Vous êtes dans : Accueil > Tribunes libres >

Jurassic Pacs

Pascal Sabatier, MERCREDI 16 OCTOBRE 2019 Soyez le premier à réagirSoyez le premier à réagir

« Les images médicales font partie des données personnelles les plus sensibles qui existent. Et pourtant, il s’avère qu’elles sont parfois protégées de manière exécrable », peut-on lire sur 01net.com (1).

Certes, l’imagerie médicale est un domaine de haute technicité qui innove en continu. Chaque nouvelle génération de scanner, d’IRM ou de TEP est synonyme d’une amélioration significative de la qualité des outils de post-traitement et des images associées.

Hélas ! Ce progrès est inégalement partagé avec l’environnement technique qui accompagne les modalités flambant neuves. Il n’est pas rare de constater que l’IRM facturée plus d’un million d’euros s’avère flanquée d’une station de post-traitement sous Windows 7 ou Windows XP. Ou bien que l’incontournable Pacs (Picture Archiving and Communication System) offre un portail de diffusion Web permissif capable de donner dans le même temps un accès rapide aux images et un arrêt cardiaque au RSSI.

PACS

Si vous possédez un portail Internet de ce type, je ne saurais que trop vous conseiller d’identifier les actions possibles de réduction du risque, afin d’en élever rapidement le niveau de sécurité. Face à la faiblesse de la page d’authentification, toute amélioration sera profitable : du positionnement d’un WAF (pare-feu applicatif) pour couper des tentatives répétées, en passant par l’ajout d’une redirection vers une page spécifique avec un Captcha ou la fermeture provisoire du portail.

Depuis plus de deux ans, je lutte vainement contre un éditeur de l’ère Mésozoïque, à grand renfort de mails injonctifs et de courriers recommandés. Ce qui m’interroge, c’est pourquoi un acteur national ignore les avertissements, les miens, ceux, plus retentissants, de la presse ou encore les consignes réglementaires du RGPD.

Pourtant la Cnil précisait, bien avant mai 2018, que la sécurisation de l’authentification ne devait pas s’appuyer sur une date de naissance et préconise l’utilisation d’un Captcha contre l’attaque par force brute (2).

Bâtir une offre numérique dans le secteur de la santé sans prendre en compte les fondamentaux de la sécurité (et les investissements associés), c’est stratégiquement suicidaire. D’une part parce que cette omission conduit à faire l’économie immédiate d’un investissement qui sera insupportable par la suite, voire létal si un scandale éclate (3). D’autre part, c’est prendre le risque non nul de perdre un avantage concurrentiel si les critères de sécurité sont intégrés dans le processus d’achat des hôpitaux (pratique en cours de généralisation).

Alors à qui la faute ? À l’éditeur qui, par méconnaissance ou par optimisation budgétaire, a développé et vendu une solution no security by design ? Au chef d’établissement (ou au responsable du centre d’imagerie médicale ou encore au responsable de traitement) qui a accepté de déployer un portail Web qui s’assoit sur le RGPD ? Au RSSI qui n’a pas réussi à imposer un processus d’homologation pour un téléservice ouvert au public ?

Aux trois sans doute, même s’il appartiendra au seul responsable de traitement de prouver qu’il avait mis en œuvre les mesures de sécurité nécessaires et suffisantes pour garantir la confidentialité des données de ses patients.

Ce qui me redonne confiance, c’est que certaines solutions font l’effort d’intégrer les recommandations de la PSSI Santé et proposent désormais un portail à authentification forte. L’autre point rassurant, c’est qu’à l’instar des dinosaures, ceux qui ne s’adaptent pas sont voués à l’extinction, au profit d’une nouvelle génération plus vertueuse.

Alors faites comme moi, prenez un Xanax et patientez un peu, Darwin fera le tri.


(1) https://www.01net.com/actualites/en-france-plus-de-26-millions-d-images-medicales-en-libre-acces-sur-internet-1769422.html

(2) https://www.cnil.fr/fr/securite-authentifier-les-utilisateurs

(3) https://www.cyberveille-sante.gouv.fr/cyberveille-sante/1427


L'auteur :

PASCAL_SABATIERPascal Sabatier
Responsable de la sécurité des systèmes d’information aux centres hospitaliers d’Aix-en-Provence et de Salon-de-Provence ainsi que du GHT des Alpes-de-Haute-Provence.

images médicales, sécurité, cnil, rssi, RGPD