Si vous vous intéressez un peu à l’actualité, vous avez certainement entendu parler de ces hôpitaux, ou système informatique en santé qui se font pirater.
Même avec les meilleures infrastructures et installations sécurisées, le risque est présent, car comme le dit le vieil adage : “l’erreur est humaine », souvent par méconnaissance, négligence et dans de rares cas malveillance.
Un mot de passe unique pour plusieurs applications, une session ouverte trop longtemps, un post-it collé sur son ordi avec ses identifiants … d’un point de vue individuel, ça nous est tous déjà arrivé ! Du côté des services informatiques, on est sur des maladresses plus subtiles, mais le risque est tout de même présent.
Le risque avec les données de santé c’est qu’elles sont très précieuses car recoupées à des données d’identité, elles renseignent sur l’état de santé d’une personne. Certaines organisations sont prêtes à payer cher ces informations pour les utiliser à des fins commerciales ou malveillantes, …
Donc la meilleure manière de protéger les données est de les rendre inexploitables, pour une tierce personne : c’est à dire indéchiffrable pour celui qui n’y serait pas autorisé.
La technique de chiffrement des données utilise une clef de chiffrement pour transformer une donnée (un texte, une image, …) en une chaîne de caractères qui ne pourra être déchiffrée qu’en utilisant la clef unique. Jusque là rien de très complexe, juste de l’application d’une formule.
La difficulté réside donc dans la génération d’une clef unique et aléatoire pour une donnée ou un utilisateur en particulier, puis dans le stockage de cette clef et enfin dans pouvoir réattribuer cette la clef à la demande, après authentification de l’utilisateur, avec évidemment une traçabilité des trousseaux de clefs utilisateurs habilités.
Une bonne pratique est évidemment de ne pas stocker les jeux de clés et données sur le même serveur : l’inverse serait un peu comme si vous fermiez la porte à clef et que vous laissiez la clef sous le paillasson …
Si cette technologie n’est pas développée par l’application E-Santé, alors le choix de l’opérateur technologique sous-traitant est primordial : multinationale américaine ? entreprise française ? Ce choix dépend des objectifs de l’application E-Santé et doit être mesuré entre les bénéfices et les risques.
