Milieux hospitaliers : qui s'occupe de la sécurité de leurs données ?

Pourquoi attaquer, en tant que hacker, un hôpital ? En tout cas, on parvient aisément à trouver de bonnes raisons de vouloir mettre en péril la cybersécurité de ce dernier.

D'abord, il peut, par exemple, faire face à une attaque par chiffrement des systèmes et données qui ne permettent plus d’accéder aux informations du patient. C’est d’ailleurs ce qui s’est passé pour l’hôpital de Versailles qui a “bénéficié” d’une couverture médiatique très importante, et qui a mis les hackers en question au centre d’une querelle polémique sur la sécurité des hôpitaux. 

Enfin, l’hôpital va nécessairement payer une rançon, ce qui va nécessairement encore plus appauvrir un milieu qui déjà peine à respecter les malades. 

État des lieux et conseils pratiques pour sécuriser les données, Myriad Consulting vous explique qui s’occupent de vos données.  

Quelles solutions face à une cyberattaque et aux fameux leaks ? 

Le leaks (aspiration) du dossier patient est une arme formidable des hackeurs. 

Pourquoi ? 

Parce que les données de santé ont une valeur précieuse, elles sont monétisables facilement sur le marché noir. 

Par qui sont-elles achetées ? 

La moitié des pharmacies françaises, à savoir plus de 10 000 officines, semblent avoir un contrat avec l’agence américaine IQVIA et revendent nos données de santé en échange de logiciels, d’ordinateurs, d’études de marché…

Des données qui valent de l’or

Sarah Spiekermann, directrice de l’Institut des systèmes d’information de Vienne, a indiqué dans le reportage “ nos données personnelles valent de l’or ” que certaines entreprises détiennent jusqu’à “30 000 points de données pour chaque individu qu’elles suivent “. Parmi ces données, l’âge, le sexe, le caractère, la religion, les opinions politiques, les habitudes de consommation ou le moral font partie des 30 000 marqueurs de classification des individus auxquels les sociétés commerciales ont accès. 

💸 Un marché estimé aujourd’hui à 400 milliards d’euros en Europe.

Au niveau mondial, “le potentiel des données de e-santé est estimé par les Gafam à 7 100 milliards de dollars”, selon Eugène Favier-Baron.

Et l’état dans tout ça ? 

Emmanuel Macron a indiqué en 2018 lors d’une conférence qu’il souhaitait lancer la désormais existante  plateforme Health Data Hub et collecter les données de santé issues de dossiers de patients d’hôpitaux pour des fins de recherches scientifiques.

Un instrument économique et politique

Les données de santé comprennent des informations déterminantes pour prendre la main sur le libre arbitre économique, voire même politique, du citoyen. 

Comment ? 

Simplement parce que notre état de santé indique notre point de fragilité, mais aussi et pourquoi pas, ce que l'on pourrait vous vendre. Vous pourriez par exemple être la cible d'un géant des Beautytechs  ou des entreprises de la santé mentale.

Un exemple ?

Vous souhaitez faire un emprunt pour un achat immobilier. Vous pourriez ainsi vous faire rattraper par un cancer vieux de 10 ans, une mauvaise prise de sang, ou une pointe au cœur (en exagérant). 

En tout cas, ces données protégeront mieux les organismes de santé, les employeurs, les assurances et toute la sphère biotech… en définissant un taux d’assurance d’un montant supérieur à la moyenne, en vous proposant un traitement plus adapté, en vous refusant un travail, s’ils découvrent une probabilité de cancer plus élevé ou de diabète, par exemple.

💡 Bon à savoir

✅ Par cette donnée de santé, l’assureur aura produit un arbitrage en toute indépendance et sur la base d’informations que la réglementation aurait sans doute limitée, au moins en Europe, grâce au Règlement Européen sur la Protection des Données (RGPD).

Bref, l’information de santé comprenant un diagnostic est précieuse et les géants de la data s’y engouffrent. 

Les géants des data à l’abordage !

Au-delà de cet exemple, les grands “datavores” de la donnée de santé de type 23andMe, Optum, Eqva sont très en demande de ce type de data, car elle répond à un besoin stratégique pour la recherche en Biotech, mais aussi pour les États et le renseignement ainsi que les assureurs. Des acheteurs à gros budgets ! 

Des biotechs et des datas, reines de l’anticipation !

Le premier a besoin d’identifier l’évolution des pathologies et peut ainsi, sur la base de données précises en diagnostics biologiques, anticiper des maladies chroniques à venir. 

Le laboratoire est ainsi certain de travailler sur le développement d’une molécule ad hoc que le marché attend. 

💡Bon à savoir

Le revers de la médaille, c’est que les pathologies mineures risqueront de ne plus bénéficier des programmes de recherche pour les traiter, car jugées peu rentables.

🚀 Cette posture amène les laboratoires à ne pas prendre de risque financier sur les coûts de recherche, car il veut être certain de produire aujourd’hui le traitement de demain en ayant anticipé une demande à venir que personne n’avait encore identifiée jusque-là. L’information de santé comprenant un diagnostic est donc précieuse.

L’empire des datas en marche 

Tout est une question de budget. Et anticiper le financement de l’assurance maladie, le coût de la dépendance à l’égard de nos ainés, analyser l’immigration, sont autant d’informations à connaître pour définir les grands projets sociaux, mais aussi financiers de l’État, jusqu’à légiférer sur la police, la fiscalité et le budget de la nation. 

L’espionnage étatique 

Un autre intéressé, au demeurant très actif sur ce segment, c’est l’espionnage étatique. Savoir comment la population d’un pays ami ou ennemi se porte, permet d’influencer les stratégies commerciales, financières, technologiques en vue d’en prendre le contrôle ou de l’affaiblir. Si, pour un État, savoir ce qu’il se passe au sujet de la santé de sa population est une information essentielle, elle l’est forcément pour son voisin, allié ou non. 

Faites entrer l’accusé 

Et, à ce petit jeu, les Américains ont un coup d’avance sur le reste du monde. La Fondation Microsoft dont l’un des rôles est de projeter la santé de demain, exerce un lobbying considérable sur les États et les Big Pharma grâce aux données collectées et analysées. 

Alors, comment sécuriser les données ? 

Clairement, on s’attaque à des mastodontes du vol d’informations, mais il y a tout de même quelques réponses déjà apportées à ce problème. 

Comme évoqué précédemment, la protection des données de santé est primordiale, tant pour respecter le Règlement Général sur la Protection des Données (RGPD) que pour garantir le respect de la vie privée des patients.

Que vous soyez médecin généraliste, spécialiste, établissement de soin ou tout autre professionnel de santé, vous devez mettre en place des mesures de sécurisation des données de santé.

Si vous ne savez pas comment procéder pour protéger vos patients, voici quelques conseils facilement applicables qui, pratiqués au quotidien, vous permettront d’apporter un niveau de sécurité supérieur pour vos données.

Pensez toutefois à vous référer aux documentations fournies par la CNIL pour respecter au maximum les exigences en termes de protection de données de santé.

Vous avez un projet innovant dans la cybersécurité? Vous pourriez en tout cas bénéficier de Crédit Impôt Recherche, Crédit Impôt Innovation ou du statut Jeune Entreprise Innovante pour développer votre solution. N’hésitez pas à nous contacter pour en savoir plus. 

8 façons de sécuriser vos données patients 

Voici nos 8 façons de sécuriser un peu plus vos données en milieux hospitaliers.

N°1 : Réaliser une analyse d’impact et de risque

L’analyse d’impact permet de comprendre quel type de données peut représenter un impact pour les droits et libertés des patients.

N°2 : Informer le patient de la finalité de ses données 

Cela permet la transparence et le patient comprend pourquoi certaines informations lui sont demandées.

N°3 :  Limiter au maximum la collecte de data

Pour une prise de rendez-vous ou de consultations, veillez à ce que les informations recueillies soient véritablement nécessaires.  

Prudence est mère de sûreté, alors moins vous aurez de données à traiter, plus la sécurisation sera simple.

N°4 : Supprimer les informations ayant dépassé la durée de conservation préconisée 

La CNIL recommande des durées de conservation et il faut ensuite supprimer les données qui n’ont plus d’intérêt afin de limiter au maximum le stockage de données. Si vous souhaitez garder les données à des fins statistiques, vous pouvez néanmoins les anonymiser.

N°5 : Vérifier le niveau de sécurité garanti par l’hébergeur de données de santé 

Au cas où vous utilisez un hébergeur de données de santé certifié, vous devez vous assurer que le niveau de sécurisation des données qu’il vous garantit est adéquat. Après vérification, pensez à signer conjointement un contrat en relation avec la sécurisation des données.

💡Bon à savoir

N’hésitez pas à comparer les hébergeurs et à vérifier leurs sources de financement.  

N°6 : Utiliser un service de messagerie sécurisée de santé dans le cadre d’échange avec d’autres professionnels de santé 

Si vous utilisez une messagerie électronique classique, assurez-vous que cette dernière soit sécurisée et adaptée à votre utilisation professionnelle. Dans ce cas, il est également nécessaire de chiffrer les pièces jointes afin de garantir la confidentialité des échanges.

N°7 : Sécuriser l’accès à vos appareils digitaux (smartphone, tablette, PC) 

La sécurisation des appareils digitaux par le biais de mots de passe ou autre chiffrement, garantit une mesure de protection de données supplémentaires.

Dans le cas de présence de logiciel de dossier patient sur votre téléphone, assurez-vous que l’accès est bien sécurisé. Il est également recommandé de ne pas stocker d’informations de santé relatives ou patients sur un téléphone portable ou une tablette.

N°8 : S’assurer que les recherches menées avec des tiers soient conformes à la réglementation 

Dans le cadre d’une recherche menée de façon conjointe avec des tiers, vous devez vérifier qu’ils mettent également en place des mesures de sécurisation des données de santé.

Comme vous pouvez le constater, le système comporte encore de nombreuses failles, et il est temps d’innover en la matière. Vous avez un projet innovant dans la cybersécurité? Vous pourriez en tout cas bénéficier de Crédit Impôt Recherche, Crédit Impôt Innovation ou du statut Jeune Entreprise Innovante pour développer votre solution. N’hésitez pas à nous contacter pour en savoir plus. 

Liens utiles 

Maîtriser mes données

« Palmarès des hôpitaux » : la CNIL précise les raisons de son refus d’autoriser le Point à accéder à la base de données des hôpitaux

Cyberattaque : la liste des hôpitaux touchés en 2022

Pourquoi choisir Myriad Consulting pour vous aider dans votre demande d’aide fiscale ?

Myriad Associates et sa filiale française Myriad Consulting élaborent les demandes de crédit d'impôt pour la recherche et le développement depuis près de dix ans, en aidant un large éventail d'entreprises dans divers pays. Quelle que soit la taille ou le secteur de votre entreprise, nous pouvons vous aider. Nous comprenons l'importance des crédits d'impôt pour la recherche et le développement, tant pour les entreprises individuelles que pour l'économie dans son ensemble. 

Aussi, comme le gouvernement tient à préserver le succès du régime, il met souvent à jour les règles et réglementations relatives à ces régimes fiscaux de R&D, ce qui peut être source de confusion. C'est là que nous intervenons pour vous aider à garder le fil. 

Notre approche

L'équipe experte de conseillers fiscaux en R&D de Myriad Associates & Myriad Consulting applique une méthodologie unique pour naviguer à travers les complexités du processus de déclaration fiscale en matière de R&D. Pour obtenir l'allègement fiscal auquel vous avez droit, nous adoptons une approche globale.

Tout d'abord, nous nous efforçons de comprendre les incertitudes techniques et scientifiques auxquelles votre projet est confronté afin de nous assurer que nous répondons aux critères stricts du ministère de la recherche et/ou de l’économie en matière de crédits d'impôt pour la recherche et le développement.  

Ensuite, nous utilisons ces informations pour élaborer un rapport technique solide, rassembler tous les coûts pertinents et calculer le montant dû pour l'inclure dans la déclaration d'impôts de votre entreprise.

Nous nous occuperons également avec plaisir de toute demande de renseignements de la part du ministère de la recherche et/ou de l’économie, le cas échéant. Les critères d'attribution peuvent être difficiles à comprendre et les demandes de renseignements sont de plus en plus fréquentes, car les ministères s'efforcent de lutter contre les abus.

Quel que soit le stade de votre demande de crédits d'impôt pour la recherche et le développement, il vous suffit de nous contacter au ou d'utiliser notre formulaire de demande de crédits d'impôt pour la R&D.

Que vous ayez besoin d'une assistance complète du début à la fin ou que vous ayez simplement une question rapide, nous sommes là pour vous aider.

Avez-vous besoin d'aide pour répondre à une demande de renseignements du ministère de la recherche (CIR) ou de l’économie (CII) ?

Votre demande d'allègement fiscal pour la R&D a attiré l'attention du ministère correspondant ? Pas de panique ! 

Les enquêtes du ministère sur les demandes d'allègement fiscal en matière de R&D sont en augmentation. Notre équipe hautement qualifiée vous apportera le plus grand soutien possible afin d'obtenir une solution avantageuse pour votre demande de R&D auprès du ministère correspondant, de sorte que vous puissiez avoir l'esprit tranquille, sachant que votre entreprise est entre de bonnes mains.

Nous sommes bien équipés pour offrir des conseils pratiques sur toutes les demandes d'allègement fiscal en matière de R&D faites par le ministère correspondant, ainsi que pour fournir des examens proactifs qui peuvent aider à assurer une tranquillité d'esprit totale en ces temps d'incertitude.

Si vous avez été contacté par le ministère au sujet de votre demande de crédit d'impôt R&D, ou si vous souhaitez simplement en savoir plus, n'hésitez pas à nous contacter en utilisant notre formulaire de contact ou en appelant notre équipe sympathique au 01 89 20 27 90.