’activités de prévention, diagnostic, soin ou suivi social est lui aussi soumis au respect de conditions, dont le respect se matérialise par l’obtention d’un agrément en vertu de l’article L. 1111-8 du Code de la santé publique.

Ainsi, seuls les acteurs certifiés « HDS » peuvent stocker des données. Cette certification nécessite le respect de certains normes et exigences et la prestation d’hébergement doit faire l’objet d’un contrat comportant un certain nombre de mentions obligatoires.

L’ordonnance du 12 mai 2021

Depuis 2019, les annonces du gouvernement pour renforcer la cybersécurité dans les hôpitaux se sont intensifiées : lancement d’un plan cybersécurité en juin 2019, promesses d’investissements massifs dans la cybersécurité lors du Ségur de la santé, qui s’est tenu entre mai et juillet 2020, etc.

L’ordonnance n° 2021-581 du 12 mai 2021 relative à l'identification électronique des utilisateurs de services numériques en santé et des bénéficiaires de l'assurance maladie s’inscrit notamment dans ce contexte.

Elle insère dans le code de la santé publique des dispositions relatives aux services numériques en santé, c’est-à-dire « les systèmes d'information ou les services ou outils numériques mis en œuvre par des personnes physiques ou morales de droit public ou de droit privé, y compris les organismes d'assurance maladie, proposés par voie électronique, qui concourent à des activités de prévention, de diagnostic, de soin ou de suivi médical ou médico-social, ou à des interventions nécessaires à la coordination de plusieurs de ces activités ».

Ces dispositions viennent augmenter le niveau de garantie concernant l’identification électronique des utilisateurs professionnels, les modalités d’accès des usagers et prévoient la mise en œuvre de référentiels d’interopérabilité des systèmes.

Réagir en cas de cyberattaques : des acteurs spécifiques à contacter

En application des textes cités précédemment, lorsque des acteurs du secteur de la santé font face à des attaques cyber, leurs obligations de notification sont plus importantes que pour des acteurs d’autres secteurs. Cela s’explique par la nature sensible des données potentiellement concernées mais aussi par les conséquences potentielles de l’incident (perte de confidentialité, perte d’intégrité, perte de disponibilité).

Par conséquent, en cas de cyber-attaques, les acteurs du secteur sanitaire pourront avoir à notifier :

  1. La CNIL : en cas de violation de données à caractère personnel, la CNIL doit être notifiée dans les meilleurs délais et, au plus tard 72 heures après avoir eu connaissance de la violation de données, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques (article 33 du RGPD) ;

  2. Les personnes concernées par la violation de leurs données personnelles : lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernés (article 34 du RGPD) ;

  3. L’Agence Régionale de Santé et l’Agence du Numérique en Santé : en vertu de l’article L. 1111-8-2 du Code de la santé publique, « les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l'agence régionale de santé les incidents graves de sécurité des systèmes d'information ».

Ces incidents « graves » sont notamment ceux ayant des conséquences potentielles ou avérés sur la sécurité des soins ; la confidentialité ou l’intégrité des soins, ou ceux portant atteintes au fonctionnement normal de l’établissement ou du service. Le signalement est réalisé sur un portail national et est transmis à ces deux acteurs.

Depuis 2017, la stratégie de sécurité numérique en santé s’appuie sur la cellule d’accompagnement cyber sécurité des structures de santé, rebaptisée le CERT santé en 2021, une cellule dédiée de l’Agence du Numérique en Santé.

Le CERT intervient pour :

  • aider les établissements à répondre aux incidents de sécurité des systèmes d’information (enregistrement et analyse des signalements, alerte des autorités compétentes et assistance pour répondre aux incidents) ;
  • assurer une veille permanente sur l’actualité de la sécurité des SI et sur les menaces propres au secteur de la santé ;
  • procéder à des audits
  1. L’ANSSI : en application de l’article 7 de la loi n° 2018-133 du 26 février 2018, lorsque l’établissement concerné est un OSE. Les établissements de santé classés comme OIV en vertu de l’article L. 1332-1 du Code de la défense (liste établie par décret tenus secrets) sont tenus également de transmettre « les informations relatives aux incidents affectant la sécurité ou le fonctionnement de leurs systèmes d'information d'importance vitale» à l’ANSSI en application de l’article R. 1332-41-10 du Code de la défense.

***

Dans le cadre de leur transition digitale, les acteurs de la santé et du secteur médico-social doivent impérativement tenir compte du risque cyber. Cette prise en compte, pour être efficace, suppose à la fois une gestion technique (mobilisation de la DSI et du RSSI) mais également un pilotage juridique (Direction Juridique et du DPO).

Plusieurs objectifs devront être fixé :

  • Prévenir efficacement les menaces (contractualisation des relations avec les sous-traitants, rédaction de procédures et chartes, etc.) ;

  • Démontrer le respect de la réglementation applicable (RGPD, législation spécifique au secteur de la santé et/ou aux OSE/OIV) ; et

  • Réagir aux attaques lorsque celles-ci ont lieu tant d’un point de vue technique (ex. PCA/PRA) que d’un point de vue juridique (activation de l’assurance, notifications, information des personnes, communication de crise, gestion des responsabilités des prestataires etc.)

Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Contactez nous ici.  

 

 

-

 

[1] Référentiel relatif aux traitements des données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux ; référentiel « Les durées de conservation » (Recherches dans le domaine de la santé et Traitements dans le domaine de la santé (hors recherche))

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin