Recommandations pour prévenir les cyberattaques dans les centres de radiothérapie
MERCREDI 07 FéVRIER 2024
Soyez le premier à réagirAlors que la radiothérapie oncologique est l’une des spécialités les plus dépendantes des ressources informatiques et les plus génératrices de données de Santé, elle est ciblée par les cyberattaques. Il est donc nécessaire d’homogénéiser les actions de prévention dans ce domaine. Des acteurs français de référence de la spécialité ont ainsi édité des recommandations dédiées dans un article publié dans la Revue Cancer Radiothérapie.
Les données de Santé, c’est de notoriété publique désormais, sont très recherchées par les hackers qui en font des cibles privilégiées car susceptibles de générer des revenus intéressants.
La radiothérapie oncologique parmi les spécialités dépendant le plus des ressources informatiques
En France, le Computer Emergency Response Team (CERT) du secteur santé a enregistré 592 déclarations d’incidents de cybersécurité dans les établissements de santé et médico sociaux, qui sont d’ailleurs obligés de les déclarer depuis l’édition Décret du 12 septembre 2016 dédié, complété par l’Instruction du 23 mai 2023 relative au traitement des incidents significatifs ou graves de sécurité des systèmes d'information qui précise la procédure de déclaration sur le portail des signalements du CERT Santé, opéré par l’Agence du numérique en santé (ANS).
La radiothérapie oncologique est l’une des spécialités qui dépend le plus des ressources informatiques, pour l’imagerie, le transfert de données, la dosimétrie, le traitement, etc., si bien que plusieurs services spécialisés français à Dax, Valence ou Moulins ont été ciblés récemment. Cette situation a motivé des acteurs français de référence pour la spécialité de radiothérapie oncologique de réaliser un article, publié dans la Revue Cancer Radiothérapie, et destiné à aider l’ensemble des équipes, oncologues radiothérapeutes, physiciens médicaux, informaticiens, etc., à mettre en œuvre une sécurité adaptée aux spécificités d’un service d’oncologie radiothérapie.
Des particularités propres à la spécialité mais des pratiques de prévention inhomogènes
Les chercheurs y présentent plusieurs particularités propres à la spécialité, comme l’utilisation de matériels délivrant des doses élevées de radiations thérapeutiques, une dépendance de plus en plus importante à un système informatique dédié complexe - données patients, imagerie, dosimétrie, transfert de données techniques, etc. -, ainsi qu’aux fabricants des machines ou aux dispositifs médicaux pour la sécurisation des dispositifs (défaillances de sécurité du système « constructeur »).
Ajoutez à cela un volume important et croissant de datas à sauvegarder – surtout depuis l’avènement de la radiothérapie guidée par l’image (IGRT) représentant des milliers de Go – et la nécessité d’un processus continu et sécurisé pour assurer le bénéfice thérapeutique, et vous comprendrez aisément le besoin, pour les professionnels du secteur, d’adopter des pratiques homogènes et sécurisées dans des centres souvent différents dans leurs organisations, leurs tailles, leurs fonctionnements et les matériels utilisés.
Trois niveaux de prévention recommandés pour la cybersécurité
Dans cet article, les chercheurs font l’analogie entre la cybersécurité et la lutte contre les infections microbiennes – qui repose sur hygiène et prophylaxie - et appliquent une « prévention primaire », qui agit en amont de la maladie, une « prévention secondaire », qui agit à un stade précoce de son évolution (dépistage, détection), et une « prévention tertiaire » qui agit sur les complications et les risques de récidive.
Ils considèrent néanmoins que les moyens pour parvenir à ces objectifs et réduire les risques restent propres à chaque établissement, à ses particularités d’organisation et de fonctionnement et que la mise en œuvre de ces recommandations ne dispense pas les établissements de leurs obligations réglementaires en matière de sécurité des systèmes d’information.
Bruno Benque avec Cancer Radiothérapie