Informatisation de la biologie médicale : des recettes contre les cyber attaques

Informatisation de la biologie médicale : des recettes contre les cyber attaques

ISSN : 0992-5945 OptionBio L’actualité du praticien biologiste n° 528-529 | Lundi 22 juin 2015 | 11 € à la une La sécurité des données biologiques...

934KB Sizes 0 Downloads 33 Views

ISSN : 0992-5945

OptionBio L’actualité du praticien biologiste

n° 528-529 | Lundi 22 juin 2015 | 11 €

à la une

La sécurité des données biologiques a été élevée au rang d’exigence à observer dans le processus d’accréditation des laboratoires. Elle s’impose aussi face à l’essor de la cyber criminalité qui vient en mars de faire une première victime dans ce secteur en France. Une problématique qui a été au centre des journées de la Société française d’informatique des laboratoires (SFIL) qui ont eu lieu en mai à Vittel.

L

es laboratoires de biologie médicale (LBM), pour la plupart concentrés en entités multisites, ne se pilotent plus sans ressource informatique robuste et des services internet à sécuriser. C’est sur les problématiques de déploiements et de protection des données numériques des patients, que la Société française d’informatique des laboratoires (SFIL) a mis l’accent du 19 au 21 mai à Vittel (88). L’occasion de mettre en lumière, dans le secteur, une France entrepreneuriale en pleine éclosion avec des « start-up » spécialisées, prenant place parmi les développeurs e-santé et éditeurs de logiciels « french tech ».

actualités Professionnelles, IDIV, Santé publique, biomed…

4

formation mise au point Les infections sexuellement transmissibles

13

pratique Nouveautés dans le diagnostic et le suivi de la maladie de Wilson

19

gestion Le laboratoire sous-traitant est un fournisseur bien particulier Droit

21 24

Partenaires Automatisation du service de génétique de Biomnis Lyon : la collaboration réussie avec Qiagen 25 Produits 26

guide

72957

Petites annonces

27

www.em-consulte.com/revue/optbio www.em-consulte.com/revue/optbio

© SB.

Informatisation de la biologie médicale : des recettes contre les cyber attaques

| Lors de la session systèmes d’information et accréditation : (de gauche à droite) Gérard Domas (Astrolab), Jérôme Gosjean (CH Chambéry), Anne Gruson (CH Arras), Hélène Méhay (Cofrac), François Cornu (Biolor), Alain Cœur (ACC), Éric Bertrand (AFGRIS).

Elles concourent à l’adéquation digitale à la norme 15189 globalement établie « dans le seul intérêt du patient », qui s’impose aux LBM pour prouver la qualité de leurs examens biologiques dont dépendent plus de 60 % des diagnostics médicaux. Symptomatique : la norme a fait passer au rang des exigences obligatoires la mise en conformité des

systèmes d’information du laboratoire (SIL) là où des recommandations facultatives semblaient suffire avant 2012. Pour les 1 100 LBM publics et privés les nécessités de la cyber sécurité pèseront dans le verdict du Cofrac sur leur mise en conformité avec la norme sur 50 % de leur activité, à la date fatidique de novembre 2016. L’informatique est ... suite page 3

focus

Quand les objets connectés convoitent les données biologiques

L

e marché des objets connectés, qui suit une croissance à deux chiffres, annoncet-il une révolution pour la biologie médicale ? Au vu du lancement par Apple en mars de ResearchKit après HealthKit en septembre, Serge Payeur, président de SIL LAB, expert et trésorier de la SFIL, en est persuadé. Car dit-il « le patient 2.0, adepte du quantified self, est déjà une réalité dans vos salles d’attentes ». Avec ces nouvelles plateformes santé, le patient, a-t-il expliqué, à Vittel, accède à un emplacement sécurisé pour centraliser et stocker ses données de santé récoltées via les applications dites App Health gratuitement disponibles sur Apple store ou sur Android Market. Parmi les standards (HKObjectType) disponibles présentés par Apple parmi les applications on trouve déjà : potassium, vitamine D, glucose. En outre depuis fin 2014, le passage du smartphone d’Apple vers iOS 8.2 installe automatiquement Health Kit dans le « DMM (Dossier Médical Mobile) » d’Apple. Là, l’objet est défini par sa source qui, par exemple, pourrait être un LBM et par son dictionnaire susceptible d’être

LOINC, qui codifie les échanges en biologie. Une opportunité qui ne demande qu’à être saisie, selon Serge Payeur, parce que d’une part le biologiste peut, sous contrôle du patient, être pourvoyeur de données dans les App et qu’à l’inverse lui-même pourrait améliorer la qualité de son diagnostic en accédant à toutes les informations de l’Health App. De fait, face à des tels outils, l’immobilité du DMP à la française sur-sécurisé et sans ouverture, profite sur le marché de données au GAFA (Google, Apple, Facebook, Amazon). Sa conclusion : « Il devient de plus en plus important pour un LBM de ne plus se limiter à un serveur de résultat web, mais d’avoir sa propre « Health App » qui peut accéder au « DMM » pour les données autres que biologiques ». Et cela à l’instar du Syndicat des biologistes (SDB) qui réclame depuis novembre à Nicolas Revel, nouveau DG de la CNAMTS, qu’il mette d’urgence en place le Dossier médical biologique (DMB) pour améliorer la pertinence des actes. « Cela pourrait être, dit-il, la dernière chance de la profession, des industriels et des patients ». | SERGE BENADERETTE

1

ABONNEZ-VOUS À

OptionBio ! OptionBio, c’est :

PAIEMENT ÉCHELONNÉ :

15,67 € / mois seulement

18 numéros par an + 1 cahier thématique

le journal de l’actualité du biologiste praticien : tous les 15 jours ! un magazine pratique et efficace qui vous accompagne au quotidien. la « Une » : tous les mouvements de la profession et de la stratégie de ses représentants. l’actualité scindée en plusieurs classes : professionnelle, IDIV, biomed, agenda…. une partie formation. un partage d’expériences : pour accompagner la pratique, des cas cliniques pluridisciplinaires présentés lors des congrès. une rubrique gestion dont l’accréditation.

La revue et les archives accessibles 24h/24h, en version numérique, sur le site EM-Consulte.com

BULLETIN D’ABONNEMENT 2015

Oui,

je souhaite m’abonner à OptionBio (18 n°/an + 1 cahier thématique). TARIFS TTC FRANCE 2015

Offre Papier + Numérique Particuliers Abonnement d’1 an Paiement comptant Paiement échelonné

188 €* 15,67 € / mois*

* Offres réservées aux nouveaux abonnés particuliers valables jusqu’au 31 décembre 2015.

INFORMATIONS PERSONNELLES Votre spécialité (obligatoire) :

« Je choisis mon mode de règlement : Je choisis le paiement comptant : Chèque bancaire ou postal (à l’ordre de Elsevier Masson) Carte bancaire :  Visa Eurocard / Master Card N° Cryptogramme visuel (3 derniers n° au dos de votre CB) : n°

Date et signature :

Expire fin :

Je choisis le paiment échelonné : Je règle la somme de : ....................................€ TTC par mois Je remplis l’autorisation de prélèvement automatique ci-dessous : N° de mandat unique (sera rempli par Elsevier Masson)

ICS FR56ZZZ335398

J’autorise Elsevier Masson à envoyer des instructions à ma banque pour débiter mon compte, et ma banque à débiter mon compte conformément aux instructions d’Elsevier Masson. Je bénéficie du droit d’être remboursé par ma banque selon les conditions décrites dans la convention que j’ai passée avec elle. Une demande de remboursement doit être présentée : – dans les 8 semaines suivant la date de débit de mon compte pour un prélèvement autorisé, – sans tarder et au plus tard dans les 13 mois en cas de prélèvement non autorisé et mes droits concernant le présent mandat sont expliqués dans un document que je peux obtenir auprès de ma banque.

Mme

Mlle

NOM ET ADRESSE DU CRÉANCIER : ELSEVIER MASSON SAS 62 rue Camille Desmoulins 92442 Issy-les-Moulineaux Cedex RCS Nanterre B 542 037 031

M

Nom : Votre e-mail (obligatoire) :

R15AUTO0113 À RETOURNER OU À FAXER À ELSEVIER MASSON : SERVICE CLIENTS – 62 RUE CAMILLE DESMOULINS 92442 ISSY-LES-MOULINEAUX CEDEX FRANCE FAX : + 33 1 71 16 55 77

Prénom :

Adresse : CP :

NOM ET ADRESSE DE L’ÉTABLISSEMENT TENEUR DU COMPTE À DÉBITER :

Ville : Numéro d’identification international du compte bancaire – IBAN :

Le recueil des informations dans le cadre de ce document vise à une utilisation à des fins commerciales par Elsevier Masson SAS et ses partenaires commerciaux. ‰ En cochant cette case je m’oppose à la réutilisation de mes données à des fins commerciales. Vous disposez d’un droit d’accès, de rectification et d’opposition au traitement des données qui vous concernent, et ce, sans frais et sans justification, auprès du responsable du traitement : Elsevier Masson SAS - Service clients - 62 rue Camille Desmoulins - 92442 Issy-les-Moulineaux Cedex.

Code International d’identification de votre banque – BIC :

Paiement : récurrent/répétitif ponctuel

Date et signature (obligatoire) :

Merci de renvoyer cette autorisation de prélèvement en y joignant un relevé d’identité bancaire (RIB) ou postal (RIP) ou de compte d’épargne (RICE). Le montant du prélèvement indiqué ci-dessus est valable pour une durée d’un an. Il est susceptible d’être revu à la hausse au terme de chaque année d’abonnement. Sauf notification de votre part, votre abonnement sera reconduit.

Toute la revue et le détail de nos offres sur : www.elsevier-masson.fr/revue/ZOB ELSEVIER MASSON SAS, société par actions simplifiée à associé unique au capital social de 47 275 384 Euros – Siège social : 62 rue Camille Desmoulins, 92130 ISSY LES MOULINEAUX RCS Nanterre 542 037 031 N° TVA intracommunautaire FR01542037031 – Locataire-gérant de Société d’édition de l’Association d’enseignement médical des Hôpitaux de Paris SA.

| à la une

Rédactrice en chef : Martine Tirouche [54 63] > [email protected] Assistance éditoriale : Gilles Hernandez (Humancom) Assistante de la rédaction : Virginie Riou [54 53] > [email protected] Publicité : Jean-Marie Pinson [53 10] > [email protected]. Fax : 01 71 16 51 51. Coordination trafic publicité : Brigitte Delort [53 01] > [email protected] Petites annonces : Fabienne Philippe > [email protected] Tél. : 01 71 16 51 30. Fax : 01 71 16 51 51. Responsable marketing : Sonia Tadjdet [58 60] > [email protected] Abonnements : Tél. : 01 71 16 55 55. Fax : 01 71 16 55 88. > http://www.em-consulte.com/infos Production : Martine Tirouche [54 63] > [email protected] PAO, Maquette : Humancom, Paris Impression : Lescure Théol, 27 Douains. CPPAP : 0117 T 81167 ISSN : 0992-5945. Dépôt légal : à parution Annonceurs : Elsevier Masson 2e de couv. Qiagen 4e de couv. Hologic 12 Stago 5-9 Comité scientifique : J. Acar, J. Ingrand, M. Samama. Conseillers de la rédaction : J.-L. Beneytout, C. Bertholom, C. Bohuon, P. Bourée, I. Collignon, M. Danis, B. Gouget, A. Gruson, C. Hamberger, C. Huguet, A. Legrand, A. Malmejac, B. Poggi, H. Susini de Luca, A. Vassault. Les écrits n’engagent que leurs auteurs © 2015 Elsevier Masson SAS Tous droits réservés. Cette publication et son contenu sont protégés par le copyright de Elsevier Masson SAS, et les dispositions suivantes s’appliquent à son utilisation : les simples photocopies d’articles isolés sont autorisées pour un usage privé, dans la mesure où les lois nationales relatives au copyright le permettent. L’autorisation de l’éditeur et le paiement de redevances est obligatoire pour toutes les autres photocopies, y compris les copies multiples ou systématiques, les copies effectuées à des fins promotionnelles ou de publicité, la revente et toute autre forme de distribution de documents. Des tarifs spéciaux sont disponibles pour les institutions d’enseignement qui souhaitent faire des photocopies à des fins non commerciales d’enseignement. Les personnes peuvent obtenir les autorisations nécessaires et payer les redevances correspondantes auprès du Centre Français d’Exploitation du Droit de la Copie (20, rue des Grands-Augustins, F - 75006 Paris). Les abonnés sont autorisés à effectuer des copies des tables des matières, ou établir des listes d’articles comprenant des extraits pour un usage interne à l’intérieur de leurs institutions. L’autorisation de l’éditeur est requise pour toute revente ou divulgation en dehors de l’institution. L’autorisation de l’éditeur est requise pour tous autres travaux dérivés, y compris les compilations et les traductions. L’autorisation de l’éditeur est requise pour saisir de façon électronique tout élément contenu dans la présente publication, y compris tout ou partie d’un article. Prière de prendre contact avec l’éditeur à son adresse indiquée ci-dessus. à l’exception de ce qui est indiqué ci-dessus, aucune partie de cette publication ne peut être reproduite, saisie dans un système de sauvegarde, ou transmise sous quelque forme que ce soit, électronique, mécanique, par photocopie, enregistrement ou autre, sans l’autorisation préalable et écrite de l’éditeur. La responsabilité de l’éditeur ne saurait en aucune façon être engagée pour tout préjudice et/ou dommage aux personnes et aux biens, que cela résulte de la responsabilité du fait des produits, d’une négligence ou autre, ou de l’utilisation de tous produits, méthodes, instructions ou idées contenus dans la présente publication. En raison de l’évolution rapide des sciences médicales, l’éditeur recommande qu’une vérification extérieure intervienne pour les diagnostics et la posologie.

… Informatisation de la biologie médicale : des recettes contre les cyber attaques

devenue une composante présente tout au long de la chaîne de traitement des examens biologiques. Sa montée en puissance dans l’accréditation devient patente, avec les vérifications tests systématiques des logiciels embarqués sur les automates, des outils de pilotage des plateaux techniques tels que les middleware – composants de communication entre différentes applications disparates – l’identification du patient, la prescription connectée, en amont, et, les serveurs de résultat, en aval. Dans un contexte aussi complexe « établir une cartographie précise du système d’information » s’impose a indiqué Gérard Domas (Astrolab Santé). Incontournable pour le biologiste qui veut être assuré de remplir l’exigence de la confidentialité des informations du patient, dont la maîtrise permanente lui incombe. Ce qui implique, insiste François Cornu, biologiste au labo Biolor et évaluateur technique pour le Cofrac, que le LBM ait défini diverses dispositions. Telles que les responsabilités au sein du personnel pour l’accès aux données, pour leur saisie, leur modification. Qu’il ait précisé ceux qui sont autorisés à les diffuser et identifié aussi le responsable de l’hébergement des données de santé. Constat fréquent : les questions d’architecture sont source d’écart. Par exemple quand un système d’information de laboratoire (SIL) est partagé en l’absence de dispositions écrites (clause de confidentialité, agrément d’hébergeur, responsabilité sur la gestion…). Le minimum est de s’assurer que les SIL sont protégés par des passerelles filtrantes (firewalls) contre tout accès non autorisé et les données conservées pour garantir leur intégrité. Se prémunir en cas de défaillance ou de panne constitue d’autres exigences. « Extraordinaire » s’est exclamée, pleine d’envie, la biologiste hospitalière Carole Poupon, présidente du Syndicat national des médecins biologistes hospitaliers (SNMB), devant le plan de continuité d’activité (PCA) présenté par Bruno Gauthier, biolo-

giste libéral à Poitiers. Rien n’a été laissé au hasard dans son LBM de 11 sites traitant 3 000 dossiers par jour dans la Vienne dans un rayon de 200 km. L’arsenal va des alarmes anti-inondation contre le dégât des eaux, la protection incendie au moyen d’un gaz inerte, la climatisation avec surveillance centralisée de la température, jusqu’à la logistique de secours de transport d’urgence de nuit des échantillons vers le CHU, en passant par l’adaptation des ressources humaines dans des pools de garde, les études de vulnérabilité, la couverture assurance risque perte de données devant d’éventuelles fuites accidentelles ou criminelles, des tests crash semestriels, etc. « Pour gérer les crises, il faut prendre des décisions. Et là c’est militaire » tonne-t-il. « Tout LBM doit mener une analyse des risques de son système, procéder à des contrôles réguliers » appuie François Cornu. Mais « on crée des châteaux forts » vis-à-vis de l’extérieur, convient-il, tout en pointant des failles de sécurité en interne, dues au facteur humain, avec l’usage de clés USB vectrices de virus, d’ordinateurs nomades replugés le lundi sur le SIL après avoir été prêtés le week-end aux enfants.

Le cyber vol de données est en plein essor Une situation exploitée, en début d’année, par le groupe de hacker Rex Mundi, connu pour ses attaques contre Domino’s Pizza un an auparavant et qui là a diligenté une cyber attaque contre la base de données du LBM Labio implanté dans les Bouches-du-Rhône. Les pirates ont exigé une rançon de 20 000 euros en échange d’une non-diffusion de 40 000 identifiants (nom, prénom, login, mot de passe) ainsi que des « centaines »  de bilans médicaux qu’ils avaient volés. Devant le refus de payer, les informations de 15 352 patients Labio se sont retrouvées en mars sur la toile. « La demande de rançon à la suite d’un piratage est une activité en plein essor, car rémunératrice et

OptionBio | Lundi 22 juin 2015 | n° 528-529

| Pour François Cornu, évaluateur Cofrac, « la confidentialité est une exigence ».

© SB.

Président et directeur de la publication : Daniel Rodriguez Éditeur : Elsevier Masson SAS Société par actions simplifiées à associé unique au capital de 47 275 384 euros, RCS Nanterre B542 037 031 62, rue Camille-Desmoulins, 92130 Issy-les-Moulineaux, France. Tél. : composer le 01 71 16 suivi des quatre chiffres de votre correspondant. Standard : 01 71 16 55 00. http://france.elsevier.com

peu risquée. Nous n’en sommes qu’au début. Tout le monde est une victime potentielle indépendamment du secteur d’activité » résume Veta Lucas du cabinet d’audit Provadys, conseil de 500  clients dont des grands comptes, certificateur pour différentes autorités, ayant à son actif 1 500 tests d’intrusion par an réussis dans 9 cas sur 10. Statistiques parlantes : 42,8 millions de cyber attaques ont été recensées dans le monde en 2014. Coût de la facture : 2,7 millions de dollars. La mode est aux ransomware qui industrialisent l’extorsion de fonds. Ces logiciels malveillants peuvent être propagés via des mails piégés. Objectifs : compromettre le plus de systèmes possibles et monnayer la restitution des données payées en monnaie virtuelle comme le Bitcoin qui échappe à toute traçabilité. « Lorsqu’un ransomware a pénétré votre poste de travail, il n’y a plus rien à faire. Seules solutions : recourir à des sauvegardes ou payer la rançon ». Les failles offrent des possibilités pour des vols de données mais aussi pour des modifications de contenus « defacement » par exemple sur le résultat d’un examen biologique, ou en passer par un site pour attaquer les autres utilisateurs, cibler la boîte mail d’un dirigeant au moyen d’un cheval de Troie expédié auprès d’un collaborateur ou de la femme de ménage, etc. Conseil : ne pas sous-estimer la menace des cybercriminels, ni surestimer son niveau de sécurité. L’impératif : prendre conscience pour mieux s’en prémunir que la biologie est une cible des attaques informatiques. | SERGE BENADERETTE Journaliste, Paris [email protected]

3