Les données médicales font depuis quelques temps déjà l’objet de divers attaques : rançons, revente de données sur le dark web et même systèmes informatiques des hôpitaux paralysés, c’est aujourd’hui l’ensemble du système de santé qui est menacé.
Ces violations de données inquiètent particulièrement les Réunionnais. « Il y a des choses qui doivent rester secrètes. Nous n’avons pas envie que tout le monde sache comment nous sommes », confie une passante. « Avec tous les vols qu’il y a actuellement sur l’informatique, nous ne sommes pas protégés », ajoute un autre.
Face à ces attaques répétées, l’objectif est avant tout de sécuriser les systèmes des établissements de santé à travers la sensibilisation et la protection. Comment ? En faisant preuve de réactivité. « Lorsqu’il y a une atteinte sur les données, le système informatique est éventuellement complètement arrêté, c’est tout le système et le parcours de soin, même la vie humaine qui sont en danger », explique Elodie Royer, directrice du groupe My Data Solution. Pour elle, il est donc impératif de réagir au plus vite en maîtrisant notamment les outils techniques, réglementaires, juridiques et de communication permettant de contrer ces différentes attaques. Un enjeu de taille, donc, à tel point qu’à La Réunion, l’ARS a demandé la mise en place d’un label régional pour sensibiliser les acteurs de la santé aux enjeux de la sécurité informatique. « Personne n’est à l’abri de se faire attaquer. C’est même encore pire ici, puisque, comme nous l’avons vu dans les crises sanitaires, il n’y a pas de débordement possible. Si une crise touche l’ensemble des structures, La Réunion est paralysée », explique Mathias Laurent, responsable de la sécurité des systèmes d’information chez GCS Tesis.
En 2021, ce ne sont pas moins de 730 attaques de données médicales qui ont été recensées. Pour rappel, si un établissement de santé est victime de l’un de ces agissements, ce dernier a 72 heures pour signaler à la Commission nationale de l’informatique et des libertés un incident de sécurité et se doit de mesurer l’impact potentiel sur la sécurité des données des patients.