Comment sont protégées les données de santé des usagers ?

Les données de santé sont partagées entre professionnels de santé via le DMP (dossier médical partagé), toujours avec l’accord explicite du patient à qui les données appartiennent. Le patient est ainsi à la fois acteur et bénéficiaire de ces avancées technologiques qui optimisent sa prise en charge. Les professionnels de santé sont informés de la sensibilité de ces données en termes de confidentialité des informations qu’ils manipulent. Le DMP est un outil national, répondant à des exigences de sécurité très élevées, avec une certification HDS (hébergeur des données de santé). L’État investit pour garantir la confidentialité, la disponibilité et aussi l’intégrité des données de santé. Par ailleurs, la question de la sécurité des données confiées aux établissements de santé se pose également. En Martinique, sous l’impulsion conjointe de l’ARS et de l’État, nous avons renforcé de manière conséquente le niveau de sécurité de ces données.

Quel soutien apportez-vous aux établissements de santé en matière de cybersécurité ?

Nous avons créé au sein du GRADeS, avec le soutien de l’ARS, et dans le cadre du programme CaRE, un Centre Régional de Ressources Cyber, qui vise à harmoniser les pratiques, fédérer les besoins et mutualiser les solutions pour offrir un ensemble de services aux structures de santé. Nous accompagnons les établissements aussi bien pour créer leur feuille de route, que pour réaliser les audits nécessaires au renforcement de la sécurité des points névralgiques (comme le service d’annuaire). Nous scannons les vulnérabilités, élaborons des plans d’action correctifs et sensibilisons les personnels. Nous intervenons pour sécuriser les services exposés sur internet (sites internet, serveurs de messagerie…). La sensibilisation des personnels est pour moi un enjeu central : un utilisateur informé peut pallier une faille technique, mais une solution technique ne peut pallier un manque de vigilance humaine.

Les établissements de santé sont-ils en mesure de faire face à une crise cyber ?

Nos établissements de santé sont hyperrésilients et sont habitués à gérer des crises au quotidien, cependant, le risque cyber était peu intégré aux dispositifs de gestion de crise. Depuis 3 ans, nous organisons chaque année, dans chaque établissement du secteur sanitaire de Martinique, un exercice de crise mobilisant les acteurs clefs de chaque structure et allant même jusqu’à la mise en œuvre d’un exercice de crise à l’échelle régionale. C’est un vecteur de sensibilisation majeur pour les directions, qui se trouvent confrontées à des questions inédites nécessitant une réflexion globale, à la fois au niveau de chaque service et à l’échelon territorial. Une crise cyber dure, en moyenne, trois mois, et ne se résume donc pas à une simple panne informatique. En complément, nous apportons un accompagnement à la gestion de crise dans les actions de remédiation via un prestataire, labellisé par l’Agence nationale des systèmes de sécurité de l’information, capable d’appuyer chaque établissement dans la gestion de l’incident. Quant aux établissements du médico-social qui n’ont pas bénéficié par le passé des mêmes accompagnements et financements que ceux du secteur sanitaire en matière de numérisation et de systèmes d’information, des efforts conséquents sont désormais engagés, pour combler ce retard technologique. L’avantage de cette dynamique est que la sécurité y est intégrée de la conception au déploiement des outils. En matière de cybersécurité, le coût de la sécurité sera toujours inférieur à celui du risque.