Notre site Web utilise des cookies pour vous offrir l’expérience en ligne la plus optimale en : mesurant notre audience, en comprenant comment nos pages Web sont consultées et en améliorant en conséquence le fonctionnement de notre site Web, en vous fournissant un contenu marketing pertinent et personnalisé.
Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies ». Veuillez trouver plus d’informations sur notre utilisation des cookies et comment retirer à tout moment votre consentement sur notre Vie Privée.

Gestion de vos cookies

Notre site Web utilise des cookies. Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies » .

Cookies nécessaires

Ceux-ci sont indispensables à la navigation de l’utilisateur et permettent de donner accès à certaines fonctionnalités comme les accès aux zones sécurisées. Sans ces cookies, il ne sera pas possible de fournir le service.
Matomo en auto-hébergement

Cookies marketing

Ces cookies sont utilisés pour vous proposer des publicités plus pertinentes, limiter le nombre de fois que vous voyez une publicité ; aider à mesurer l’efficacité de la campagne publicitaire ; et comprendre le comportement des individus après avoir vu une publicité.
Vie Privée Adobe | Vie Privée Marketo | Vie Privée MRP | Vie Privée AccountInsight | Vie Privée Triblio

Cookies de réseaux sociaux

Ces cookies sont utilisés pour mesurer l’efficacité des campagnes sur les réseaux sociaux.
Vie Privée de LinkedIn

Notre site Web utilise des cookies pour vous offrir l’expérience en ligne la plus optimale en : mesurant notre audience, en comprenant comment nos pages Web sont consultées et en améliorant en conséquence le fonctionnement de notre site Web, en vous fournissant un contenu marketing pertinent et personnalisé. Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies ». Veuillez trouver plus d’informations sur notre utilisation des cookies et comment retirer à tout moment votre consentement sur notre Vie Privée

Passer au contenu principal

Cinq ans après le RGPD, nos données de santé sont-elles plus sûres ?


Publié le: 27 mai 2024 par Atos

Bien qu'aucun système ne soit infaillible, l'arsenal de solutions mis en place est riche et varié, contribuant à une meilleure protection des données de santé. Cependant, l'existence de risques n'est plus à démontrer, comme le prouve la récente attaque géante ciblant les données des assurés sociaux français.

Le chiffre donne le vertige. Après que 33 millions de Français se sont fait voler leurs données de santé suite à des cyberattaques ciblant les prestataires de tiers payant, Viamedis et Almerys, 217 000 usurpations d’identité ont déjà été recensées. Le chiffre a toutes les chances de s’accroître au cours des mois à venir, et illustre le risque que la multiplication des cyberattaques fait peser sur la confidentialité de nos données de santé, considérées à juste titre par la majorité de la population comme les données les plus intimes et confidentielles.

Les cybercriminels ne sont plus les seuls à s'intéresser à nos données de santé. Les grands acteurs du cloud américains y voient également une source inépuisable de revenu, à travers l'hébergement, le stockage et la fourniture des différents logiciels et services de traitement. Fin janvier, la CNIL a ainsi décidé d’autoriser Microsoft à créer un entrepôt des données de santé des Français, après avoir déjà validé le choix du géant du cloud américain pour héberger celles du Health Data Hub.

Des hackers principalement motivés par l’appât du gain… Mais pas que.

Cinq ans après la publication du règlement général sur la protection des données (RGPD), la protection de nos données les plus confidentielles se heurte donc à un double constat : la montée en puissance des cybercriminels, d’une part, et l’avancée considérable des acteurs Américains par rapport à leurs homologues Français (ou même européens) sur les services cloud d’autre part. Concernant la première dimension, la multiplication des attaques s’explique d’abord par l’appât du gain.

« On constate une recrudescence des attaques contre les hôpitaux, les laboratoires pharmaceutiques et d’analyse médicale, les mutuelles… L’objectif est toujours le même : récupérer des données de santé et les revendre sur le Dark web. Ces données se monnaient cher, car elles sont ensuite utilisées par des cybercriminels qui pratiquent l’usurpation d’identité à des fins pécuniaires. Le fait de posséder des données aussi confidentielles donne du crédit à une tentative d’arnaque », décrypte Taoufiq Haddane, Directeur Technique d’Atos.

L’espionnage industriel peut aussi s’avérer très lucratif. « Une partie des attaques ciblant les établissements de santé visent également à dérober, puis monnayer les secrets professionnels, les procédés de fabrication dans les usines, les données sur la chaîne d’approvisionnement, les brevets... »

Mais l’argument n’est pas toujours pécuniaire : certaines attaques ont tout simplement pour objectif de produire un maximum de dégâts. « Ces attaques visent à perturber fortement les systèmes afin de saboter la production ou les opérations journalières. Les rançongiciels, qui menace directement les données de l’entreprise, sont l’exemple typique de ce type d’attaques », développe Taoufiq Haddane.

Du RGPD à SecNumCloud, en passant par HDS

Face à cette hausse des menaces, les États ne sont fort heureusement pas restés les bras croisés. Outre le RGPD, citons la certification Hébergeurs de Données de Santé (HDS), obligatoire depuis 2018 pour les organisations chargées de traiter de telles données (hôpitaux, pharmacies, laboratoires, assureurs, éditeurs de logiciels, prestataires informatiques…). « Elle comprend des exigences strictes en matière de stockage et de traitement, pour ainsi assurer une gestion sécurisée des données de santé contribuant à prévenir les accès non autorisés, les altérations et les pertes. Elle impose la conformité à plusieurs normes clés comme l'ISO 27001, ISO 27002, ISO 27005, et ISO 27799, spécifiques au secteur de la santé et qui adaptent les contrôles de sécurité pour répondre aux besoins uniques des environnements de soins », détaille Taoufiq Haddane.

Pour aller plus loin, le gouvernement français renforce sa doctrine Cloud au centre, avec une circulaire signée en mai 2023 par le gouvernement d’Élisabeth Borne et réaffirmée en septembre dernier par le ministre de l’Économie Bruno Le Maire et le ministre délégué chargé de la Transition numérique et des Télécommunications Jean-Noël Barrot. Elle stipule que les données relevant du secret médical et hébergées dans le cloud doivent impérativement l'être dans un cloud de confiance ou qualifié SecNumCloud, le standard le plus élevé en matière de protection des données, qui offre en outre une immunité face aux lois extraterritoriales des autres pays, et donc en particulier face au CLOUD Act.

La prédominance des hyperscalers

Car le constat demeure aujourd’hui implacable : il est impossible de construire une solution cloud 100% européenne, la supériorité technologique des géants américains demeurant écrasante. C’est ce qui explique le choix de Microsoft pour l’hébergement des données du Health Data Hub. « Microsoft a travaillé très tôt sur des briques fonctionnelles et des solutions spécifiques pour la gestion des données de santé, ce qui leur permet de proposer un dispositif très opérationnel, performant, avec des options avancées. Mettre en place une solution souveraine équivalente aurait été, probablement, beaucoup plus coûteux, compliqué et moins flexible. Tout le cycle de vie du Health Data Hub aurait été complexifié… », explique Taoufiq Haddane.

Mais cela ne signifie pas pour autant que l’établissement d’une souveraineté française européenne au service de la protection des données de santé dans le cloud soit impossible.

« La notion de souveraineté est complexe et difficile à définir », note Taoufiq Haddane. « Pour qu’on soit souverain, est-ce que chaque composant de l’infrastructure doit être sous contrôle total ? Ou bien est-on souverain dès lors que les données ainsi que l'exploitation de ces outils sont sous votre contrôle ? À mon sens, étant donné notre dépendance aux acteurs américains sur les composants matériels et une bonne partie du logiciel, il est illusoire de vouloir contrôler l’intégralité de la chaîne de valeur. Il faut choisir où l’on positionne le curseur. En plus des réglementations comme HDS, si les données sont hébergées et chiffrées sur des serveurs situés en Europe, que l'hébergeur ne possède pas la clef de chiffrement et que l’on met en outre en place des autorisations d’accès et des privilèges de traitement, on peut déjà bloquer la grande majorité des acteurs malveillants. »

Des acteurs français comme OVH et Outscale s’efforcent en outre de concurrencer les hyperscalers en misant sur la prise de conscience croissante des enjeux de souveraineté dans le cloud, et en proposant des solutions de traitement des données adaptées à ces besoins. Ces mêmes acteurs proposent de plus en plus d‘alternatives souveraines aux hyperscalers américains pour l’hébergement des données de santé. En janvier, OVH a ainsi étendu son offre de cloud souverain en ouvrant une troisième zone qualifiée SecNum Cloud 3.2, située dans le centre de données du Groupe situé à Gravelines, rejoignant ainsi les zones existantes des sites de Roubaix et de Strasbourg. Outscale, solution cloud de Dassault Systèmes, a également obtenu la certification SecNum Cloud 3.2, et muscle son offre grâce à une stratégie d’acquisitions.

La sécurité optimale passe par une combinaison de législation, de normes et bonnes pratiques

En matière de souveraineté et de protection des données, la réponse ne repose jamais sur une solution unique, mais sur un éventail d’outils qui doivent être combinés pour obtenir un niveau de sécurité maximal. « Pour permettre aux citoyens de profiter du RGPD dans les meilleures conditions, il est nécessaire de maintenir une surveillance constante et d'utiliser en plus une combinaison d'autres solutions qui permettent de réduire l'exposition à des risques divers : l’HDS, SecNumCloud… L’Anssi a publié un répertoire complet sur les mesures et guides d’hygiène de traitement des systèmes d'information qui contient nombre de bonnes pratiques à mettre en place…» note l’expert.

La souveraineté numérique totale restant un idéal, il est crucial d'adopter une approche réaliste dans ce débat. «Sur le cloud de confiance, on ne parle pas de souveraineté absolue », en 2022 Guillaume Poupard, alors à la tête de l’Anssi. « La nature interconnectée et technologiquement complexe du cloud computing, avec des infrastructures et des services interdépendants des partenaires internationaux, rend la souveraineté totale difficile à atteindre. En outre, l'adoption rigoureuse du RGPD en Europe démontre un engagement fort vers la protection des données, progressant vers une souveraineté plus effective même en l'absence de contrôle total », explique Taoufiq Haddane.

De même, il est impossible de se protéger nos données à 100% contre les cybercriminels, surtout si ceux-ci ont derrière eux la puissance d'une organisation étatique. « Néanmoins, les systèmes sont de plus en plus sûrs d'une année sur l’autre. En outre, la prise de conscience croissante des citoyens quant à l'importance de protéger les données témoigne d'une évolution significative et le RGPD y est incontestablement pour quelque chose. »

Partager


Qui est Atos
Leader international de l'infogérance


Suivre ou contacter Groupe