Selon l’ANSSI, le secteur de la santé est le troisième secteur le plus touché par les cyberattaques. Pourquoi les établissements de santé sont-ils une cible privilégiée pour les attaquants ?

Emmanuel Meyrieux : Les données de santé sont particulièrement sensibles car elles sont étroitement liées à l'identité des individus. Elles peuvent révéler des informations personnelles très détaillées. Par exemple, une analyse ADN peut fournir des informations plus détaillées qu’une carte d'identité. La confidentialité de ces données est donc cruciale.
Dans le cas d'un site de commerce en ligne, la perte d'adresses e-mail est certes problématique, mais en aucun cas comparable à la perte de données de santé, dont les répercussions sont beaucoup plus graves en raison de leur nature hautement sensible. C'est la raison pour laquelle le RGPD accorde une importance particulière à leur protection, ce qui a conduit à la création de la certification HDS pour les hébergeurs de données de santé. Cette certification prend une importance croissante à l’heure où la consommation de données augmente, notamment avec les avancées de l'intelligence artificielle et les possibilités de traitement des données.

Quels sont les principaux éléments à considérer pour assurer la performance du SI de santé tout en préservant la confidentalité des données et leur sécurité ?

E.M : Il est essentiel de s'adapter à la typologie des données exploitées. Les données de santé se répartissent en plusieurs catégories : certaines ne sont pas identifiantes en elles-mêmes, tandis que d'autres contiennent directement des informations personnelles critiques. En fonction de ces typologies, les mesures de confidentialité à mettre en place peuvent varier.

Ensuite, il y a un double enjeu : faire en sorte que le système réponde rapidement d’une part, mais également s’assurer qu’il fournisse les bonnes réponses. L'intégrité des données est donc cruciale, car une information incorrecte dans un système de santé peut entraîner des erreurs médicales graves. Ce facteur d’intégrité, d’exhaustivité et de cohérence globale des données est fondamentalement plus critique que la vitesse de réponse du système.

La résilience des données, à savoir la capacité de l’établissement de santé à se remettre d'une violation de données ou d'autres types de compromissions, est également un point essentiel. A ce niveau, deux approches sont envisageables. La première implique de diversifier les supports de sauvegarde, en déployant des systèmes basés sur des sauvegardes externalisées qui permettent une restauration rapide et la remise en marche du SI en cas de problème.
La seconde approche consiste à assurer la redondance des systèmes afin qu’ils continuent de fonctionner en toutes circonstances. Cela augmente évidemment le coût de l'infrastructure, d'où l'importance de bien identifier les données les plus critiques et de définir les besoins des équipes en cas de fonctionnement en mode dégradé.

Quelles actions doivent être prioritairement mises en œuvre en cas de compromission des systèmes de santé ?

E.M : Se rapprocher du CERT Santé de l’ANS – qui offre un service de réponse à incident 24h/24, 7j/7 – est une première étape : l’aide apportée par les experts du CERT Santé est souvent décisive.

Généralement, les établissements de santé disposent d’un schéma directeur du SI, sur la base duquel un plan de reprise a dû être mis en place. Les équipes IT peuvent ainsi prioriser les applications les plus critiques pour le bon fonctionnement des services, puis lancer les procédures de récupération des données. Une attention particulière doit être portée à l’état des sauvegardes : il s’agit de ne pas réinstaller le malware que l’on chercher à écarter !

Ensuite, il faut bien considérer l’informatique comme une fonction de support. Elle doit être au service de la continuité des soins, d’où l’importance de tester les procédures en amont et s’assurer que le fonctionnement en mode dégradé est opérationnel.

OVHcloud est certifié HDS à la fois sur ses offres Private Cloud, Bare metal, et Public cloud. Depuis ses origines, ce référentiel a évolué. Quel regard portez-vous sur ces évolutions ?

E.M : A l’origine, l’agrément HADS (Hébergeur Agréé de Données de Santé) ne couvrait pas tous les acteurs impliqués dans la fourniture des systèmes d’information de santé. En réalité, il suffisait que l’un des sous-traitants dispose de cet agrément pour que toute la chaine de sous-traitance soit considérée comme couverte. L’évolution vers la certification HDS (Hébergeur de Données de Santé) a été une avancée majeure. Nous sommes passés d’une situation où seulement un acteur de la chaîne de sous-traitance devait être certifié, à une situation où l’ensemble des acteurs de la chaîne impliqués dans la sécurisation des informations de santé doivent l’être.

La certification, alignée avec les normes internationales de sécurité des systèmes d’information ISO 27001, a clairement renforcé la confiance des patients et des professionnels. Mais elle souffrait d’un certain nombre de lacunes.

La dernière évolution de HDS est justement venu combler ces lacunes au sein du référentiel. Comment percevez-vous cette avancée pour l’écosystème de santé ?  

E.M : Nous avons eu l’opportunité de contribuer à cette évolution en tant qu’industriel reconnus dans le secteur de l’hébergement de données de santé. Nous sommes globalement satisfaits des avancées en la matière.

Les travaux se sont traduits par une montée en maturité sur le sujet de l’hébergement de données de santé, avec des clarifications, notamment sur la dichotomie entre la certification « hébergeur d’infrastructures physiques » et « hébergeurs infogéreurs » dont la distinction n’avait pas de réel intérêt. Certains éléments ont également été précisés, en particulier sur la traçabilité des informations délivrées par l’hébergeur et l’obligation d’informer des risques et des mesures mises en œuvre pour les limiter, notamment en cas d’accès distant aux données depuis un pays tiers à l’UE, par l’hébergeur ou l’un de ses sous-traitants, ou en cas de soumission de ces derniers à une législation extra-européenne n’assurant pas un niveau de protection adéquat au sens du RGPD.    

A mon sens, l’innovation essentielle induite par ces travaux concerne la représentation des garanties et l’obligation imposée aux fournisseurs de services de déclarer toute leur chaîne de sous-traitance. C’est une réelle avancée en matière de transparence et d’accès à l’information.  

Concrètement, comment appliquez-vous ces impératifs de transparence en matière de responsabilité et de garanties de services ?

E.M : Nous prêtons beaucoup d’attention à la qualité des informations que nous délivrons et nous sommes conscients du rôle que nous avons à jouer lorsqu’un problème survient. OVHcloud se doit de fournir le bon niveau d’information sur toute la chaîne de valeur impliquée dans ses services, conformément aux avancées de la norme HDS.

Cela se traduit par une identification précise de nos sous-traitants, des critères qui leur sont appliqués en matière de souveraineté et de leurs certifications. Cette représentation des garanties a d’ailleurs été publiée sur la majorité de nos produits. Nous publions également des RACI, qui détaillent le partage des responsabilités entre OVHcloud et ses clients, service par service, et prêtant une attention particulière à la lisibilité des informations pour nos clients. Nous avons notamment retravaillé le chapitrage de ces RACI afin qu’ils reflètent le cycle de consommation de nos produits. Les clients peuvent ainsi facilement accéder aux informations qui les concernent en cas de problème.  

Dans le même ordre d’idée, nous documentons nos politiques de réversibilité pour donner une vision claire de la manière dont nos clients peuvent adhérer ou sortir des services OVHcloud, avec les budgets associés.

Enfin, la nouvelle version du référentiel HDS précise la manière dont les exigences de la certification HDS s’alignent avec celles de la certification SecNumCloud. A ce niveau également, nous avons démarré des travaux afin de documenter la souveraineté de nos produits. Cet objectif de transparence est à mon sens un marqueur essentiel qui devrait rapidement s’étendre à tout l’écosystème.