[Tribune] « Sécurité et interopérabilité des données de santé, l’équation insoluble ? »

Publié le 06/09/2023

Article réservé aux abonnés

Par Stéphanie Hervier*. L'accélération du développement du numérique en santé ces dernières années s'accompagne de la croissance des attaques, par rançongiciels notamment. La sécurité et l'interopérabilité font partie des priorités. Cela passera-t-il par les interfaces de programmation d'application (API) ?

Crédit photo : Medaviz

D’après un rapport de l’Agence nationale de la sécurité des systèmes d’information (Anssi), les établissements de santé représentaient 10 % des victimes de rançongiciels en 2022. Les attaquants ciblent principalement les acteurs du soin pour obtenir les précieuses données des patients, qu'ils peuvent revendre sur le darknet ou utiliser pour obtenir une rançon.

Selon un rapport de l’Assemblée nationale, les flux des données de santé numériques sont estimés à 2 314 exaoctets en 2020 (contre 153 en 2013). Face à cette croissance exponentielle et à la digitalisation du système de santé, comment sécuriser des données toujours plus en mouvement ?

La e-santé : une priorité pour l’État depuis 2019

Depuis 2019, la réglementation du numérique en santé favorise le développement de la e-santé selon quatre axes : la prévention, la prise en charge, l’accès à la santé, ainsi que le cadre propice à l’usage et à l’innovation. Légitimé par la crise sanitaire de Covid-19, le numérique en santé a largement été évoqué lors du Ségur de 2020. Ce rendez-vous a permis de débloquer 19 milliards d’euros pour accélérer la transformation du système de soins, dont deux milliards d’euros pour : « généraliser le partage fluide et sécurisé des données de santé entre professionnels et usagers ». Un premier pas vers davantage de sécurisation des données des patients face aux nombreux défis à relever compte tenu de la vulnérabilité des établissements de santé aux menaces cyber.

Le défi commun de la sécurité et de l’interopérabilité

La sécurité est bel et bien la clé de voûte du virage numérique. Les patients sont les principaux utilisateurs des solutions de e-santé et les professionnels de santé les intègrent progressivement dans leur pratique grâce aux services numériques socles, tel que l’Espace numérique de santé. Le dossier médical partagé reste la pierre angulaire, avec 1,7 million de messages envoyés aux patients via MSSanté entre janvier 2022 et janvier 2023 selon Vie publique.

Pour faciliter cette appropriation des usages, la politique nationale prévoit un appareil normatif visant à rassurer les différents acteurs de la santé et à encadrer ce marché particulièrement attractif. Le règlement général sur la protection des données (RGPD), les certifications ISO 27 001 (système de management de la sécurité de l’information) et hébergement des données de santé (HDS), ainsi que le référencement sur les plateformes nationales comme Mon espace santé, apportent autant de garanties pour les usagers - professionnels de santé, établissements, organisations territoriales, patients, etc. - que de contraintes pour les industriels.

L’APIsation, cet interfaçage qui permet de connecter différents logiciels entre eux pour échanger données et services, semble aujourd’hui relever de l’évidence pour optimiser les parcours de soins. Un absolu qui se heurte pourtant à l’exigence de sécurisation des données médicales.

L’APIsation : la solution miracle ?

Protéger des données stockées sur un serveur n’est en aucun point comparable au fait de sécuriser un flux d’informations transitant entre des acteurs aux systèmes d'exploitation différents. Les API doivent aujourd’hui répondre à ce double enjeu visant à agréger les services de santé pour entériner la transformation numérique du secteur.

Qu’elles soient internes (réservées à l’entreprise), partenaires (ouvertes par contractualisation) ou publiques (accessibles à tous), les API ont pour objectif de proposer des services toujours plus performants et ergonomiques, tout en renforçant la sécurité des données. Grâce à ces interfaces, les utilisateurs n’ont, en théorie, plus besoin de communiquer leurs données personnelles à l’ensemble des services numériques de leur parcours de soins.

En pratique, les API doivent recourir au chiffrement des données, contenir des jetons de sécurité, définir une limitation des requêtes pour limiter les attaques ou encore utiliser une « passerelle » assurant l'authentification du trafic et son contrôle. Dans le domaine de la santé, le standard international Fast Healthcare Interoperability Resources (FHIR) conçu pour permettre l’échange de données par voie électronique entre les différents acteurs de l’écosystème n’est pas encore généralisé.

Si l’APIsation peut devenir la réponse au double enjeu de la sécurité et de l'interopérabilité en matière de données de santé, il devient cependant urgent d’inciter l’ensemble des acteurs à opter pour des solutions cryptées et conformes au standard FHIR, pour que la facilité d’usage attendue par les usagers, nécessaire au virage numérique, ne soit pas synonyme de faille (ou de faillite ?) pour le système de santé.

Vous souhaitez, vous aussi, commenter l'actualité de votre profession dans « Le Quotidien du Médecin » ? Adressez vos contributions à aurelie.dureuil@gpsante.fr

*Stéphanie Hervier, directrice générale de Medaviz