Prise de Position de l’AMM sur les attaques cybernétiques des infrastructures de santé et autres infrastructures essentielles

Adoptée par la 67^e Assemblée Médicale Mondiale, Taipei, Taiwan, Octobre 2016

PREAMBULE

• Les avancées dans le domaine des technologies de l’information (TI) modernes ouvrent la voie à des améliorations dans la délivrance de soins de santé et contribuent à rationaliser les procédures médicales, depuis la tenue de dossiers médicaux jusqu’aux soins des patients. Dans le même temps, la mise en place de nouvelles et plus sophistiquées infrastructures TI s’accompagne de défis et de risques dont la menace d’attaques cybernétiques et de violation des données.
• Les menaces pesant sur la sécurité cybernétique sont la face sombre de l’ère de l’information et de la communication numériques. Les attaques des infrastructures essentielles et des ressources d’intérêt public vitales dont celles utilisées dans le secteur de l’énergie, de l’approvisionnement en nourriture et en eau, des télécommunications, des transports et de la santé, sont en augmentation. Elles menacent sérieusement la santé et le bien-être du public en général.
• Avec la prolifération des dossiers médicaux et des systèmes de facturation électroniques, le secteur de la santé est aujourd’hui particulièrement exposé aux intrusions cybernétiques et une cible de choix pour les cybercriminels. Les structures de santé et les partenaires commerciaux depuis le plus petit cabinet médical privé jusqu’aux grands hôpitaux sont vulnérables non seulement aux vol, altérations et à la manipulation des dossiers médicaux électroniques des patients et des dossiers financiers mais aussi aux atteintes de plus en plus sophistiquées des systèmes. Elles risquent de mettre en danger leurs capacités à prendre en charge les patients et à répondre aux urgences sanitaires. La menace particulièrement déconcertante est celle touchant au droit fondamental des patients en termes de confidentialité et de sécurité. De plus, la réparation des dommages provoqués par des attaques cybernétiques réussies peut être très onéreuse
• Les dossiers des patients exigent aussi une protection car souvent ils contiennent des informations personnelles sensibles pouvant être utilisées par des criminels pour accéder aux comptes bancaires, voler des identités ou obtenir des prescriptions de manière illégale. C’est pourquoi souvent ils valent bien plus sur le marché noir que les seules informations concernant des cartes de crédit. Des modifications ou des utilisations abusives des dossiers de patients peuvent porter atteinte à la santé, la sécurité et à la situation matérielle des patients. Dans certains cas, ces atteintes peuvent même avoir des conséquences pour la vie même des patients.
• Les procédures et stratégies de sécurité actuelles dans le secteur de la santé n’ont pas suivi le volume et l’ampleur des attaques cybernétiques. Mal protégés les systèmes d’information hospitaliers, les systèmes de gestion des cabinets ou les systèmes de contrôle des dispositifs médicaux peuvent devenir des portes d’entrée pour les cybercriminels. Les logiciels d’imagerie radiologique, les systèmes de vidéo conférence, les caméras de surveillance, les appareils portables, les imprimantes, les routeurs et les systèmes de vidéo numériques utilisés pour une surveillance de la santé en ligne et les procédures à distance sont juste quelques unes des nombreuses structures TI soumises à des risques.
• En dépit de ce danger, de nombreuses organisations et institutions de santé manquent de ressources financières (ou d’une volonté de les fournir) et des compétences administratives ou techniques nécessaires pour détecter et prévenir les attaques cybernétiques. Elles peuvent également ne pas communiquer correctement sur la gravité des menaces cybernétiques, à la fois au niveau interne, au niveau des patients et des partenaires commerciaux extérieurs.

RECOMMANDATIONS

1. L’AMM reconnaît que les attaques cybernétiques des systèmes sanitaires et autres infrastructures essentielles constituent un problème dépassant les frontières et une menace pour la santé publique. Elle demande donc aux gouvernements, aux politiques et aux responsables des infrastructures sanitaires et autres infrastructures vitales à travers le monde de travailler avec les autorités compétentes sur la sécurité cybernétique dans leurs pays respectifs et de coopérer sur le plan international afin d’anticiper et de se défendre contre de telles attaques.
2. L’AMM exhorte les Associations Médicales Nationales à sensibiliser leurs membres, les organismes de soins de santé et autres parties intéressées dans l’industrie à la menace des attaques cybernétiques et à soutenir une stratégie TI efficace dans le domaine de la santé afin de protéger la confidentialité des dossiers médicaux sensibles et d’assurer la vie privée et la sécurité des patients.
3. L’AMM souligne les risques élevés d’intrusions cybernétiques et d’autres violations des dossiers dans le secteur de la santé. Elle exhorte les établissements de santé à mettre en place et à entretenir des systèmes complets de prévention des intrusions, y compris mais sans s’y limiter, à assurer des formations pour que les employés se conforment aux meilleures pratiques de traitement des données et pour que la sécurité des ordinateurs soit préservée.
4. En cas de violation de la sécurité des données, les établissements de santé devraient avoir des systèmes de réponse éprouvés opérationnels, y compris mais sans s’y limiter, des services de signalisation et de protection pour les victimes ainsi que des procédures de correction des erreurs dans les dossiers médicaux consécutives à une utilisation frauduleuse des données volées. Les polices d’assurance contre la violation des données pourraient être envisagées à titre de précaution pour un remboursement des coûts liés à une possible intrusion cybernétique.
5. L’AMM lance un appel aux médecins, aux responsables de la sécurité des patients et de la confidentialité des dossiers afin qu’ils soient bien conscients du défi unique que pourraient constituer les attaques cybernétiques pour l’exercice de leur profession. Elle les exhorte à prendre toutes les mesures qui ont montré leur efficacité pour sauvegarder les dossiers des patients, la sécurité des patients et d’autres informations vitales
6. L’AMM recommande que le cursus médical universitaire et postuniversitaire comporte des informations complètes sur la manière dont les médecins peuvent utiliser à leur avantage les TI modernes et les systèmes de communication électroniques tout en assurant la protection des données et en préservant les plus hautes normes de conduite professionnelle.
7. L’AMM reconnaît que les médecins et les prestataires de santé peuvent ne pas toujours avoir accès aux ressources (y compris financières), aux infrastructures et aux compétences requises pour installer des systèmes de protection performants. Elle met l’accent sur la nécessité pour les organismes publics et privés de les aider à surmonter ces obstacles.