Le numérique entre fantasme et réalité

Aforce de tout dématérialiser, que va devenir notre métier ? On peut imaginer qu’un algorithme change la prescription, qu’un drone livre les médicaments préparés par un automate, que l’on reçoive toutes les factures par mail… Quelle sera notre valeur ajoutée ? » Ces propos d’un pharmacien traduisent la peur que provoque l’ère du tout numérique.

Le pire ennemi de ce confrère ne serait-il pas d’ailleurs son ami de tous les jours ? La connexion Internet est le premier des dangers. « La moitié des officines auraient un wifi ouvert au public. Les pharmaciens oublient que le wifi est dangereux et peut constituer une brèche dans leur système informatique », explique Denis Supplisson, directeur général délégué de Pharmagest et vice-président du collège pharmaciens de la Fédération des éditeurs d’informatique médicale et paramédicale ambulatoire (Feima). Et de rappeler les règles de base : « Un réseau Internet interne et un système de protection. Si un wifi est mis à disposition de la clientèle, celui-ci doit être déconnecté du système informatique. »

Virus et ransomware

La deuxième menace est relative aux virus et logiciels malveillants (malware). Afin de faire face aux nouveaux virus, les éditeurs apportent des modifications à leurs logiciels. Par exemple, Pharmagest rehausse son niveau de sécurité tous les trimestres. Il est donc impératif de procéder aux mises à jour. Denis Supplisson met aussi en garde contre l’installation de certains logiciels commercialisés ou fournis par des entreprises. « Actuellement, des sociétés proposent aux pharmaciens un logiciel de services, par exemple pour éviter les ruptures de médicaments. Les contrats indiquent que les pharmaciens sont responsables des données extraites de leur système d’information sans préciser lesquelles. Le logiciel peut donc les aspirer sans que l’officinal ne s’en rende compte. » En revanche, la e-prescription (voir page   16) est complètement sécurisée. « Les ordonnances sont anonymisées. Même si les informations étaient récupérées par un hacker , elles seraient inutilisables. Pour la même raison, il n’y a pas non plus de risques de contrôle par l’Assurance maladie », précise Denis Supplisson.

Selon David Grout, chief technology officer chez FireEye, société spécialisée dans la cybersécurité, un autre risque émerge : les attaques des sites de vente en ligne. « L’attaquant fait tomber le site en le sollicitant de façon trop importante ou il passe des commandes en falsifiant les quantités et les prix. L’objectif est de récupérer les données de paiement des clients. »

Autre menace très actuelle, le ransomware, ou « rançongiciel ». Ce logiciel malveillant retient les données en otage et ne les rend que contre une rançon qui peut s’élever à quelques milliers d’euros. « Ce cryptovirus est souvent déclenché par un mail qui comporte un document à télécharger ou renvoie vers un site contrôlé par l’attaquant. Le virus est alors téléchargé et cherche à crypter un maximum de données. Le système d’information est bloqué », explique Emmanuel Sohier, responsable de la cellule ACSS (Accompagnement cybersécurité des structures de santé). En France, des établissements de santé, des Ehpad et des laboratoires de biologie médicale ont été victimes de « rançongiciel ». Selon Emmanuel Sohier, des pharmacies ont également été prises pour cible. Outre les règles de base (ne pas ouvrir de documents envoyés par un expéditeur inconnu, bien vérifier le message, par exemple, fautes d’orthographe et adresse mail, etc.), le meilleur conseil est de sauvegarder les données dans un serveur déconnecté du système informatique (SI) afin de pouvoir réinstaller ce dernier en quelques heures. Car le « rançongiciel » peut aussi crypter les sauvegardes. « Le secteur de la santé est ciblé car, dans l’esprit de l’attaquant, les données de santé sont potentiellement si importantes dans la gestion des soins que la structure sera prête à payer une rançon », observe Emmanuel Sohier.

Piratage des données

Selon un rapport de FireEye, « Beyond Compliance : Cyber Threats and Healthcare », diffusé en août, des bases de données de santé sont disponibles à la vente sur le « dark web » pour moins de 2 000 dollars. « Ce qui intéresse les hackers , ce sont les bases importantes, celles par exemple d’un établissement de santé ou d’un laboratoire pharmaceutique », souligne David Grout. Responsables des données de santé de leur patientèle, les pharmaciens doivent respecter scrupuleusement le règlement général sur la protection des données (RGPD).

Les dispositifs médicaux connectés (DMC) et les applications mobiles recueillent aussi des données, transmises à une plateforme ou à un serveur. L’Agence nationale de sécurité du médicament et des produits de santé (ANSM) a ainsi élaboré des recommandations sur la « cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie », soumises à consultation publique entre juillet et fin septembre. Une première en Europe dont la finalisation est attendue en décembre. Dans ce cadre, l’ANSM a évalué les menaces. Deux types d’attaques sont possibles : celles qui visent directement le DM pour modifier ou altérer son fonctionnement ou sa disponibilité et celles qui ciblent le DM comme point d’entrée afin d’altérer le fonctionnement de l’infrastructure. En clair, des pirates peuvent attaquer un DMC (balance, lecteur de glycémie, pacemaker, etc.) pour voler des données, perturber les soins ou bien entrer dans le SI de la structure, une officine par exemple, qui reçoit les données. Pour les applis, « la sécurité numérique pose encore des problèmes », commente Gilles Braud, directeur associé de Medappcare, organisme certificateur d’applications de bien-être et de santé. Non-respect du RGPD, failles informatiques, vulnérabilité de la connexion, etc. « L’évaluation d’une application mobile porte notamment sur les aspects juridiques et de cybersécurité », précise David Sainati, président fondateur de Medappcare. Sa société travaille même avec des experts qui vont jusqu’à pirater l’appli, avec l’accord de l’éditeur, pour identifier les problèmes. Pour l’heure, peu d’applis sont certifiées.

L’intelligence artificielle face au réel

L’intelligence artificielle (IA) consiste à développer des programmes informatiques complexes permettant d’imiter une forme d’intelligence réelle pour aider à accomplir certaines tâches. L’algorithme apprend à reconnaître automatiquement un modèle, une forme, à partir d’une quantité colossale de données — c’est le cas de « l’apprentissage profond », le deep learning — et grâce à sa puissance de calcul. La Haute Autorité de santé, qui s’était déjà penchée sur l’évaluation clinique des DMC, s’est emparée du sujet. « Nous travaillons sur une grille d’analyse pour les DMC qui embarquent de l’intelligence artificielle. C’est la première fois au monde que l’on s’attelle à un tel travail, car rien n’existe à présent. Cette grille va faire l’objet d’une consultation publique en novembre , détaille Corinne Collignon, adjointe au chef du service évaluation des dispositifs médicaux. La clé est d’avoir une meilleure information sur le contexte de la conception du DMC et du processus d’apprentissage. Par exemple, l’apprentissage continuera-t-il pendant l’utilisation ? Notre rôle n’est pas de décortiquer le modèle mathématique, mais d’avoir des informations et de la transparence. Ce qui sera aussi utile aux patients et aux professionnels de santé. »

Le fin mot de l’histoire ? Bien évaluer à la fois les menaces et la protection est primordial. « Des actions particulières sur la cybersécurité vont être réalisées avec l’Asip Santé à la fin de l’année », annonce d’ailleurs Emmanuel Sohier. La peur n’évite pas le danger dit la sagesse populaire. Le numérique n’échappera pas à l’adage. 

•  Le wifi à disposition de la clientèle doit être déconnecté du système informatique de l’officine.

•  La mise à jour des logiciels (antivirus, etc.) et le respect du RGPD sont impératifs.

•  Il convient de sauvegarder ses données dans un serveur non connecté au système informatique pour atténuer les conséquences d’un « rançongiciel ».

REPÈRES 

La généralisation de la prescription électronique des médicaments (PEM) est prévue pour 2020 auprès des pharmaciens d’officine et des médecins. Un téléservice nommé « PEM2D » (prescription électronique de médicaments à 2 dimensions) est en cours d’expérimentation dans 3 départements (Maine-et-Loire, Saône-et-Loire et Val-de-Marne). PAR FRANÇOIS POUZAUD – Infographie : Walter Barros