Jusqu'ici le risque de la cybercriminalité était la rupture du secret médical. Risque évoqué fréquemment dans les nombreuses réunions d’informations provoquée par les attaques récentes mais en fait très théorique. La valeur marchande de cette information est très faible : qui va l’acheter ? Seule une grosse compagnie d’assurance pourrait y gagner quelque chose, mais le risque en terme de sanction pénale et de perte d’image parait trop important pour qu’AXA ou MMA s’y risque. Une sérologie HIV ou un dosage de marqueurs tumoraux vaut infiniment moins qu’un numéro de carte bleue complet.
Tout le secteur hospitalier connait le risque réel que fait courir l'informatique: le non accès à l'information pourtant disponible et qui a des conséquences fâcheuses voire graves tous les jours. L'esprit malin pourrait aussi évoquer la quantité colossale d'information inutiles, uniquement motivées par la «qualité» ou la médecine défensive et dont la forêt cache l'arbre essentiel, mais ce n'est pas mon propos.
Il est «facile» de protéger l'information au niveau utilisateur : la base étant une politique de mots de passe robuste à durée de vie très limitée, éventuellement par des systèmes à double vérification comme par exemple l’AP-HP l'exige pour les accès extérieurs. Mais si elle est à peine stricte, cette politique de sécurité amènera nécessairement au blocage d'accès tout à fait légitimes, voire urgent et catastrophiques sur le plan du traitement d'un patient. Elle n'est donc pas possible et même pas souhaitable : il faut qu'on puisse accéder facilement au dossier patient au moins à l’intérieur de l'établissement.
Sécurité absolue ?
J'entendais récemment un «expert en sécurité informatique» dire que LA bonne technique de gestion des mots de passe était de les changer souvent et de les noter (à la main) sur un papier qu'on saurait retrouver facilement. Pour un hacker extérieur le papier manuscrit me parait effectivement une barrière infranchissable, même si elle ne fait pas rêver en matière de technologie (on évitera de le laisser devant sa webcam). Technique largement utilisée dans les hôpitaux où le personnel « tourne » beaucoup.
Si l'hôpital est autant une cible, c'est que l'exercice de sécurisation y est beaucoup plus difficile qu’ailleurs. Associer sécurité absolue et disponibilité absolue de l'information sont deux notions antagonistes. Un PC relié à rien et sans port usb ou autre sera 100% protégé et 95% inutile: les 5% restants pouvant utilement être consacrés à la lecture d’examens extérieurs
On peut s'interroger sur le «matériel obsolète» : un pentium de 1995 (gravure 350 nm) sous Linux Ubuntu sera beaucoup plus sécurisé qu'un CoreI9 (14nm) sous Windows 10; le matériel obsolète dont on parle habituellement est windows 7 que Microsoft ne met plus à jour et qui est pourtant toujours utilisé, en particulier dans les hôpitaux. Microsoft conseille très fortement à ses utilisateurs de faire la mise à jour «pour des raisons de sécurité» : pour des raisons de sécurité uniquement bien entendu.
Vous souhaitez vous aussi commenter l'actualité de votre profession dans le « Quotidien du Médecin » ? Adressez vos contributions à jean.paillard@lequotidiendumedecin.fr .
Exergue : Si l'hôpital est autant une cible, c'est que l'exercice de sécurisation y est beaucoup plus difficile qu’ailleurs.
Il est parfois utile de prendre de la hauteur avant de parler des médecins généralistes
La coûteuse organisation de la santé paralyse les soins
Régulation de l’installation : une fausse bonne idée
Aptitude physique