Protection des données de Santé : un rapport inquiétant
MERCREDI 21 MARS 2018
Soyez le premier à réagirLe Data Breach Investigations Report (DBIR) dédié aux données de Santé fait froid dans le dos. On y découvre les tenants et aboutissants des pertes d'informations sensibles qui sont de plus en plus victimes de personnes mal attentionnées attirées par l'appât du gain.
Dans le cadre de la coordination des professionnels de Santé autour du parcours de soins du patient, la mutualisation des informations relatives à sa situation sanitaire est désormais reconnue comme primordiale.
Une cible attractive et lucrative pour des personnes mal attentionnées
Mais la nature sensible de ces données et la très grande volumétrie d’informations qui transitent sur ce champ nécessite de prendre en compte de manière exhaustive les droits et habilitations d'accès aux dossiers électroniques qui les contiennent et de sécuriser les canaux de communication par lesquels ils transitent. Car, outre les erreurs involontaires qui émanent de certains professionnels de Santé inattentifs ou ignorant ces contraintes, des données disparaissent car des personnes mal attentionnées en font une cible attractive et lucrative.
C'est pour explorer les dysfonctionnements de ce type que Verizon a réexploité son Data Breach Investigations Report (DBIR) 2016 et 2017 et l'a dédié aux données de Santé, à la protection de ces données et particulièrement des données médicales protégées ou PHI (protected health information). Le 2018 Protected Health Information Data Breach Report (PHIDBR) s’appuie sur 1 368 incidents couvrant 27 pays.
Des employés complices et des documents papier dérobés ou photocopiés
On y apprend que 58% des incidents recensés impliquaient des employés complices. La santé est le seul secteur d’industrie où les acteurs internes constituent la principale menace pour l’organisation. Ils utilisent ces informations pour de la fraude à 48% des cas ou par curiosité ou amusement dans 31% des cas. D'autre part, 70% des incidents informatiques impliquant du code malveillant sont des infections par ransomware, les cyber-attaques qui ont défrayé la chronique durant ces derniers mois en attestent. Enfin, 21% des incidents impliquaient des PC portables perdus ou volés contenant des données PHI non chiffrées
Mais, paradoxalement, 27% des incidents concernent des PHI imprimées sur papier. Il s'agit notamment de prescriptions transférées entre les établissements cliniques et les pharmacies, de relevés de facturation adressés par courrier, de documents de sortie ou de certificats médicaux, voire de photocopies des cartes d’identité et d’assurance. Il est à noter que, dans 15% des cas, il s’agit de documents jetés sans être détruits ou rendus illisibles.
Les résultats contenus dans ce rapport sont de nature à inquiéter l'ensemble des acteurs du système, les professionnels de Santé, les tutelles ainsi que les patients eux-mêmes.
Bruno Benque