Catégories
Actualités Sécurité informatique

Big Data & Santé : quels risques ?

Imaginez un monde où nos données de santé dirigeraient notre vie et notre travail. De la pure science fiction ?

Bien que nous soyons encore loin du monde dystopique 1  de Gattaca, l’invasion des Big Data 2 dans le domaine de la santé et la problématique liée à leur utilisation sont pourtant bien d’actualité.

big-data-sante

Big Data et santé : entre risques et opportunités

L’application du Big Data au secteur médical offre une multitude d’opportunités, et transforme la façon dont nos informations sont gérées ; en effet, désormais, une majeure partie du dossier médical des patients est dématérialisée 3.

Conséquence : les établissements exploitant ces données confidentielles, récoltées en masse, sont de plus en plus sujets à des risques majeures ; notamment à cause de la nature même de ces données sensibles, ainsi qu’au volume exponentiel de ces dernières.

Face à ces risques, les établissements de santé doivent donc adapter leur SI 4, afin qu’ils puissent faire face aux problématiques inhérentes à ces établissements : assurer la protection et la sécurité des données, maintenir l’activité, respecter les budgets établis, faire avec des infrastructures vieillissantes…

D’autant plus que ces données sont convoitées par les hackers, de part leur nature lucrative. Les motivations sont nombreuses : espionnage industriel, chantage, revente d’informations sanitaires aux compagnies d’assurances et aux laboratoires,… 5

Sécurité des données sensibles : le nerf de la guerre

Aujourd’hui, la dépendance de plus en plus élevée des établissements de santé envers l’IT 6 est exacerbée par un besoin d’interopérabilité (communication entre les différents établissements) qui entraîne de nouveaux enjeux technologiques comme le stockage et le partage des données de santé entre professionnels ou établissements ; ainsi que le choix du stockage dans le cloud ou sur des serveurs sécurisés. Les établissements de santé  deviennent dès lors tributaires du bon fonctionnement de leur réseau et de leur bande passante (quantité de données par unité de temps émise vers / reçue d’Internet).

Mais ils doivent également faire face à des fuites de ces données confidentielles, qui peuvent être d’origines diverses : piratages, vols de données, négligences ou erreurs humaines, vulnérabilités des objets connectés aux cyberattaques,…

L’importance grandissante de la mobilité du travail est aussi un facteur de risque à prendre en considération : un smartphone ou une tablette est plus vulnérable, et peut plus facilement être perdu ou volé. Tout comme le fait que ces données sont manipulées par un grand nombre d’acteurs : médecins, hôpitaux, applications mobiles traitant des données d’ordre médicale.

big-data-sante

Un secteur encadré

Notons qu’un cadre légal englobe ce très important volume de données – d’autant plus que le marché de l’e-santé est en forte croissance :

  • la loi du 4 mars 2002 a introduit l’article L.1110-4 du Code de la santé publique : « Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autre organisme participant à la prévention et aux soins a droit au respect de sa vie privée et au secret des informations la concernant ».
    Le droit à la confidentialité des données de santé offre au patient une double protection, d’ordre juridique et d’ordre technique, et couvre tant le partage que l’échange d’informations de santé.       Pour en savoir plus : http://esante.gouv.fr/services/reperes-juridiques/confidentialite-des-donnees-de-sante
  • L’article 40 de la loi Informatique et libertés établit que le patient dispose, pour l’ensemble des dossiers contenant des informations à caractère personnel, d’un droit de faire rectifier, compléter, mettre à jour, verrouiller ou effacer des données inexactes, incomplètes, équivoques, périmées ou dont la collecte, l’utilisation, la communication ou la conservation sont interdites (voir également le décret Confidentialité – Décret n° 2007-960 du 15 mai 2007 -, codifié aux articles R.1110 à R.1110-3 du Code de la santé publique). Ce décret prévoit notamment l’obligation pour les professionnels de santé de se conformer à des référentiels relatifs à la confidentialité et à la sécurité des systèmes ;
  • La loi du 26 janvier 2016 indique que les données de santé hébergées par un prestataire tiers, doivent l’être chez un hébergeur agréé. Cet agrément est délivré après une évaluation des capacités des prestataires candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité. Pour en savoir plus : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000031912641&categorieLien=id

Cependant, ces risques ne doivent pas empêcher les établissements et les professionnels de santé de saisir les opportunités qu’offre le Big Data. La sécurité devient alors primordiale, et les établissements devront mettre en place des solutions (locales ou externalisées dans le cloud) pour garantir cette confidentialité des données et pour le Plan de Reprise d’Activité (PRA) 7.


Quelles sont nos actions chez OM Conseil pour accompagner nos clients appartenant au domaine de la santé ?

[udesign_icon_font name=”fa fa-arrow-right”]  13 années d’expériences dans la sécurité et le maintien en conditions opérationnels des SIH 8, 28 établissements accompagnés, un travail quotidien de nos équipes pour :

       Prendre en compte le besoin des agents afin de faciliter l’adoption des nouveaux projets et l’adéquation avec les besoins du terrain, des métiers ;

       Aider les directions à faire des choix qui intègrent la satisfaction et le service rendu au patient, l’ergonomie pour les employés, la sécurité, l’écologie et le budget (Pilotage 360° http://www.om-conseil.fr/societe/) ;

       Mettre en œuvre et pérenniser les environnements ; 

       Effectuer des contrôles et des maintenances proactives du SI ;

       Sauvegarder, surveiller et télé maintenir les systèmes et les équipements pour une réactivité immédiate et une action adaptée ;

       Se préparer au travers de scénarios actualisés à apporter des réponses et solutions immédiates en cas d’incident ;

       Soutenir quotidiennement les acteurs de terrains dans leurs actions en leur offrant la souplesse et la réactivité d’un Centre de Service qualifié au sein de cellules dédiées.

Professionnels de la santé ? Nous serions ravis de pouvoir échanger avec vous – sur votre métier, vos problématiques – et vous partager notre vision, notre engagement ainsi que notre raison d’être évolutive (autour d’un café, pourquoi pas [udesign_icon_font name=”fa fa-coffee”] ) !


1 DystopieUne dystopie, également appelée contre-utopie, est un récit de fiction dépeignant une société imaginaire organisée de telle façon qu’elle empêche ses membres d’atteindre le bonheur.

2 Big dataLe big data, littéralement « grosses données », ou mégadonnées (recommandé), parfois appelées données massives, désignent des ensembles de données qui deviennent tellement volumineux qu’ils en deviennent difficiles à travailler avec des outils classiques de gestion de base de données ou de gestion de l’information.

3 DématérialiserRetirer à (quelque chose) son caractère matériel, physique.

4 SILe système d’information (SI) est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de l’information souvent grâce à un ordinateur. Il s’agit d’un système socio-technique composé de deux sous-systèmes, l’un social et l’autre technique. Le sous-système social est composé de la structure organisationnelle et des personnes liées au SI. Le sous-système technique est composé des technologies (hardware, software et équipements de télécommunication) et des processus concernés par le SI.

5 Sources :

– Nos données de santé convoitées par les pirates

http://www.informatiquenews.fr/nos-donnees-de-sante-convoitees-par-les-pirates-frederic-saulet-logpoint-36709

– Cybermenaces et données de santé

https://www.apssis.com/actualite-ssi/114/cybermenaces-et-donnees-de-sante.htm

– Nos données de santé, convoitées par les pirates

6 ITTechnologie de l’information, en particulier tout ce qui touche à l’informatique.

7 PRAPlan de Reprise d’Activité – Un plan de reprise d’activité permet d’assurer, en cas de crise majeure ou importante d’un centre informatique, la reconstruction de son infrastructure et la remise en route des applications supportant l’activité d’une organisation.

8 SIHSystème d’Information Hospitalier – Un système d’information hospitalier (abrégé SIH) est un système d’information appliqué au secteur de la santé, et plus particulièrement aux établissements de santé.


Ecrit par Julia

Imaginez un monde où nos données de santé dirigeraient notre vie et notre travail. De la pure science fiction ?

Bien que nous soyons encore loin du monde dystopique 1  de Gattaca, l’invasion des Big Data 2 dans le domaine de la santé et la problématique liée à leur utilisation sont pourtant bien d’actualité.

big-data-sante

Big Data et santé : entre risques et opportunités

L’application du Big Data au secteur médical offre une multitude d’opportunités, et transforme la façon dont nos informations sont gérées ; en effet, désormais, une majeure partie du dossier médical des patients est dématérialisée 3.

Conséquence : les établissements exploitant ces données confidentielles, récoltées en masse, sont de plus en plus sujets à des risques majeures ; notamment à cause de la nature même de ces données sensibles, ainsi qu’au volume exponentiel de ces dernières.

Face à ces risques, les établissements de santé doivent donc adapter leur SI 4, afin qu’ils puissent faire face aux problématiques inhérentes à ces établissements : assurer la protection et la sécurité des données, maintenir l’activité, respecter les budgets établis, faire avec des infrastructures vieillissantes…

D’autant plus que ces données sont convoitées par les hackers, de part leur nature lucrative. Les motivations sont nombreuses : espionnage industriel, chantage, revente d’informations sanitaires aux compagnies d’assurances et aux laboratoires,… 5

Sécurité des données sensibles : le nerf de la guerre

Aujourd’hui, la dépendance de plus en plus élevée des établissements de santé envers l’IT 6 est exacerbée par un besoin d’interopérabilité (communication entre les différents établissements) qui entraîne de nouveaux enjeux technologiques comme le stockage et le partage des données de santé entre professionnels ou établissements ; ainsi que le choix du stockage dans le cloud ou sur des serveurs sécurisés. Les établissements de santé  deviennent dès lors tributaires du bon fonctionnement de leur réseau et de leur bande passante (quantité de données par unité de temps émise vers / reçue d’Internet).

Mais ils doivent également faire face à des fuites de ces données confidentielles, qui peuvent être d’origines diverses : piratages, vols de données, négligences ou erreurs humaines, vulnérabilités des objets connectés aux cyberattaques,…

L’importance grandissante de la mobilité du travail est aussi un facteur de risque à prendre en considération : un smartphone ou une tablette est plus vulnérable, et peut plus facilement être perdu ou volé. Tout comme le fait que ces données sont manipulées par un grand nombre d’acteurs : médecins, hôpitaux, applications mobiles traitant des données d’ordre médicale.

big-data-sante

Un secteur encadré

Notons qu’un cadre légal englobe ce très important volume de données – d’autant plus que le marché de l’e-santé est en forte croissance :

  • la loi du 4 mars 2002 a introduit l’article L.1110-4 du Code de la santé publique : « Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autre organisme participant à la prévention et aux soins a droit au respect de sa vie privée et au secret des informations la concernant ».
    Le droit à la confidentialité des données de santé offre au patient une double protection, d’ordre juridique et d’ordre technique, et couvre tant le partage que l’échange d’informations de santé.       Pour en savoir plus : http://esante.gouv.fr/services/reperes-juridiques/confidentialite-des-donnees-de-sante
  • L’article 40 de la loi Informatique et libertés établit que le patient dispose, pour l’ensemble des dossiers contenant des informations à caractère personnel, d’un droit de faire rectifier, compléter, mettre à jour, verrouiller ou effacer des données inexactes, incomplètes, équivoques, périmées ou dont la collecte, l’utilisation, la communication ou la conservation sont interdites (voir également le décret Confidentialité – Décret n° 2007-960 du 15 mai 2007 -, codifié aux articles R.1110 à R.1110-3 du Code de la santé publique). Ce décret prévoit notamment l’obligation pour les professionnels de santé de se conformer à des référentiels relatifs à la confidentialité et à la sécurité des systèmes ;
  • La loi du 26 janvier 2016 indique que les données de santé hébergées par un prestataire tiers, doivent l’être chez un hébergeur agréé. Cet agrément est délivré après une évaluation des capacités des prestataires candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité. Pour en savoir plus : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000031912641&categorieLien=id

Cependant, ces risques ne doivent pas empêcher les établissements et les professionnels de santé de saisir les opportunités qu’offre le Big Data. La sécurité devient alors primordiale, et les établissements devront mettre en place des solutions (locales ou externalisées dans le cloud) pour garantir cette confidentialité des données et pour le Plan de Reprise d’Activité (PRA) 7.


Quelles sont nos actions chez OM Conseil pour accompagner nos clients appartenant au domaine de la santé ?

[udesign_icon_font name=”fa fa-arrow-right”]  13 années d’expériences dans la sécurité et le maintien en conditions opérationnels des SIH 8, 28 établissements accompagnés, un travail quotidien de nos équipes pour :

       Prendre en compte le besoin des agents afin de faciliter l’adoption des nouveaux projets et l’adéquation avec les besoins du terrain, des métiers ;

       Aider les directions à faire des choix qui intègrent la satisfaction et le service rendu au patient, l’ergonomie pour les employés, la sécurité, l’écologie et le budget (Pilotage 360° http://www.om-conseil.fr/societe/) ;

       Mettre en œuvre et pérenniser les environnements ; 

       Effectuer des contrôles et des maintenances proactives du SI ;

       Sauvegarder, surveiller et télé maintenir les systèmes et les équipements pour une réactivité immédiate et une action adaptée ;

       Se préparer au travers de scénarios actualisés à apporter des réponses et solutions immédiates en cas d’incident ;

       Soutenir quotidiennement les acteurs de terrains dans leurs actions en leur offrant la souplesse et la réactivité d’un Centre de Service qualifié au sein de cellules dédiées.

Professionnels de la santé ? Nous serions ravis de pouvoir échanger avec vous – sur votre métier, vos problématiques – et vous partager notre vision, notre engagement ainsi que notre raison d’être évolutive (autour d’un café, pourquoi pas [udesign_icon_font name=”fa fa-coffee”] ) !


1 DystopieUne dystopie, également appelée contre-utopie, est un récit de fiction dépeignant une société imaginaire organisée de telle façon qu’elle empêche ses membres d’atteindre le bonheur.

2 Big dataLe big data, littéralement « grosses données », ou mégadonnées (recommandé), parfois appelées données massives, désignent des ensembles de données qui deviennent tellement volumineux qu’ils en deviennent difficiles à travailler avec des outils classiques de gestion de base de données ou de gestion de l’information.

3 DématérialiserRetirer à (quelque chose) son caractère matériel, physique.

4 SILe système d’information (SI) est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de l’information souvent grâce à un ordinateur. Il s’agit d’un système socio-technique composé de deux sous-systèmes, l’un social et l’autre technique. Le sous-système social est composé de la structure organisationnelle et des personnes liées au SI. Le sous-système technique est composé des technologies (hardware, software et équipements de télécommunication) et des processus concernés par le SI.

5 Sources :

– Nos données de santé convoitées par les pirates

http://www.informatiquenews.fr/nos-donnees-de-sante-convoitees-par-les-pirates-frederic-saulet-logpoint-36709

– Cybermenaces et données de santé

https://www.apssis.com/actualite-ssi/114/cybermenaces-et-donnees-de-sante.htm

– Nos données de santé, convoitées par les pirates

6 ITTechnologie de l’information, en particulier tout ce qui touche à l’informatique.

7 PRAPlan de Reprise d’Activité – Un plan de reprise d’activité permet d’assurer, en cas de crise majeure ou importante d’un centre informatique, la reconstruction de son infrastructure et la remise en route des applications supportant l’activité d’une organisation.

8 SIHSystème d’Information Hospitalier – Un système d’information hospitalier (abrégé SIH) est un système d’information appliqué au secteur de la santé, et plus particulièrement aux établissements de santé.


Ecrit par Julia