#Santé et #objetsconnectés : le risque de #piratage, fantasme ou réalité ?
Nathalie Devillier, Grenoble École de Management (GEM)
Alors que la ministre de la Santé Agnès Buzyn invite tous les Français à se faire ouvrir un carnet de santé numérique (appelé DMP – dossier médical partagé), la question de la sécurité des données de santé est largement ignorée. Pourtant, s’il est une catégorie de données à caractère personnel particulièrement sensible, c’est bien celle-ci. Or, les risques de piratage des objets connectés, de santé, de bien-être, ou d’ailleurs de toute nature sont bien réels. Quels sont ces risques ? Est-il possible de s’en prémunir ?
Les objects connectés, une tendance en pleine croissance
Quel gadget trouverez-vous sous le sapin de Noël cette année ? Une montre connectée ? Une balance numérique ? Une fourchette intelligente minceur ? Un testeur d’haleine ? Ou peut-être allez-vous craquer pour une bague analysant votre fréquence cardiaque ? Le tout piloté par un assistant vocal ? Et, en 2025, pourquoi pas un robot domestique qui fera votre bilan de santé ? Et bien d’autres choses encore…
Le nombre d’objets connectés de santé explose, tant du côté des professionnels de santé que pour le grand public, à des fins de prévention et d’amélioration de la qualité des soins. La Cour de cassation a bien saisi l’intérêt des technologies de santé en imposant leur utilisation dans le cadre d’un diagnostic prénatal (Cass. 1re civ. 27 novembre 2008, Bull. civ. I n°273, v. Nathalie Devillier Ferraud-Ciandet, Droit de la télémédecine et de l’e-santé, Heures de France, 2011, p.83). Dans cette affaire, ou malgré cinq échographies l’agénésie d’un fœtus n’avait pas été détectée, le radiologue vit sa responsabilité engagée pour ne pas avoir utilisé les méthodes scientifiques les mieux adaptées et, s’il y a lieu, les concours appropriés, tels que la télé-expertise (seconde interprétation à distance par un confrère).
Les opportunités offertent par les health techs ne doivent pas faire oublier les risques inhérents à l’hyper connectivité. Des risques qui, dans le domaine sanitaire, sont particulièrement graves.
Des objets « intelligents », mais vulnérables aux cyber-attaques
Entre les erreurs médicales et les cyber-attaques globales touchant les infrastructures sanitaires (comme celle dont a été victime le NHS en 2017 avec le virus WannaCry), le piratage de votre montre tracker d’activité physique n’est qu’un risque supplémentaire dans le monde en réseau de la santé connectée.
Le développement de l’e-santé, de la télémédecine, des méga-données de santé (big data), de l’intelligence artificielle et de la blockchain s’accompagne d’une prolifération de ces objets : balance, lecteur de glycémie, lentilles qui mesurent le taux de sucre dans le sang, médicament connecté, moniteur cardiaque, pompe à insuline, pacemaker réglable à distance, patch électronique implanté sous la peau pour la mesure des signes vitaux, tensiomètre…
Cette hyperconnectivité multiplie les points d’entrée et devient synonyme de vulnérabilité. Bien évidemment, la question de la cybersécurité est transverse aux nouvelles technologies, on pense notamment aux véhicules autonomes, mais elle revêt ici une dimension critique plus forte en raison son impact direct sur la vie des personnes. Tous connectés à Internet, ces objets de santé ne comporteraient qu’un niveau faible de sécurité avec, par exemple, 8 000 failles recensées pour les pacemakers. Vulnérabilités, menaces, intrusions, exposition, attaques toute la panoplie de la cyber sécurité se décline dans ce domaine tant sur les objets eux-mêmes que sur leurs services.
Il suffit d’acheter un rançongiciel (logiciel d’extorsion qui prend en otage les données) sur le Dark Web et le tour est joué ; la tâche est rendue plus aisée en raison de l’absence de sécurité de l’infrastructure IoT (Internet of Things, l’Internet des Objets). Qu’il s’agisse d’une simple montre, d’un dispositif médical, voire d’un pacemaker, le piratage est rendu possible par leurs fabricants qui ne prennent pas la peine de les protéger : les codes de déverrouillage sont souvent 1234 ou 000000. Pire encore, l’utilisateur n’a pas la main sur la sécurité de l’objet connecté et ne peut pallier cette hérésie en installant son propre code, comme tout un chacun le fait pour son téléphone mobile.
Des attaques qui vont augmenter
La situation est très alarmante avec un nombre d’attaques par rançongiciel qui pourrait quadrupler dans le secteur de la santé d’ici 2020. Les plus grandes entreprises ne sont pas à l’abri d’un scandale résultant d’un piratage. Quand bien même l’hébergement des données de santé des Français reste soumis à une procédure d’approbation de l’entreprise par le ministère de la Santé, cela ne garantit nullement la réactivité de celle-ci face à un bug voire à une attaque.
Microsoft vient d’obtenir le précieux sésame d’hébergeur des données de santé en France, et touchera ainsi les hôpitaux, les start-up, mais aussi les assureurs et les mutuelles. Faut-il pour autant s’en féliciter ? Rien n’est moins sûr puisque la société vient d’être épinglée pour avoir partagé des données bancaires de clients avec les services de renseignement et qu’elle patche difficilement des vulnérabilités dans ses outils Windows, ce qui permet à un attaquant de provoquer une atteinte à la confidentialité des données, une élévation de privilèges, une exécution de code à distance et un contournement de la fonctionnalité.
Vous doutez encore du risque ? Demandez donc leur avis au 78,8 millions de clients de la mutuelle étasunienne Anthem, victime d’une cyber-attaque massive du 2 décembre 2014 au 27 janvier 2015. La société devra verser 16 millions de dollars alors que les dirigeants avaient signalé l’incident de sécurité au FBI : une décision motivée par l’absence d’évaluation des risques, l’absence de révision de l’activité des systèmes d’information, l’absence de gestion de la violation de sécurité et par l’incapacité de la société à prévenir l’accès non autorisé aux données médicales informatisées.
Les usagers (individus, professionnels de santé, infrastructures de soin) n’ont par ailleurs aucune obligation de télécharger des mises à jour et donc se passent de ces investissements pourtant nécessaires en termes de sécurité. (Tel fut le cas pour le NHS précité). Pourtant, achèteriez-vous un véhicule dont le premier geek venu pourrait prendre le contrôle d’un simple clic ? Quel paradoxe n’est-ce pas ? C’est l’ignorance, trop courante, de ces risques qu’il faut dénoncer.
Au final, les cyber-risques liés aux objets de santé connectés résultent de la convergence de plusieurs facteurs : mauvaises pratiques, méthodes d’industriels peu scrupuleux (qui mettent sur le marché des produits n’offrant pas la sécurité que l’on est en droit d’attendre), manque de moyens des hôpitaux (qui n’ont pas les budgets nécessaires pour s’équiper en matériel fiable, le renouveler ou encore former leur personnel à la cybersécurité en santé) et enfin absence de contrôle de la sécurité des objets connectés, malgré les mises en garde répétées du Conseil national de l’ordre des médecins.
Des risques biens réels
Loin d’être purement théoriques, les risques liés au manque de cybersécurité touchent aussi bien les patients, les individus, les professionnels de santé, les infrastructures, les entreprises que les États.
De l’erreur de mesure à l’erreur de diagnostic, en passant par l’absence d’une fonctionnalité, les risques résultant du piratage sont aujourd’hui bien documentés. Les risques individuels touchent à l’intimité de la vie privée : écoute de conversations, révélation publique d’un état de santé par nature privé, réutilisation des données de santé à des fins secondaires non consenties, notamment à des fins marketing ou de géolocalisation, vol d’identité, phishing et spams (messages électroniques non sollicités), discriminations fondées sur l’état de santé de la part d’employeurs (voir l’affaire du bébé Fei, AOL, 2015), de banques ou d’assureurs (voir également, en France, l’initiative de Generali contestée par le ministère de la Santé).
La technologie fait aussi émerger de nouveaux risques, tels que le cyber-harcèlement. Un jour d’août 2015, un père de famille reçut un appel de son épouse terrifiée depuis leur domicile où elle se trouvait avec leur fille de 2 ans. Une chanson tournait en boucle sur l’écoute bébé (babyphone) : la chanson du groupe Police « Every Breath You Take ». Le moniteur que possédait le couple était un modèle permettant aux parents de parler à leur enfant à distance, via Internet. Il avait été hacké par un pirate malicieux et les paroles de la chanson prirent une dimension inquiétante : « Every game you play, every night you stay, I’ll be watching you » (« Chaque jeu auquel tu joueras, chaque nuit où tu resteras, je te regarderai »).
Plus insidieuse est l’amplification des violences domestiques via un objet connecté détourné, pour surveiller ou harceler des personnes. Les services d’urgence dénoncent la technologie comme LA nouvelle arme des harceleurs, car même après le départ du domicile conjugal, ces objets restent actionnables via une application mobile ! Les victimes et les services d’urgence sont d’autant plus démunis que ces situations se trouvent aggravées par le manque de connaissances sur le fonctionnement de ces technologies « intelligentes » et de leur maîtrise des appareils. Car quand il s’agit d’installer à la maison une caméra de vidéosurveillance, et donc de configurer son mot de passe, c’est rarement Madame qui « s’y colle », donnant ainsi à Monsieur le contrôle du dispositif. Au passage, si vous disposez d’une telle caméra, je vous invite à consulter le site insecam.org, répertoire mondial des caméras, y compris installées dans la chambre de bébé… Car oui, les images sont visibles en direct sur le Web ! CQFD.
Autre exemple, alors que le data mining permet à l’attaquant de découvrir des informations absentes de la base de données, le cyberespionnage permettra au concurrent d’accéder au système ou d’obtenir des informations de la part d’individus, d’organisations ou de gouvernements.
Les risques du piratage sont donc bien une réalité. Ces données sont très recherchées par les cybercriminels, en raison de leur valeur : un dossier médical se revend 20 euros sur le dark web, alors que votre carte bancaire n’en vaut que 2. Du côté des auteurs des infractions, les motivations sont variées : argent pour le rançongiciel ou, plus rarement, commission d’un acte criminel (sauf dans un épisode de la série NCIS ou un témoin clé porteur d’un pacemaker est assassiné sur les marches du palais de justice du fait de son piratage). Enfin, les objets connectés peuvent aussi être utilisés comme vecteurs d’attaque (cyberterroriste).
Mieux former les utilisateurs
Le renforcement de la réglementation n’est qu’une partie de la réponse à cet enjeu. L’entrée en application du Réglement Général sur la Protection des Données (RGPD) et la transposition de la directive sur la sécurité des réseaux et des systèmes d’information (NIS) favoriseront la prise en compte de cette dimension, mais il faut aller bien au-delà et prôner une approche de la sécurité dès la conception et par défaut, tout comme c’est déjà le cas pour la protection de la vie privée.
Les autres initiatives qui devraient être prises concernent l’éducation à la cybersécurité, les bonnes pratiques des acteurs des health tech et, bien sûr, la prise en compte du risque au niveau de la stratégie étatique.
Ces multiples risques illustrent le besoin pour les consommateurs d’être mieux informés et plus vigilants concernant la cybersécurité. Le site de la CNIL peut constituer une première approche du sujet pour le grand public.
Depuis 2017 aux États-Unis, Consumer Reports a mis en place un standard industriel en open source en vue de rendre le monde de l’Internet des objets plus sûr pour les consommateurs. Partant du principe qu’on ne crée pas de compte d’utilisateur dans le secteur bancaire sans identifiant spécifique et mot de passe fort, la revue américaine propose que les objets connectés soient régis de la même manière. Si cette norme ne mettra pas fin aux actions malicieuses voire criminelles, les clients ont droit à un service où la sécurité reste essentielle.
Offrir une formation à la cybersécurité dans le domaine de la santé est d’autant plus vital avec le développement de l’intelligence artificielle en santé, car bien que le numérique s’intègre parfaitement à notre quotidien, nous sommes loin d’en maîtriser les fonctionnalités, qu’il s’agisse de la protection des données à caractère personnel, de la confidentialité des données de santé ou de leur sécurité.
Cette formation doit s’adresser prioritairement aux cadres des lieux de soin et être maintenue tout au long de la vie, par exemple par l’obtention d’un certificat qui serait à créer sur les technologies de santé.
Transformer la cybersécurité en avantage compétitif
Du côté de l’entreprise, conserver une approche réactive est aux antipodes de l’action stratégique. Les entreprises pionnières qui parviendront à faire de la cyber sécurité de leurs objets connectés de santé et des services qui y sont rattachés un avantage comparatif éviteront non seulement les coûts d’une cyber- attaque et conserveront la confiance de leurs clients.
La donnée, élément stratégique de l’entreprise de plus en plus centrale dans son business model, doit s’accompagner par l’insertion de nouveaux métiers : data scientists, chief data officer, en plus du DPO (data protection officer) et du RSSI (responsable sécurité des systèmes d’information), mais aussi des « white hats », hackers éthiques qui cherchent à pirater les systèmes systèmes des entreprises pour alerter de l’existence de failles et les sécuriser. Cette dernière profession fait l’objet de deux certificats : le Certified Ethical Hacker et l’OffensiveSecurity Certified Professional, qui ont beaucoup de valeur dans les entreprises du secteur de la sécurité informatique.
Dans le domaine de la santé, identifier les bonnes pratiques sur l’Internet des Objets, avec l’adoption d’un Code de conduite sectoriel, permettrait de mutualiser les ressources engagées par les acteurs du marché. Un tel code de conduite a été adopté concernant la vie privée des applications mobiles de santé par la Commission européenne en 2016.
Enfin, mettre en place un comité stratégique national de la santé connectée devient urgent : comment la France peut-elle prétendre devenir la championne de l’intelligence artificielle, et simultanément ne pas garantir aux données de santé de ses citoyens une protection adaptée, alors même que les géants du web se battent pour accéder à la mine d’or que ces données représentent ?
Pour construire cet « écosystème de la donnée » qui alimentera l’intelligence artificielle, l’État, premier client de la transformation numérique, est en effet largement tributaire de la production de données de santé et de bien-être issues de ses citoyens.
Nathalie Devillier, Professeur de droit, Grenoble École de Management (GEM)
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.