Depuis le passage graduel à l'informatisation des données, et d'autant plus aujourd'hui avec la perspective de la standardisation à moyen, voire court terme, des Dossiers Médicaux Personnels, l'enjeu de la protection, pour les infrastructures de santé, qu'elles soient publiques ou privées, est devenu une priorité. Et cette priorité a porté ses fruits puisque selon l'étude menée par el cabinet d'audit PwC auprès de différents secteurs d'activité dont la Santé, 74% des professionnels médicaux expriment leur confiance dans l'efficacité de leurs procédures de sécurité. En effet, le budget alloué à la sécurisation des banques de données et à la mise en place d'outils de prévention est en augmentation constante depuis 2009, culminant en 2013 à 2,2 millions en moyenne, soit 20% de plus que l'année précédente. Mais si la priorité est mise dans le secteur de la protection informatique, et les fonds alloués conséquents, les résultats montrent encore un manque d'expertise qui peut s'avérer crucial.
Plus d'attaques, plus diversifiées
Il existe une réelle différence dans la mise en place de protocoles de sécurité entre la conception et la pratique. C'est ce que 23% des interrogés relèvent, ils se sentent plus confiants dans la création théorique des procédures plutôt que dans leur implémentation réelle. Le nombre moyen d'attaques dont est victime le secteur de la Santé semble légitimer les inquiétudes des professionnels, puisqu'il n'a cessé de croître au fil des ans, avec une hausse particulièrement importante entre 2012 et 2013 à hauteur de 40%, pour atteindre 2400 occurrences. Et encore ces attaques ne sont que celles qui ont pu être relevées par ces mêmes systèmes de sécurité. Statistique d'autant plus alarmante de par le caractère extrêmement sensible des données en jeu, celles des patients. Ces informations sont la priorité des attaques informatiques, ainsi dans 36% des cas le résultat d'une attaque informatique rend le dossier médical du patient inutilisable.
S'adapter à l'évolution des pratiques
La principale raison pour laquelle les efforts fournis par les infrastructures, efforts réels et financièrement important, ne portent pas les fruits escomptés tient à l'approche suivie par les décideurs. Le "block and tackle" classique que peut représenter le parefeu n'est plus suffisant pour répondre à la volatilité des attaques. Une protection à plusieurs niveaux s'avère nécessaire, d'autant plus avec le développement des technologies mobiles. Ces technologies sont génératrices de nouveaux risques, tout comme leur utilisation par les employés. Ainsi si 40% de ceux-ci reconnaissent utiliser une technologie de Cloud stockage, seuls 16% en intègrent l'utilisation dans leur protocole de sécurité. Le fonctionnement de ces structures est encore trop rigide pour posséder la réactivité suffisante aux problématiques de sécurité informatique contemporaine. A moins d'une réelle impulsion donnée vers un changement de notre culture informatique, les lourds investissements des professionnels de la santé risquent de s'avérer largement inefficaces.