The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

Impulse: the latest news and inspirational stories from and for entrepreneurs

>> Digital >> Impulse

Les cyber risques dans le secteur de la santé

Digital

EY - Les cyber risques dans le secteur de la sante

Alors que le secteur de la santé subit une transformation profonde, les plus importantes perturbations sont avant tout induites par la technologie. « La technologie ouvre la voie à une plus grande efficacité ainsi qu’à un meilleur service, notamment par le biais des appareils connectés », déclare Lucien De Busscher, associé Life Sciences chez EY.

« Mais ils sont également associés à de nouveaux risques », rétorque Andy Deprez, associé Cyber Security chez EY. « Que se passerait-il si un hacker prenait le contrôle d'un stimulateur cardiaque ou d'une pompe à insuline ? »

Contacts

EY - Lucien De Busscher

Lucien De Busscher
associé EY Advisory
life sciences lead partner
+32 (0)2 774 64 41

EY - Andy Deprez

Andy Deprez
associé EY Advisory
expert cybersecurité
+32 (0)2 774 62 47

Lucien De Busscher : « Le secteur healthcare & life sciences évolue rapidement. Autrefois, chacun travaillait sur son île. Une entreprise pharmaceutique, par exemple, était souvent un ‘one hit wonder’, construit autour d'un seul médicament à succès.

Aujourd'hui, le secteur se présente d’une manière radicalement différente. Différents acteurs, non seulement des entreprises du secteur médical, mais bien souvent aussi des partenaires du monde de la technologie, forment ensemble un écosystème et élaborent des solutions permettant à chacun de saisir à sa manière une information concernant le patient. C'est ainsi qu'est né le phénomène de l'écho numérique. »

Qu'est-ce que cela signifie exactement ?

Lucien De Busscher : « L'écho numérique est constitué par les informations vous concernant qui sont enregistrées de façon numérique. Il ne s'agit pas seulement des données des dossiers électroniques des patients à l'hôpital, car les dispositifs médicaux (comme les stimulateurs cardiaques ou les pompes à insuline) enregistrent également des informations. Et ce n'est pas tout ! Une application sur votre smartphone enregistre le nombre de pas que vous faites. Une montre de sport mesure votre fréquence cardiaque, sait combien de fois vous allez faire du jogging et a une vue sur votre condition physique.

Chaque information en tant que telle n'est pas toujours particulièrement précieuse, mais en réunissant le tout, vous obtenez une image assez précise de la condition physique d’une personne. Ce qui est bien sûr intéressant. »

Andy Deprez : « Plus il y a d’appareils qui capturent des informations sur vous, plus le risque de problèmes est grand. Il n'y a pas si longtemps, la sécurité des données numériques était une tâche assez claire. La mission consistait à transformer le réseau de l'entreprise (avec la base de données centrale) en forteresse : garder les hackers à l'extérieur et les données à l'intérieur.

Cette approche n'est évidemment pas durable au sein de ce nouvel écosystème, dans lequel hôpitaux, laboratoires, centres de recherche, médecins et patients échangent des informations. Vous n'avez dès lors pas d'autre choix que d'ouvrir la porte de la forteresse. »

 

Joyaux de la couronne

Quel est le principe de base de la sécurité dans ce nouvel environnement ?

Andy Deprez : « Tout est axé sur les joyaux de la couronne. Un hôpital ou une société pharmaceutique, par exemple, doit identifier les données les plus importantes pour lui-même. Il peut s'agir de données sur les patients, de données relatives à la propriété intellectuelle, etc.

Cependant, l'exercice le plus important consiste à trouver le bon équilibre entre l'intégrité des données, parce que vous ne voulez pas qu'elles tombent entre de mauvaises mains, et la flexibilité, parce que vous devez également être en mesure d'échanger des données avec les partenaires de l'écosystème. »

Que se passe-t-il lorsque la sécurité échoue dans ce nouveau contexte ?

Lucien De Busscher : « La cybercriminalité existe à des degrés très divers. Il y a des parties qui volent des données médicales pour les revendre. Il s'agit souvent d'incidents qui se situent dans le domaine de l'espionnage industriel ou de l’usurpation d'identité.

Toutefois, la vente de données personnelles n'entraîne aucun risque physique direct pour le patient en question. Contrairement au piratage de dispositifs médicaux : les hackers peuvent en effet menacer de modifier les paramètres de votre stimulateur cardiaque si vous ne payez pas de rançon, ce qui peut mener à des situations potentiellement mortelles. »

Andy Deprez : « Dans le passé, les dispositifs médicaux n'étaient pas connectés à un réseau. Aujourd'hui, ils le sont, ce qui génère un risque. Le problème est que les dispositifs médicaux ont souvent un long temps de développement.

Le développement de la génération actuelle de dispositifs a eu lieu à un moment où ces nouvelles menaces n’étaient pas encore à l’ordre du jour. Le développement selon le principe de la security by design ne viendra qu'avec la prochaine génération de dispositifs. »

Sécurité et intégrité

Le fait qu'on dispose plus rapidement de données plus nombreuses concernant un patient implique probablement aussi des opportunités. Comment voyez-vous cette évolution ?

Lucien De Busscher : « Il ne s'agit pas seulement de fournir un meilleur service au patient. Le secteur de l'assurance, notamment, est intéressé. Pour souscrire une certaine assurance, il vous suffit aujourd'hui d’une case à cocher pour indiquer si vous fumez ou non.

Cependant, les données de votre montre connectée fournissent une bien meilleure indication de votre état de santé. Ces données devraient pouvoir contribuer à déterminer le montant de votre police. Aux États-Unis, il y a des assureurs qui travaillent déjà de cette façon. Mais si quelqu'un pirate votre montre connectée et en modifie les données, cela peut également causer des problèmes. »

Les risques ne sont-ils pas partiellement dus à un manque de connaissances ? Est-il nécessaire d'accroître la sensibilisation ?

Andy Deprez : « Bien sûr. Aujourd'hui, les fabricants d'appareils et d'apps ne sont que trop heureux de transférer la responsabilité à l'utilisateur final. Celui qui utilise une app accepte aveuglément une longue liste de conditions. Ce faisant, le fournisseur ne fait que se protéger. Nous devons en arriver à une situation où l'utilisation d'un appareil ou d'une app garantit la sécurité et l'intégrité des données. »

Les nouvelles technologies peuvent-elles apporter une solution à ce problème ?

Lucien De Busscher : « Il y aura très certainement de nouvelles technologies qui changeront beaucoup de choses. L'intelligence artificielle et l'apprentissage automatique, par exemple, amélioreront grandement le service aux patients.

Mais les cybercriminels utiliseront également la même technologie – avec des intentions très différentes. La blockchain peut constituer une percée importante dans le domaine de la protection des données à caractère personnel. Le grand avantage d'une blockchain est qu’on ne peut pas effacer ou modifier les données enregistrées. »

Andy Deprez, associé Cyber Security chez EY : « Les risques évoluent. Il est nécessaire d'être davantage conscient de la transformation du secteur. »

Juste équilibre

S’il est vrai que la blockchain a effectivement du potentiel pour le secteur, elle reste pour l'instant un rêve chimérique. Que peut faire aujourd'hui un établissement de soins de santé, comme un hôpital, pour sécuriser les joyaux de sa couronne ?

Andy Deprez : « Il est nécessaire d'être davantage conscient de la transformation du secteur. L'hôpital doit réaliser qu'il appartient à un écosystème. Il doit savoir que le patient est le propriétaire des données. Lorsque cet éclairage est présent, il est beaucoup plus facile de déterminer quels sont les joyaux de la couronne et les risques. »

Lucien De Busscher, associé Life Sciences chez EY : « Le risque zéro est une illusion. Mais la tâche de chaque niveau de l'organisation consiste à identifier et éviter son risque le plus élevé. »

Lucien De Busscher : « La cybersécurité reste essentiellement un exercice de gestion des risques. Vous devez toujours trouver le juste équilibre : quel risque voulez-vous éliminer, quel peut être le coût et quel est le bénéfice ? Le vol de données à caractère personnel est une infraction désagréable, mais (pour parler franchement), ne constitue pas un risque potentiellement mortel.

Aujourd'hui, le plus grand cyber-risque pour un hôpital est qu'un patient décède suite à un piratage informatique. Il en va de même pour le fabricant du dispositif médical piraté : après un tel incident, il devra peut-être mettre la clé sous le paillasson. Non, le risque zéro absolu n’existe pas. Mais vous pouvez mettre tout en œuvre pour éviter ce risque suprême. »

Andy Deprez : « Si vous pouvez le prouver sur le marché, c'est non seulement une bonne nouvelle pour le patient, mais aussi un avantage concurrentiel important pour vous. »