La sécurisation des données de santé, un enjeu majeur : focus sur l’ULB et son usage d’Oodrive Work

Début décembre 2022, le centre hospitalier de Versailles était victime d’une cyberattaque de grande ampleur qui a laissé le système d’information exsangue. Cette attaque a replacé sur le devant la scène la question de la sécurisation des données de santé, ces informations sensibles étant particulièrement prisées par les cybercriminels qui les revendent sur le Dark Web. De fait, les établissements de santé sont parmi les organisations les plus touchées par le piratage informatique : en 2021, plus de 730 incidents ont été recensés dans le seul secteur de la santé, soit plus du double de l’année précédente (source). Heureusement, des solutions permettent de protéger ces données et d’offrir une sécurité optimale aux patients, portées par des prestataires certifiés HDS, à l’image d’Oodrive Work utilisé par l’Université Libre de Bruxelles.

Les données de santé sont-elles mal protégées en France ?

L’attaque informatique contre les hôpitaux de Versailles est loin d’être une exception. Quelques mois plus tôt, le centre hospitalier de Corbeil-Essonnes subissait une intrusion catastrophique au sein de son système d’information, soldée par le vol de nombreuses données de santé et par une perturbation durable du fonctionnement des établissements associés.

Faut-il en conclure que les données de santé sont mal protégées en France ? S’il est difficile de répondre à cette question, il reste que les établissements hospitaliers hexagonaux manquent de moyens pour lutter contre les attaques cyber, toujours plus agressives et perfectionnées. Au regard des problématiques vécues quotidiennement par l’hôpital public (sous-effectif, baisse des dotations, fermetures de lits…), les questions liées à la cybersécurité et à la souveraineté des données passent trop souvent au second plan.

Un cas d’école : la polémique autour du Health Data Hub

La situation se complique encore dans un contexte de partage des données de santé. La polémique qui a suivi la mise en place du Health Data Hub en 2019 est représentative des limites que connaissent les initiatives gouvernementales. Le HDH agrège les données du Système National des Données de Santé afin d’améliorer la qualité des soins et l’accompagnement des patients, et de favoriser la recherche.

Le problème, c’est que l’hébergement des données est assuré par Microsoft, une entreprise soumise à la loi américaine, et donc au Cloud Act, en vertu duquel le gouvernement peut se saisir de toute donnée hébergée par une société dont le siège social est installé sur le territoire américain. Or s’il est question de migrer les données vers une solution souveraine, française ou européenne, cela ne devrait pas avoir lieu avant 2025… À condition de convaincre les hôpitaux académiques de l’intérêt de cette migration, alors qu’ils disposent d’outils fournis quasi-gratuitement par Microsoft !

Le sujet de la protection des données va donc de pair avec celui de la dépendance technologique vis-à-vis des solutions étrangères. L’écosystème français dispose pourtant de prestataires de services Cloud capables d’héberger ces données de santé en toute sécurité : ils sont faciles à identifier, aujourd’hui, grâce à la certification HDS.

Quel cadre réglementaire pour les données de santé ?

Dans le cadre de leur hébergement dans le Cloud et de leur traitement, les données de santé bénéficient, en France comme en Europe, d’un cadre légal de plus en plus affûté. Considérées comme « sensibles », elles sont intégrées au cadre réglementaire défini par le RGPD au niveau européen, lui-même traduit dans le droit hexagonal, sous la surveillance drastique de la CNIL. Ce cadre contraint les responsables du traitement à offrir une protection optimale aux données personnelles des utilisateurs, et particulièrement aux informations liées à la santé.

Ainsi, tous les organismes (publics ou privés) qui hébergent ou exploitent ce type de données sensibles doivent être certifiés Hébergeurs de Données de Santé (HDS). Cette certification vise à garantir la qualité de service des prestataires d’hébergement pour les données de santé, à travers des mesures de sécurité renforcées. Dans les faits, il s’agit d’une surcouche appliquée à la norme ISO 27001 sur la sécurité des systèmes d’information. Délivrée par un organisme accrédité par le Cofrac, elle suppose, pour être obtenue, de passer des audits dédiés à la fois à la norme ISO et au référentiel HDS.

La solution Oodrive Work pour sécuriser les données de santé : le cas de l’ULB

Le cas du centre de dépistage néonatal de l’Université Libre de Bruxelles, qui utilise la solution Oodrive Work depuis octobre 2022, montre tout l’intérêt d’utiliser un outil dédié à la protection des données et fourni par un prestataire certifié HDS.

Le centre de dépistage analyse les résultats de tests sanguins réalisés sur près de 50 000 nouveau-nés chaque année. Ce dépistage systématique permet d’identifier des affections invisibles à la naissance afin d’assurer une prise en charge précoce.

Newborn infant's foots and heel prick, PKU phenylketonuria test. Blood draw puncture. Guthrie' test for congenital genetic diseases. Close up.

Une fois les résultats connus, l’ULB les partage avec les maternités concernées, extérieures au campus universitaire.

« La transmission des résultats est une étape importante du dépistage ». « La communication entre le centre de dépistage et les maternités constitue donc une part importante de nos activités. » souligne Lionel Marcelis, Responsable Laboratoire.

Or il s’agit de données ultra-sensibles, dont la confidentialité doit être garantie. Le centre a donc cherché un service Cloud certifié HDS, « les solutions utilisées précédemment n’étant pas satisfaisantes, car trop lourdes, trop lentes et trop peu sécurisées ».

Les bénéfices apportés par Oodrive Work

D’où le recours à Oodrive Work, la plateforme de partage de documents sensibles et de travail collaboratif conçue par Oodrive. La solution, bien connue de l’ULB depuis des années parce qu’utilisée par un hôpital partenaire, répond à tous les besoins du centre de dépistage : rapide et intuitive, elle offre un haut degré de sécurité, mais aussi de disponibilité, ce qui est essentiel dans la mesure où « les résultats sont potentiellement d’une importance vitale pour les nouveau-nés et doivent être accessibles aux maternités le plus rapidement possible », précise Lionel Marcelis.

Ainsi, grâce à Oodrive Work, chaque maternité a accès à un espace sécurisé qui centralise l’ensemble des communications. La certification HDS d’Oodrive était donc primordiale pour l’ULB, notamment parce que les données de santé sont hébergées dans des datacenters français.

Au-delà de l’exemple de l’ULB, la pertinence d’une solution comme Oodrive Work montre qu’il est possible, en Europe, de bénéficier d’outils sérieux et qualitatifs qui garantissent la sécurité et la souveraineté des données, et donc leur confidentialité. Ce qui, pour les établissements de santé, doit devenir progressivement une priorité absolue.