Étiquette : Données médicales

Posted on

Santé & technologie : 7 tendances clés qui vont marquer 2024

À quoi ressemblera le secteur de la santé en 2024 ?

Si vous souhaitez rester compétitif, vous devez vous surveiller de près les tendances émergentes de la santé.

Et justement, c’est l’objectif de cet article.

Sans plus tarder, voici les 7 tendances clés qui reviennent dans les prévisions des géants du secteur pour 2024.

1 – L’IA sera partout (vraiment)

Est-ce que vous connaissez ChatGPT ?

À part si vous vivez dans une grotte isolée, vous avez sûrement entendu parler de l’intelligence artificielle d’Open AI.

Eh bien, sachez que même vous qui exercez dans la santé, allez être impacté par ChatGPT et ses sœurs IA.

Selon un rapport de Markets and Markets, le marché de l’IA dans le secteur médical va atteindre la barre des 102.7 milliards de dollars en 2028 – contre 14.6 milliards en 2023.

Mais pourquoi est-ce que les hôpitaux et autres organismes de soins lorgnent sur ces IA médicales ? La réponse tient en un mot : efficacité.

Rendons ça moins abstrait, voulez-vous ? Voici 3 applications concrètes des IA médicales qui feront fureur en 2024.

1 – les robots chirurgicaux

Lorsqu’ils performent des actes médicaux, les chirurgiens ont plusieurs problèmes :

  • ils doivent constamment surveiller les paramètres vitaux du patient ;
  • ils doivent rester concentrés pour ne pas abîmer un nerf ou un tissu mou ;
  • leurs gestes doivent être… chirurgicaux, sans mauvais jeu de mots.

En conséquence, certaines opérations ne peuvent être réalisées que par quelques praticiens expérimentés.

Et c’est là qu’entre en jeu les robots chirurgicaux.

Les robots chirurgicaux sont voués à devenir les assistants des pratiquants lors d’opérations complexes. Plus précis, capables de tourner leurs scalpels dans tous les sens et résistant à la fatigue.

Pour vous faire une idée de leur capacité, la première opération du retrait d’un cancer du côlon réalisée par un robot chirurgical a été documentée par The Guardian.

2 – la réduction des coûts de développement de nouvelles molécules

microscope recherche et développement
microscope recherche et développement

Développer de nouvelles molécules est loin d’être aisé.

Il faut trouver de nouvelles combinaisons de protéines.

Leur faire subir une batterie de tests. Déterminer leurs effets. Vérifier les effets secondaires, etc.

Bref, la recherche de médicament est longue, coûteuse et parfois n’aboutit pas au résultat escompté.

Heureusement pour les entreprises pharmaceutiques, l’IA va grandement faire baisser le coût de la recherche et du développement de nouvelles molécules.

En effet, grâce aux intelligences artificielles et au big data, les bases de données sur les effets des molécules sur le corps humain abondent. De là à entraîner des modèles de machine learning sur ces ensembles de données, il n’y avait qu’un pas.

Pas que Google a franchi avec son algorithme Google Alpha Missense.

Paru en septembre 2023, il s’agit d’une intelligence artificielle qui recherche les mutations dangereuses dites faux sens présentes dans le code génétique. Ensuite, l’outil leur attribue un score qui dénote la capacité de chaque mutation à créer des maladies génétiques à son porteur.

En tout, ce sont 71 millions de mutations génétiques qui ont été examinées par ce pharmacien numérique. Ses résultats sont disponibles ici.

Bien sûr, ce n’est qu’un exemple. Mais ça illustre bien les possibilités d’analyses des protéines, de l’ADN et du génome humain qu’offrent les IA.

3 – La détection et le traitement des maladies rares

Les maladies rares posent deux problèmes majeurs  :

  • elles sont difficiles à détecter ;
  • et tout autant difficiles et onéreuses à soigner.

Raisons pour lesquelles les ingénieurs informatiques planchent sur des moyens de lutter efficacement contre elles.

Et les résultats sont concluants : l’IA permet déjà de détecter 30 fois plus vite, les cancers du sein à partir des mammographies avec une précision de 90 %.

Non seulement, cela permet une meilleure prise en charge du patient, mais ça réduit aussi le nombre de biopsies inutiles.

Dans ce domaine, plusieurs startups tricolores se spécialisent déjà dans l’analyse des imageries médicales via IA. En voici deux :

  • Dreamquark, dont le produit “Dreamup Vision” permet de dépister les rétinopathies diabétiques en se basant sur la reconnaissance des biomarqueurs présents sur les radios d’images du fond de l’œil ;
  • Cardiologs, une autre startup médicale qui développe des algorithmes d’IA capables d’interpréter automatiquement les électrocardiogrammes en temps réel.

Une fois que les maladies ont été détectées, il faut les traiter, et là aussi, l’IA accompagne les spécialistes. Les projets dédiés ont explosés cette année, avec notamment :

  • BERG, une plateforme biotechnologique états-unienne au stade clinique basée sur l’IA et qui aide à la découverte et à la création de vaccin de pointe ;
  • Watson for Oncology d’IBM, qui aide les oncologues à choisir le traitement le plus adapté pour leurs patients. Pour cela, l’IA d’IBM se base sur 3 éléments :
    • les données cliniques ;
    • les recommandations d’experts ;
    • l’analyse des publications scientifiques.

L’UE développe aussi des programmes et politiques de santé basés sur l’IA pour améliorer la qualité de vie des patients. Pendant et après leurs soins de santé.

En voici quelques-uns :

  • QUALITOP (Quality of Life After Cancer ImmunoTherapy), qui est une plateforme pour la prévention personnalisée et la gestion des patients ;
  • ASCAPE (Artificial Intelligence Supporting Cancer Patients), qui vise à créer une infrastructure commune entre les centres de santé et les instituts de recherche, capable d’établir des diagnostics précoces et de prévoir la trajectoire des maladies ;
  • PANCAIM (Pancreatic Cancer AI for Genomics and Personalized Medicine), qui vise à améliorer le choix des traitements médicaux contre le cancer du pancréas.

Vous pouvez trouver la liste de tous les projets de l’UE dans cette catégorie ici.

2 – Le Big Data

certificat covid 19 Union européenne
certificat covid 19 Union européenne

Le big data dans le domaine de la santé n’est pas une nouveauté.

Ça fait au moins une décennie que les services hospitaliers, assurances et autres biotechs l’utilisent au quotidien.

Par contre, la nouveauté ici se trouve dans la manière avec laquelle les leaders des soins de santé vont organiser leurs données : ils vont les décloisonner et adopter des écosystèmes ouverts.

En effet, les anciens systèmes de santé sont organisés en silos : chaque périphérique garde ses propres données qu’il ne partage (parfois) qu’avec ceux de son service – À condition qu’ils soient tous compatibles et de la même marque…

Bref, accéder aux données est un véritable casse-tête pour les soignants qui doivent pouvoir visualiser les informations importantes en quelques secondes. Et c’est aussi un problème pour les organisations qui doivent constamment dé-clusteriser leurs données pour faire des analyses prédictives.

Raison pour laquelle l’une des tendances de 2024 sera de permettre l’accès des données de tous les périphériques médicaux à partir d’une seule interface.

Concrètement, cette organisation des informations présente 3 grands avantages :

  • elle améliore la satisfaction des patients en permettant de déterminer combien de personnels médicaux mettre à son chevet à chaque moment ;
  • le lancement d’alertes instantanées est plus rapide ;
  • elle améliore la planification stratégique des entreprises médicales grâce à l’analyse des données de santé en temps réel.

C’est cette accessibilité accrue aux informations de santé qui permet aux startups biotech de miser à fond sur le big data.

Ainsi, l’américaine Fuzzy Logix a pu analyser les données des patients pour mettre en lumière 742 facteurs à risques d’addiction aux opioïdes. Grâce à cela, les médecins peuvent savoir si le patient en face d’eux va se soigner avec les opiacés ou s’en servir comme drogue.

Meme sur Superman consommant de la drogue avec une arme à feu
Meme sur Superman consommant de la drogue avec une arme à feu

Après, vous aussi, vous pouvez booster votre offre de soins grâce à des solutions cloud clé-en-main :

Attention toutefois à bien prendre en compte le conflit entre le RGPD européen et le Cloud Act américain.

3 – les hôpitaux virtuels ou hôpitaux 2.0 pour les personnes âgées

Combien est-ce que vous dépensez pour faire fonctionner votre structure de santé ?

Non, j’ai mal posé ma question : quel part de votre budget n’EST PAS alloué aux activités de votre cœur de métier ?

Vous ne savez pas ?

La réponse va vous choquer : en moyenne en 2020, 52 % du budget des hôpitaux publics et privés français n’était pas consommé par les frais médicaux et les consommables, équipement inclus.

Imaginez un instant si, d’un claquement de doigt, vous n’aviez plus à supporter toutes ces charges, toutes ces dépenses en infrastructure.

Ça ferait bondir votre CA… et ça existe déjà : ce sont les hôpitaux virtuels.

En effet, grâce à la télémédecine et à l’internet des objets médicaux IoMT, vous n’avez plus besoin d’être proche du patient.

Depuis leurs locaux, vos cliniciens pourront consulter vos patients via une application médicale ; examiner les paramètres grâce aux équipements de santé portables ; poser leurs diagnostics et suivre les patients sur la durée.

Seuls les examens et les actes médicaux nécessiteront de réunir le patient et le praticien.

Mais est-ce que cette idée d’un hôpital virtuel n’est pas juste un délire cyberpunk ou un excès d’enthousiasme dû au boom de l’IA ?

Pas du tout. 68 % des 3000 leaders d’entreprises médicales sondés par Phillips en 2023 pensent que les soins virtuels sont l’avenir de la santé.

Et ça se comprend en analysant 3 éléments :

  • l’évolution de la pyramide des âges dans les pays de l’OCDE ;
  • la répartition géographique des personnes du 3ᵉ âge ;
  • la répartition des richesses par âge.

Voyons ça en détail tout de suite.

1 – la pyramide des âges, l’opportunité du siècle pour le secteur de la santé ?

Pour vous faire une idée du problème, voici la pyramide des âges de la France en 2023 selon l’Institut National de la Statistique et des Études Économiques (INSEE).

Pyramide des âges en France, Insee 2023
Pyramide des âges en France, Insee 2023

Ce graphique de l’INSEE révèle un problème typique des pays développés : le vieillissement de la population. Et plus vous avancez dans le temps, plus ce fléau empire. Voici une projection de l’INSEE pour 2060.

Pyramide des âges 2007 - 2060, Insee
Pyramide des âges 2007 – 2060, Insee

2 – les séniors n’aiment vivre en agglomération

Voici une carte de l’observatoire des territoires de France qui montre la répartition des personnes âgées en 2021.

répartition du niveau de vieillisement de la population française en 2021, Insee
répartition du niveau de vieillisement de la population française en 2021, Insee

Vous avez remarqué ? Les Françaises et Français à la retraite s’éloignent des zones peuplées, et donc des services de santé.

3 – les patients les plus âgées ont plus de ressources financières et sont plus autonomes

Autre statistique qui explique l’enthousiasme des établissements de santé à migrer vers les hôpitaux virtuels : la répartition des richesses dans les ménages selon les âges.

L’Observatoire des Inégalités (de France) les a résumés en 2021 dans ce graphe :

Patrimoine des français selon l'âge des ménages, source Ministère des Solidarités
Patrimoine des français selon l’âge des ménages, source Ministère des Solidarités

Enfin, dernier élément à prendre en compte : les séniors vieillissent mieux, donc sont moins dépendants, et vont logiquement moins en Ehpad.

Selon le ministère des Solidarités, seuls 8 % des plus de 60 ans sont dépendants et l’âge moyen de la perte d’autonomie est de 83 ans.

Ok, ça fait beaucoup de statistiques sur le 3ᵉ âge.

Mais ce sont bien ces statistiques qui poussent les grands groupes de santé à miser sur les hôpitaux virtuels.

Car le vieillissement de la population des pays de l’OCDE va créer un nouveau marché : celui de séniors âgés, autonomes, vivant en zone rural et avec de hauts moyens financiers.

Des personnes qui auront besoin de soins légers, constants, mais qui auront un accès aux soins limité.

Il existe même un terme pour désigner cette nouvelle offre de soins : la silver economy.

Par ailleurs, les hôpitaux virtuels permettent aussi d’accéder à une autre catégorie de patients : ceux à mobilité réduite.

4 – Prévenir les soins via des analyses prédictives : Prévention is The New Black

Jusqu’à présent, la doctrine de soins était plutôt réactive.

Les établissements de santé réagissaient aux cas qui arrivaient avec très peu de prévention et de dépistage.

Grâce au big data et aux équipements médicaux connectés, une nouvelle approche de santé publique émerge : les soins préventifs.

Toujours selon le rapport Future Health Index 2023 de Philips, 39% des professionnels de santé utilisent ou prévoient d’investir dans l’IA. Leur but : prédire comment les patients vont réagir aux différents soins. Chez les radiologues, ce chiffre monte à 48 % et atteint 50 % chez les cardiologues.

Ce changement de pensée permet de résoudre un problème persistant du monde médical : la rotation du personnel.

De plus, la qualité des soins aigus, dans lesquels la vie du patient dépend d’une intervention rapide, est bien meilleure.

5 – L’internet des objets médicaux

Grâce à l’avènement de la 5G et de l’augmentation des bandes passantes, les périphériques médicaux portables se multiplient.

L’internet des Objets Médicaux, IoTM, modifie radicalement la manière avec laquelle tous les acteurs du système de soins interagissent avec les solutions médicales :

  • les patients peuvent accéder à des soins individualisés, des prescriptions et des informations sur leurs pathologies aisément. De plus, ils peuvent aussi suivre leurs paramètres vitaux – rythme cardiaque, pression sanguine, glycémie, etc. – en permanence depuis chez eux ;
  • les compagnies d’assurance et les mutuelles peuvent mieux évaluer les demandes d’assurance-maladie au cas par cas ;
  • les soignants peuvent suivre leurs patients à distance et être alertés en cas de problème instantanément.

Toutefois, attention : si vous vous lancez dans cette voie, vous deviendrez une cible de choix pour les cyberpirates.

Eh oui, les données de santé valent plus cher que les informations bancaires et sont bien moins protégées.

Mais ne stressez pas, on vous a dédié un article sur comment protéger vos données de santé des hackers 😁.

Ce qui nous conduit au point suivant.

6 – les soins personnalisés

Femme enceinte discutant avec un médecin
Femme enceinte discutant avec un médecin

Comment savez-vous qu’une prescription va être efficace sur un patient en particulier ?

Ne riez pas, c’est une question sérieuse : comment le savez-vous ?

Jusqu’à il y a peu, votre seule solution était de faire des suppositions du type : « dans une étude de 20XX, X patients soumis à la molécule Y ont montré Z % d’amélioration, etc. ».

Or, vous et moi le savons, l’efficacité – et le coût – d’un traitement dépendent de plusieurs facteurs :

  • les facteurs environnementaux ;
  • le style de vie ;
  • l’IMC de l’individu ;
  • son génome ;
  • son historique médicamenteuse ;
  • ses taux d’hormones ;
  • ses antécédents familiaux, etc.

Nous pouvons étendre cette liste à l’infini, mais vous voyez le topo.

Les soignants tâtonnent et font des suppositions en se basant sur les informations des carnets numériques et les imageries médicales. Si ça marche tant mieux. Sinon on recommence.

Heureusement, la quantité astronomique de données produite au quotidien va permettre d’améliorer le processus.

Dites bonjour aux soins personnalisés, ou SSP.

Grâce aux données personnelles et aux banques de données publiques, les services hospitaliers peuvent davantage « calibrer » leurs prescriptions. Pour ça, ils peuvent compter sur des algorithmes prédictifs de machine learning qui analysent chaque patient en temps réel durant tout son parcours de soins.

Et pour obtenir les données, ils peuvent s’appuyer sur les dispositifs médicaux portables et domestiques – Apple Watch pour l’échocardiographie, le lecteur de glycémie Diabeloop, le bracelet PKvitality, etc.

Si vous voulez en apprendre plus sur ce sujet, cet article de Forbes est topissime.

7 – la réalité virtuelle & la réalité augmentée

Chirurgien en pleine opération
Chirurgien en pleine opération

Mai 2023.

Une femme est admise en salle d’opération au sein de la Fondation Champalimaud à Lisbonne.

Face à elle, se tient un chirurgien à première vue normal, habillé de la tête au pied comme un chirurgien classique.

Seulement, ses lunettes sont différentes. En fait, il ne porte pas de lunettes, mais un casque de réalité augmentée HoloLens 2.

L’homme, le Dr Gouveia, exécute les ordres d’un certain Dr Rogelio Andrés-Luna… situé à 900 KM au Portugal.

Ce n’est pas une histoire de science-fiction, mais bel et bien un évènement clé de l’histoire de la cancérologie : la première opération chirurgicale réalisée dans le métavers.

Devant les yeux du Dr Gouveia, les informations de la patiente s’affichaient en temps réel tandis qu’il pouvait parfaitement la voir.

Hormis l’exploit de réaliser un acte chirurgical via un réseau 5G et à distance, cette opération a ouvert la porte de la réalité virtuelle dans les blocs opératoires.

La réalité augmentée s’est aussi faite une place dans le cercle médical grâce à une étude de la Harvard Business Review. Celle-ci a démontré que les chirurgiens formés via cette technologie décuplent leurs performances de 230 %.

En effet, grâce à cette technologie, les soignants peuvent s’entraîner dans des situations immersives avant de traiter le malade (le vrai, pas son avatar). D’ailleurs, l’Université de Montréal au Québec inclut un de ces systèmes dans son programme de formation en soins infirmiers.

Aucune branche de la médecine n’échappe à l’engouement pour la réalité augmentée/virtuelle.

Par exemple, l’anesthésie générale. 81.5 % des erreurs d’anesthésie sont dues à une mauvaise interprétation des données, Phillips a développé en octobre 2023, des avatars virtuels pour pallier ce problème.

Un autre domaine séduit par les mondes oniriques du métaverse est la santé mentale. En effet, la réalité virtuelle se prête très bien à l’éducation thérapeutique des patients.

Autre problème, la dégradation du bien-être des patients pendant les phases anxiogènes ou douloureuses. L’association Santelys a eu l’idée de soulager la douleur et le stress de ses patients en les équipant d’un casque de réalité virtuelle Lumeen.

On peut aussi citer les check-ins réalisés à distance grâce aux casques de VR, mais vous avez compris l’essentiel : les casques de VR/AR ont trouvé leurs places dans les hôpitaux.

Comment profiter de la technologie pour prendre une avance sur vos concurrents ?

Jusqu’ici, nous vous avons présenté les 7 tendances technologiques qui bouleverseront la santé en 2024.

Toutefois, cette liste n’est pas exhaustive. Par exemple, on peut aussi y ajouter les jumeaux virtuels qui répliquent le fonctionnement des organes du corps humain, et bien d’autres.

Maintenant, si vous voulez éviter que vos concurrents prennent de l’avance sur vous, on a une solution à vous proposer : intégrez les meilleures technologies qui correspondent à votre offre dans vos services.

Pour ça, rien de plus simple : contactez-nous et on trouvera ensemble comment améliorer votre offre sur votre marché.

C’est gratuit et ça ne vous engage à rien, alors pourquoi hésiter ? C’est par ici.

Posted on

👩‍⚕️Comment protéger vos données de santé des cyberpirates?

C’est le nombre d’attaques informatiques visant les structures médicales aux USA en 2022 recensées par l’HIPAA. Un nombre en nette augmentation par rapport à 2020 qui illustre bien une nouveauté : la santé connectée et les carnets de santé numérique sont les nouvelles cibles phares des cyberpirates.

Alors, comment protéger vos données de santé protégées ?

Nous avons listé cinq solutions, mais pas que. Nous vous expliquons aussi pourquoi elles sont autant convoitées.

Pourquoi les hackers adorent voler des données de santé ? (3 raisons)

Est-ce que vous vous êtes déjà demandé pourquoi est-ce que les hackers voient les données de santé comme de l’or ?

Source : Journal de l’HIPAA

Il y a plusieurs réponses envisageables.

Par exemple, des instituts pharmaceutiques peu scrupuleux peuvent les utiliser pour multiplier des études… disons socialement inacceptables. Ensuite, des compagnies d’assurance peuvent s’en servir pour discriminer des personnes atteintes d’un handicap ou d’une pathologie.

Mais la vraie raison pour laquelle les cyberpirates se sont découvert une passion pour le monde médical et les informations de santé protégées, c’est l’argent.

Sceptique ?

Voici trois raisons derrière les piratages massifs des établissements de santé.

1 – les données de santé se vendent plus cher que les informations de carte de crédit

Oui, vous avez bien lu.

Selon un rapport de Secure Link, les données de paiement se vendent à 5.50 $ en moyenne, contre 250 $ pour les données de santé.

Même si les chiffres divergent d’une étude à l’autre comme le montre cette infographie de trend micro, le constat est le même : vendre des données médicales rapporte davantage que receler des informations bancaires.

Cerise sur le gâteau : les informations récupérées dans les carnets de santé numérique ont une durée de vie exceptionnellement longue. Après tout, est-ce que vous changez souvent d’assureur ou encore de couverture sociale ?

Probablement pas.

Ce qui nous amène au point suivant.

2 – Les carnets de santé numériques contiennent (littéralement) toute la vie du patient

Nom, prénom, date de naissance, numéro de sécurité sociale, antécédents médicaux, statut marital, traitements médicaux, pathologie, mode de vie… la liste des informations récoltées par la santé connectée est énorme.

Ainsi, en les dérobant, des hackers peuvent :

  • usurper votre identité ou celles de vos patients ;
  • réclamer des frais médicaux aux assurances ;
  • acheter des médicaments au nom de vos patients pour les revendre sur le marché noir.

Les cyberpirates étant très rusés, aucun doute qu’ils peuvent mener d’autres activités avec vos données.

3 – Elles sont mal protégées

Les établissements médicaux ont beau concentrer énormément de docteurs au mètre carré, force est de reconnaître que leurs infrastructures informatiques sont mal défendues.

En effet, l’accès aux données doit être rapide, sans contrainte, et ce, depuis plusieurs services.

Mais ce n’est pas le plus choquant.

D’après une étude de Sensato, 60 % des équipements médicaux utilisés dans les hôpitaux américains sont en fin de vie. Autrement dit, ils ne sont plus maintenus par leurs fabricants et tournent encore sur des systèmes d’exploitation qui ne reçoivent plus de mises à jour.

Autre problème de la médecine 2.0, la prolifération de périphérique due à l’Internet des objets Médicaux (IoTM). Certains de ces équipements sont utilisés avec leurs mots de passe par défaut.

Top 3+1 des attaques informatiques qui visent vos données de santé

Ok,

Maintenant que vous savez que les cyberpirates ciblent particulièrement les établissements médicaux, vous vous demandez sûrement : quels types d’attaques utilisent-ils ?

Nous avons compilé les quatre attaques informatiques qui reviennent le plus souvent.

1 – Les ransomwares

Les ransomwares sont des logiciels extrêmement populaires auprès des pirates. Grâce à une porte dérobée, le pirate installe un programme malveillant sur votre serveur.

Ce dernier va crypter votre base de données. Pour obtenir la clé de chiffrement, l’attaquant va vous demander une rançon. Et afin de vous mettre la pression, certains d’entre eux activeront un chronomètre. Passer un certain nombre d’heures, vos données seront purement supprimées.

Attendez, ce n’est pas le pire.

Si vous vous entêtez à ne pas payer en prétextant que vous avez un backup récent de vos données, l’attaquant peut extraire les données et les revendre sur le marché noir.

2 – Le phishing

Avez-vous déjà reçu un e-mail provenant d’un prince nigérian qui vous dit qu’il souhaite vous verser toute sa fortune, mais qu’il a besoin d’un acompte ?

Ou d’une Canadienne qui a oublié ses bagages dans votre pays et qui est prête à vous les donner ?

Oui, cela semble un peu gros comme arnaque, mais c’est le principe de l’hameçonnage : utiliser l’ingénierie sociale pour que vous donniez vous-même vos informations de connexion.

Les attaquants s’en servent surtout comme un point d’entrée dans votre SSII. Vous ne remarquerez même pas qu’ils se sont infiltrés dans votre système d’information.

3 – les attaques DDoS

Contrairement aux deux menaces précédentes, une attaque de Déni de Service, ou DDoS, ne permet pas aux attaquants de voler vos données.

Non, ce qui les intéresse, c’est de rendre vos services informatiques inaccessibles aussi bien pour votre staff que vos clients.

Et pour y parvenir, ils vont inonder vos serveurs avec des milliers de requêtes factices via un botnet.

Pour que cela cesse, vous allez devoir soit demander à votre hébergeur de mettre vos serveurs hors services le temps d’isoler les adresses IP malveillantes; soit implémenter rapidement des mesures anti-DDoS.

Petite nouveauté : certains attaquants vont vous demander de leur verser une rançon pour faire taire leurs armées de bots.

4 – Les attaques de la chaîne d’approvisionnement

Aussi appelé “Supply Chain Attack” dans la langue de Shakespeare, ce type de menace ne vous vise pas directement.

Ce sont vos fournisseurs et les fabricants de vos appareils médicaux connectés qui sont pris pour cible. En infectant leurs systèmes informatiques, les pirates s’en servent comme passerelles jusqu’aux vôtres.

C’est ce qui est arrivé au fournisseur américain d’imagerie médicale Shields Health Care Groupe en 2022. Des pirates ont réussi à obtenir des accès non-autorisés à partir desquels ils ont pu accéder aux bases de données des quelque 50 établissements de santé utilisant les services de la firme.

Au total, ce sont 2 millions de dossiers PHI qui ont été volés.

Face à toutes ces attaques, comment faire pour protéger vos données de santé ? Eh bien, l’UE et le gouvernement fédéral américains ont des réponses.

Et elles s’appellent RGPD, HDS et HIPAA.

RGPD, HDS et HIPAA : les 3 normes à respecter quand on est un professionnel de la santé

Rentrons dans le vif du sujet.

1 – Le RGPD

Est-ce que vous connaissez le Règlement Général de la Protection des Données (RGPD) européen ? Si votre réponse est non, sachez qu’il s’agit d’un ensemble d’articles qui visent à protéger les droits des consommateurs européens sur le web.

Toute entreprise installée en Europe ou qui traite les données de personnes européennes est soumise au RGPD.

En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui fait office d’autorité de contrôle. Et vu que vous êtes un professionnel de la santé, vous devez vous conformer à plus d’exigences, car vous traitez des données de santé.

Qu’est-ce qu’une donnée de santé aux yeux du RGPD ?

Selon l’article 4 alinéa 15 du RGPD, les données de santé sont : « … [des] données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

De par leur caractère personnel, Bruxelles interdit que ces données soient traitées. Sauf dans deux cas précis.

Quels sont les traitements de données sensibles autorisés par le RGPD ?

Selon le RGPD, vous pouvez utiliser les données de santé d’une personne à condition d’avoir notifié le ou la concerné·e. Mais cela ne signifie pas que vous pouvez en faire ce que vous voulez.

En France, l’Institut National des Données de Santé (INDS), qui fait office de régulateur quant à l’usage des données de santé, autorise 2 types d’usage :

  • l’usage individuel permettant de soigner le patient et qui autorise le partage de données entre celui-ci et le système de soin ;
  • la recherche et le pilotage du système, à condition que les données passent d’abord par un processus d’anonymisation.

Maintenant, voyons comment être conforme au RGPD.

Comment être conforme au RGPD en tant que professionnel de la santé ?

Femme en télé consultation avec un médécin
Femme en télé consultation avec un médécin

Pour que votre entreprise de santé soit déclarée conforme au RGPD, vous devez respecter les trois conditions suivantes :

  • vous informez les patients sur le traitement de leurs données de manière concise, transparente, compréhensible et accessible ;
  • vous protégez les contenus sensibles contre les accès non-autorisés ou illicites, contre la suppression, la perte et la dégradation ;
  • En cas de violations de données personnelles, vous devez avertir la CNIL dans les 72 h suivant la découverte de la faille informatique. De plus, vous devez aussi informer les personnes concernées que leurs données ont été volées.

Si vous souhaitez en apprendre plus sur le sujet, voici la page de la CNIL qui détaille toutes les exigences européennes en matière de protection des données de santé.

Quelles sont les sanctions encourues si votre établissement de santé n’est pas conforme au RGPD ?

Si jamais vous êtes pris la main dans le sac pour non-respect du RGPD, voici les sanctions prévues par le régulateur :

  • des sanctions administratives ;
  • pénales ;
  • financières ;
  • Ou encore des sanctions en déficit d’image.

Concernant les sanctions administratives, sachez qu’en plus de celles-ci, l’article 58 du RGPD permet aux autorités de contrôle de vous sanctionner davantage. On parle alors de mesures correctrices.

Et si elles sont jugées insuffisantes, l’article 84 du RGPD confère le pouvoir aux états de vous envoyer derrière les barreaux. Avec en prime des amendes salées.

Enfin, les sanctions financières sont calculées de la manière suivante :

  • 10 millions d’euros ou 2 % de votre chiffre d’affaires si vous ne respectez pas les conditions du recueil du consentement des enfants ou le principe de privacy by design ;
  • 20 millions d’euros ou 4 % de votre chiffre d’affaires si vous violez le principe de traitement des données ou ne respectez pas les conditions de licéité.

Si vous souhaitez en apprendre plus sur les sanctions du RGPD, Legal Place en a fait un excellent billet de blog.

Ces sanctions ont déjà été appliquées plusieurs fois, le cas de l’hôpital de Barreiro au Portugal étant sans doute le cas le plus connu.

La cause : l’établissement portugais avait une politique d’accès aux bases de données des patients beaucoup trop laxiste.

En effet, l’établissement médical comptait pas moins de 985 accès avec des privilèges de médecins… alors qu’il n’y avait que 296 médecins en service. Comble de l’horreur, le personnel administratif avait exactement les mêmes accès que les médecins.

Si vous souhaitez en apprendre plus sur cette histoire, faites un tour sur le site epione-simusante.fr.

La certification Hébergeurs de Données de Santé HDS

Le HDS est une certification destinée aux professionnels européens de l’hébergement et de l’infogérance des données à caractère personnel. Comprenez par là les hébergeurs de données de santé.

Obligatoire depuis 2018, le HDS est délivré en France par l’Agence du Numérique en Santé (ANS) et n’est valide que trois ans. Pour l’avoir, vous devez être conforme à deux normes ISO :

  • la norme ISO 27 001 relative au Management de la Protection de la vie privée ;
  • la norme ISO 20 000 relative au Management des Services informatiques.

Vous l’avez compris, cette norme vise les hébergeurs. Mais elle peut aussi vous concerner dans deux cas :

  • vous hébergez les données de vos patients sur des serveurs interne ;
  • vous stockez une partie de vos données à caractère personnel sur le cloud et l’autre sur vos propres serveurs.

Dans ces cas-là, vous n’avez pas le choix : vous allez devoir être conforme au HDS, en plus du RGPD.

Sachez qu’il existe deux types de certifications HDS réparties en six niveaux :

  • le certificat hébergeur d’infrastructure physique, qui va du niveau 1 jusqu’au niveau 2 ;
  • le certificat hébergeur infogéreur, qui va du niveau 3 jusqu’au niveau 6.

Voyons-les en détail tout de suite.

Le certificat Hébergeur d’Infrastructure Physique

Si vous envisagez d’héberger uniquement les données sur votre site sans être la personne qui les traite, alors ce certificat vous concerne.

Selon la description officielle, voici ce qu’il recommande :

  • la mise à disposition, le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour traiter de la donnée de santé ;
  • la mise à disposition, le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour traiter les données de santé.

Le certificat hébergeur ne traite donc pas de l’infogérance des données, raison pour laquelle il ne couvre que les niveaux 1 et 2 du HDS.

Maintenant, si vous allez traiter ces données, alors le prochain est fait pour vous.

Le certificat Hébergeur Infogéreur

Allant du niveau 3 jusqu’au niveau 6 (le dernier), ce certificat se concentre sur l’infogérance du système d’information traitant des données de santé.

Voici ce que dit sa description officielle :

  • la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé ;
  • la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
  • l’administration et l’exploitation du système d’information contenant les données de santé ;
  • la sauvegarde externalisée des données de santé.

Si vous décidez de faire héberger vos données par un hébergeur tiers, assurez-vous toujours qu’il possède cette certification. Car oui, tous les hébergeurs ne sont pas certifiés HDS 6 comme Amazon.

Un argument de poids si vous hésitez à héberger vos données sur Amazon AWS.

La norme américaine HIPAA

Faites-vous des affaires sur le territoire de l’oncle Sam ?

Si votre réponse est non, cette partie ne vous concerne pas. Dans le cas contraire, vous devriez prêter attention à la loi HIPAA.

Visant les structures médicales depuis 1986, elle permet à l’Office for Civil Rights (OCR) d’auditer les systèmes d’information des structures médicales. Et voici les 7 éléments obligatoires pour que vous soyez déclaré conforme :

  1. la mise en œuvre des politiques, des procédures et des normes de conduite écrites ;
  2. la désignation d’un responsable et d’un comité de conformité ;
  3. la mise en place d’une formation et d’un enseignement efficaces ;
  4. le développement de lignes de communication efficaces ;
  5. la mise en place d’un contrôle et d’un audit interne ;
  6. la mise en place d’une publicité adéquate destinée à faire respecter les normes ;
  7. enfin, vous devez répondre aux infractions détectées et prendre des mesures correctives le plus rapidement possible.

Voilà !

Pour en apprendre plus sur la loi HIPAA, il existe un excellent guide appelé HIPAA for dummies.

Une fois que vous serez certain que votre établissement médical respecte ces normes, ce ne sera pas fini. Vous devrez en plus mettre en place des barrières de sécurité anti-hackers.

Et justement, on vous en a listé quelques-unes.

5 actions à mettre en place pour protéger vos données de santé

Sans plus tarder, les voici.

1 – Créer des mots de passe forts et diversifiés

Ça peut sembler basique, et pourtant. Vous serez surpris en voyant le nombre de périphériques qui conservent exactement les mêmes mots de passe qu’à leurs sorties d’usine.

D’ailleurs, est-ce que vous avez déjà pris la peine de changer le mot de passe de toutes vos caméras connectées ? De votre robot aspirateur connecté ? Votre Smart TV ?, etc.

Bref, vous voyez le schéma.

Et c’est précisément la même chose en ce qui concerne les dispositifs médicaux connectés. De nombreux scanners, tensiomètres et oxymètres connectés sont mis en service sans qu’un DSI ne pense à changer leurs mots de passe.

Résultat : une surface d’attaque large, difficile à surveiller et avec beaucoup de points d’entrée. Un paradis pour les hackers adeptes des attaques de force brute. Un enfer pour l’établissement médical et les patients concernés.

Heureusement, vous pouvez éviter cela en prenant le soin de créer des mots de passe forts. Ces derniers doivent inclure :

  • des lettres majuscules et minuscules ;
  • des chiffres ;
  • des symboles tels que @, &, etc.

Enfin, vous formez votre personnel à ne pas écrire leurs identifiants sur des post-its ou sur un fichier texte sur le bureau.

2 – Crypter les données et les périphériques

Imaginez un instant…

Vos équipes reçoivent un patient qui a fait un grave accident de voiture. Après l’avoir stabilisé aux urgences, le médecin urgentiste crée son carnet numérique. Puis, au vu de l’état du patient, recommande une radiologie.

Son dossier numérique est donc transféré des urgences vers le service de radiologie. Et là, il s’avère que votre patient souffre de plusieurs fractures, son dossier est mis à disposition du service de traumatologie, sauf que celui-ci est plein. Par conséquent, vous référez le patient vers une autre structure hospitalière à laquelle vous transférez son carnet numérique.

Est-ce que vous voyez où nous voulons en venir avec ce scénario ?

Les dossiers numériques de vos patients transitent à plusieurs reprises entre différents réseaux informatiques.

Et ça pose un problème : des hackers peuvent profiter d’une faille dans un wifi mal protégé pour récupérer les données. Avec le développement de la télémédecine, de plus en plus de médecins accèdent à ces contenus à distance sur des réseaux peu protégés et parfois sans firewall.

Pire encore, un cyberpirate rusé peut en profiter pour infecter votre réseau et mettre en place une attaque de l’homme du milieu.

Heureusement, vous pouvez éviter qu’une fuite de données se produise en cryptant les données. Seule la personne avec la clé de chiffrement est capable de les déchiffrer. Pour les autres, les données de vos patients ne seront qu’un amas de bit impossible à comprendre.

Pour renforcer davantage votre barrière numérique, vous pouvez aussi mettre en place un APN privé. Il agit comme un tunnel qui sécurisera la communication entre vos différents terminaux.

3 – Former vos collaborateurs sur les gestes anti-piratage

Médecin devant un laptop
Médecin devant un laptop

Saviez-vous que 51 % des failles de sécurité sont dues à des erreurs humaines ?

Que ce soit l’un de vos collaborateurs qui ouvre un mail d’hameçonnage, un autre qui oublie de se déconnecter, etc.

Selon un rapport datant de 2021 du groupe Cyber Security Insider, 98 % des établissements de santé sont vulnérables à ce type de faille. Pour vous faire une idée, dites-vous que c’est le plus haut taux de menaces parmi toutes les industries.

Ici, vous n’avez qu’une seule chose à faire : éduquer et former vos collaborateurs sur les mesures de protection des données.

Cerise sur le gâteau : vous pouvez aussi mettre en place une politique d’accès aux données qui garantit que vos collaborateurs n’auront accès qu’aux données qui leur sont utiles pour exécuter leurs tâches.

4 – Choisir un hébergeur adapté

Vous souvenez-vous de la norme HDS dont nous parlions plus tôt ? C’est ici qu’elle entre en jeu.

En plus d’être conforme au RGPD, le datacenter qui hébergera vos données doit aussi être certifié HDS jusqu’au niveau 3 au moins.

Et avant que vous ne vous posiez la question, Amazon AWS est certifié HDS du niveau 1 jusqu’au niveau 6. Mais ce n’est pas le seul cloud provider qui cumule toutes les certifications HDS.

En voici d’autres :

  • Google Cloud Platform ;
  • Cegedim Cloud ;
  • Cloud Temple ;
  • Data One ;
  • EXODATA ;
  • Euris Health Cloud.

Pour savoir si le prestataire à qui vous voulez confier l’hébergement de vos données de santé est certifié HDS, rendez-vous sur le site de l’Agence du Numérique en Santé. Ensuite, appuyez sur les touches CTRL + F et tapez le nom de l’hébergeur qui vous intéresse.

S’il n’y apparaît pas, prenez vos jambes à votre cou.

5 – Choisir une agence qui va intégrer la cybersécurité de votre système informatique dès la conception

Plus une faille de sécurité est détectée tôt, moins elle est coûteuse à réparer. Alors pourquoi ne pas l’anticiper avant la création de votre plateforme ?

C’est ce que nous vous proposons chez Poyesis.

Avant même d’avoir écrit une seule ligne de code, nos équipes IT analysent tous les scénarios pouvant mener à un vol de données. Ensuite, nous mettons tout en place pour que cela n’arrive pas.

Conséquence : vos données sont protégées bien avant la publication de votre application.

Avez-vous un projet de santé dont vous voulez discuter ? Contactez notre chef de projet informatique. C’est gratuit et sans engagement, alors pourquoi hésiter ?