Protéger les données médicales par le chiffrement : une stratégie en trois étapes
Idées & initiatives
L’extrême sensibilité des données médicales explique à elle seule l’impératif absolu de confidentialité dont elles jouissent. Pour les patients, l’impact d’une publication sauvage de leur dossier médical peut être dévastateur. Pire : la manipulation de ces données — sur lesquelles les praticiens se basent afin d’établir un diagnostic et proposer des soins — pourrait avoir des conséquences sur la vie des patients concernés, par exemple en conduisant à un diagnostic erroné ou à de mauvais dosages chimiques. On comprend ainsi mieux pourquoi les données médicales doivent demeurer à la fois secrètes et intègres.
Cela implique deux contraintes : que même dérobées, ces données patient restent inexploitables, et que leur accès au sein même des établissements de santé en soit limité au seul « besoin d’en connaître ». C’est le rôle du chiffrement. Mais quand on y regarde de plus près, ces deux exigences peuvent vite venir complexifier les projets !
Le monde médical évolue
Car le monde médical n’échappe pas aux évolutions de la société et vit lui aussi sa transformation numérique. De plus en plus de terminaux électroniques, de tablettes, d’ordinateurs et même d’objets connectés envahissent le quotidien des soignants — dans leur vie professionnelle comme personnelle — et l’information médicale se numérise à grande vitesse.
Aujourd’hui, du point de vue de son système d’information, un centre hospitalier n’a rien à envier à une entreprise privée : il dispose de son centre de données, de ses baies de stockage, de ses applications métier, de ses NAS, de ses terminaux Citrix pour les accès à distance, et même de ses utilisateurs qui oublient leurs mots de passe le matin ! La seule différence, finalement, c’est que dans un hôpital, la perte de confidentialité des données médicales peut avoir des conséquences graves pour les individus concernés.
Le défi du partage
Une autre particularité vient complexifier la protection des données médicales : celles-ci doivent à la fois être très partagées (entre plusieurs médecins, parfois plusieurs services médicaux ou même plusieurs établissements et centres de recherche) tout en restant très contrôlées. À l’inverse, dans une entreprise traditionnelle, les données les plus confidentielles ne sont généralement accessibles qu’à un cercle réduit d’individus. Or, dans la santé, cela n’est pas possible : les données chiffrées les plus sensibles sont potentiellement aussi très partagées pour les besoins du service ou de la recherche médicale ! (Probablement plus, par exemple, que les données comptables ou financières de l’hôpital !)
Le premier défi de la protection des données médicales grâce au chiffrement est donc bien celui de l’accès : il faut résoudre l’équation apparemment contradictoire entre assurer la confidentialité des données médicales tout en étant capable de les partager efficacement !
Sensibiliser avant tout
Et, contrairement à ce que l’on pourrait penser, cela ne commence pas par de la technique, mais par de la sensibilisation ! Car même la meilleure technologie aura du mal à protéger malgré eux ceux ne respectent pas les bonnes pratiques de sécurité.
Il convient ainsi de convaincre le personnel médical d’adopter de bonnes pratiques numériques, telles que de ne pas copier d’informations sur des terminaux personnels ou non contrôlés, de se déconnecter des systèmes après consultation ou de ne pas partager ses identifiants (une pratique hélas courante).
Comprendre et modéliser les autorisations d’accès
L’étape suivante sera plus complexe, mais essentielle : comprendre et modéliser les droits d’accès aux données médicales. C’est un travail d’audit qui permettra de garantir que seules les personnes autorisées sont en mesure d’accéder aux données chiffrées, sans « trous dans la raquette » (des accès trop généreux qui permettraient à des employés non autorisés d’avoir accès aux données médicales).
Pour cela, le circuit patient doit être parfaitement compris : quelles équipes doivent être en mesure d’accéder à quelle donnée médicale à quelle étape de la consultation ? Avec qui les données doivent-elles être partagées, aussi bien au sein de l’établissement qu’à l’extérieur ?
La séparation des rôles
Il sera notamment important de s’assurer que personne ne soit en mesure de tout contrôler sans supervision — y compris l’administrateur de la solution de chiffrement ! Par exemple, pour l’opération cruciale du recouvrement, il peut être décidé que la DSI n’accède qu’aux données chiffrées, tandis que le service médical détient le code PIN de la carte de recouvrement et la Direction la carte elle-même (mais sans le code).
De même, il sera possible, par exemple, de tracer les données échangées dans le cadre d’une collaboration entre un centre hospitalier et une université, à travers la distribution de cartes, de clés et des profils différents.
Et enfin chiffrer !
Et puis, évidemment, il faut chiffrer les données médicales ! Car il n’est pas envisageable de stocker ces données en clair et de ne compter que sur le contrôle d’accès des systèmes qui les hébergent.
Un décret prévoit que seuls les titulaires d’une carte de Professionnel de Santé puissent accéder à ces données. En revanche, il ne s’agit là que de protéger l’accès aux données, et non directement celles-ci.Responsable informatique d’un établissement de santé
Il faut donc aller plus loin : le chiffrement des données vient rendre la protection de ces dernières « autonomes ». Même extraites de leur contexte (dérobées lors d’une cyberattaque, par exemple), elles demeureront inutilisables sans les clés de chiffrement associées.
Les données médicales sont protégées elles-même
Ainsi, au-delà du chiffrement lui-même, toute la difficulté se résume alors à, d’une part, protéger et gérer efficacement ces clés (par des dispositifs dédiés, matériels notamment) et d’autre part à assurer une gestion et un partage des clés entre toutes les entités qui devront avoir accès aux données chiffrées. Et, surtout, le faire de manière suffisamment simple et accessible pour que le travail quotidien n’en souffre pas — car l’on sait que toute contrainte de sécurité sera rapidement contournée.
C’est pourquoi la protection des données médicales doit faire l’objet d’une stratégie globale. Bien sûr, elle associera une forte expertise dans le chiffrement et la mise en œuvre de dispositifs d’authentification forte adaptés aux usages du terrain, à une parfaite compréhension des circuits de la donnée médicale et de ses contraintes. Le tout, au sein d’une solution certifiée et qualifiée afin de garantir un fort niveau de confiance dans la solution et ceux qui la mettront en œuvre.