Cette section a pour but de caractériser, très brièvement, les SICSS, domaine d’application étudié tout au long de ce mémoire. Une analyse plus détaillée de ces systèmes sera donnée dans le troisième chapitre.
1.1.1. Définition et enjeux
Les systèmes d’information et de communication en santé et social (SICSS) permettent de stocker et de gérer des informations médicales, administratives ou sociales concernant des individus ou des entreprises. Ils doivent faciliter les tâches de leurs utilisateurs : médecins, secrétaires médicales, infirmiers, agents d’assurances maladie, ou encore usagers de Net-entreprises1, tous en charge de traitements tels les diagnostics, les actes médicaux, les soins, les remboursements et les déclarations sociales.
Ces systèmes manipulent, entre autres, des données à caractère personnel et souvent nominatives2. Citons, à titre d’exemple, les informations décrivant les situations médicales (historique des pathologies et allergies, diagnostics, actes médicaux, résultats biologiques), administratives (identité et coordonnées, situation familiale, numéro de SIREN3, salaires) ou sociales (prestations financières et sociales).
Les SICSS exploitent les progrès des technologies de l’informatique et des réseaux pour permettre aux utilisateurs un accès rapide aux informations, et ainsi faciliter et contrôler la prise en charge (médicale, administrative ou sociale) des patients et des ayant-droits. Ils servent aussi à alléger la charge administrative qui pèse sur les petites et moyennes entreprises et notamment la procédure de création des entreprises, le bulletin de paie, le calcul des charges sociales, les mesures fiscales, comptables et statistiques, etc.
Toutefois, la mise en œuvre de ces technologies met en danger les données gérées par les SICSS. En l’occurrence, le marché des informations nominatives intéresse nombre d’organisations : industries pharmaceutiques, compagnies d’assurances, banques, employeurs, presse, stratèges politiques, etc. Les SICSS sont donc des cibles privilégiées pour des individus malintentionnés, susceptibles d’exploiter toute vulnérabilité du système pour violer les exigences de sécurité.
1.1.2. Complexité des SICSS
Les SICSS sont des systèmes riches en fonctionnalités, complexes, sensibles, hétérogènes et exigeant un niveau élevé d’interopérabilité. En effet, les SICSS :
- relient des organisations multiples et des utilisateurs ayant des profils différents ; dans le domaine médical, il s’agit de professionnels de santé, hôpitaux et organismes payeurs ; dans la sphère sociale, il s’agit des organismes de protection sociale, entreprises et banques ;
1 Net-entreprises est le service proposé en France aux entreprises par l’ensemble des organismes de protection sociale pour leur permettre d’effectuer, par Internet, leurs déclarations et leurs paiements.
2 Nous considérons une information comme nominative si elle contribue à la description d’individus (ou entreprises) bien identifiés ou identifiables.
3 Le numéro de SIRENest un numéro attribué par l’INSEE à toute personne physique ou morale qui exerce une activité professionnelle lors de l’inscription au répertoire national des entreprises.
- mettent en jeu des technologies complexes comme la communication, le traitement d’information, la télémédecine, le télépaiement et l’archivage ;
- manipulent des informations sensibles et hétérogènes ; il s’agit de données textuelles ou graphiques, d’images et d’enregistrements de cardiogrammes, etc. ; le caractère, souvent personnel, de ces informations, oblige à prendre des précautions particulières, afin d’assurer leur protection, notamment durant toute manipulation (accès, transfert, stockage) ;
- nécessitent une coopération de ses utilisateurs qui échangent les informations, consultent les bases de données, et utilisent les applications médicales, paramédicales, médico-administratives et médico-financières ; en effet, les médecins, hôpitaux, pharmacies et laboratoires doivent pouvoir s’échanger des informations médicales afin de favoriser l’aide au diagnostic ou la recherche épidémiologique ; les services d’étude et de recherche épidémiologique envoient aux médecins des statistiques d’activité et leur fournissent une aide à la décision. Les médecins envoient les feuilles de soins électroniques aux régimes d’assurance maladie et reçoivent, en échange, des accusés de réception, etc.
La diversité des organisations dans lesquelles de telles applications doivent être mises en œuvre ainsi que les interactions entre les applications, nécessitent une grande flexibilité dans la définition des politiques de sécurité. Ces interactions sont exigeantes en matière de sécurité, notamment en intégrant des droits, des interdictions, des obligations et des recommandations, attribués à chacun des acteurs et issus des responsabilités qu’ils doivent exercer.
1.1.3. Diversité des exigences de sécurité
Selon les domaines d’application, les exigences de sécurité peuvent varier pour ce qui concerne l’importance relative de chacune des propriétés de sécurité : disponibilité, intégrité, disponibilité et auditabilité (voir section 3 du présent chapitre).
Ainsi, dans le domaine militaire par exemple, et plus généralement dans le domaine gouvernemental, l’accent est mis principalement sur la confidentialité, l’intégrité étant le plus souvent estimée comme secondaire et la disponibilité étant encore plus négligée : la divulgation d’une information est considérée comme plus grave que son altération ou son indisponibilité.
Dans le domaine financier, qu’il s’agisse d’applications bancaires ou de comptabilité des entreprises, l’intégrité est de loin le souci majeur, bien plus que la disponibilité, la confidentialité étant encore d’un moindre souci. En effet, une altération de l’information, qu’il s’agisse de fraude ou d’une faute accidentelle, peut avoir des conséquences financières démesurées. Le manque de disponibilité est généralement d’une gravité moindre. Quant aux pertes liées au manque de confidentialité, elles sont généralement difficiles à évaluer financièrement et le plus souvent considérées comme négligeables devant les risques liés à l’altération des données.
À l’inverse, les SICSS se caractérisent par leurs fortes exigences, souvent simultanées, de confidentialité, d’intégrité et de disponibilité, mais aussi d’auditabilité. En effet, dans le domaine médical, l’intégrité (des diagnostics, par exemple) et la disponibilité (caractère d’urgence) peuvent parfois être vitales, au sens strict du terme, mais la confidentialité est plus qu’une obligation légale : l’accès à des informations médicales peut avoir des implications financières importantes vis-à-vis d’un employeur ou d’un assureur, mais peut aussi être la source d’un chantage. La propriété d’auditabilité est également très importante pour renforcer la responsabilité des personnels soignants. De la même manière, dans le domaine social, la confidentialité des données concernant les personnes et les entreprises, l’intégrité des télédéclarations et des télépaiements, la disponibilité des téléservices de Net-entreprises
(surtout dans les échéances de déclarations et de paiements), ainsi que la responsabilité des actions (paiement à échéance par exemple), sont autant de points cruciaux.
Malheureusement, des conflits potentiels peuvent apparaître entre toutes ces exigences de sécurité des SICSS. En effet, un objectif de confidentialité sur les dossiers médicaux conduit à définir une règle limitant l’accès au dossier médical d’un patient à son seul médecin traitant.
Pourtant, un objectif de disponibilité peut amener à définir comme règle qu’en cas d’urgence, n’importe quel médecin puisse y avoir accès. Dans d’autres cas, un professionnel de santé peut avoir besoin de certaines données indirectement nominatives (par exemple, l’âge, l’appartenance sociale, ou la région géographique) pour réaliser une étude épidémiologique.
Une telle exigence, liée à la disponibilité, peut entrer en conflit avec des exigences de confidentialité (par exemple, risque d’inférence non autorisée si ces données indirectement nominatives sont divulguées).
1.1.4. Menaces pesant sur les informations manipulées par ces systèmes
Les menaces auxquelles les SICSS sont confrontés peuvent causer différents préjudices, notamment en portant atteinte à la confidentialité des informations concernant les patients et les organisations, à l’intégrité des données et des programmes, à la disponibilité des services et des données nécessaires au bon fonctionnement. Plusieurs études et statistiques récentes montrent l’ampleur de ces menaces. Des enquêtes menées par la commission d’audit britannique [Audit 1998] et par le bureau d’évaluation de la technologie du gouvernement américain ont confirmé que le domaine de la santé est l’une des cibles privilégiées d’attaquants aussi bien internes qu’externes (atteinte à la vie privée, fraudes, etc.) [Woodward 1995]. Plus récemment, en 2001, un pirate a pu s’emparer du serveur de fichiers d’un hôpital à Seattle (aux États-Unis) et diffuser sur le Web (securityfocus.com) les fichiers médicaux de cinq mille patients. Des études plus anciennes [Tufo 1971] révèlent que, dans plus de 30 % des cas, les fichiers médicaux sont indisponibles, et que même quand ils sont disponibles, les délais nécessaires pour extraire les informations sont souvent décourageants. Les 26, 27 octobre et le 4 novembre 1992, suite à une surcharge du système informatique, le service des ambulances de Londres a été bloqué ; causant la mort de vingt personnes. L’enquête a révélé que la transition vers le système de sauvegarde n’avait pas été correctement préparée.
À cet égard, les vulnérabilités des SICSS peuvent être de natures diverses : fautes de conception ou de spécification, comme les portes dérobées permettant des infiltrations malveillantes extérieures (voir 1.4) ; politiques de sécurité ne tenant pas compte de toutes les manipulations illégitimes ; faiblesses dans le système socio-technique, dues par exemple à une procédure d’habilitation trop laxiste des personnels ; protection physique insuffisante du matériel et des ressources ; etc.
En outre, les attaques peuvent aussi bien provenir de l’intérieur (abus de pouvoir, curiosité allant au-delà de l’utilisation des informations et services strictement nécessaires pour l’accomplissement du travail) que de l’extérieur (pirate informatique qui tente de lire ou de modifier une information ou d’usurper l’identité d’un professionnel de santé par exemple).
Une intrusion (attaque au moins particulièrement réussie) peut donner lieu à :
- des divulgations de données personnelles intimes, ou professionnelles secrètes (violation de la confidentialité) ;
- des erreurs de diagnostic, d’actes médicaux, de télédéclarations, ou de télépaiements (violation de l’intégrité et de la disponibilité) ;
- l’indisponibilité d’informations cruciales pour les médecins (respectivement les organismes de protection sociale) qui peuvent en avoir besoin pour leurs patients (respectivement entreprises) ou pour justifier leurs décisions, si nécessaire (violation de la disponibilité et de l’auditabilité).
Enfin, le manque de confiance peut conduire chaque partenaire d’un SICSS à installer sa propre politique de sécurité, au détriment d’une interopérabilité pourtant indispensable à l’échange d’informations entre les usagers des SICSS. Par ailleurs, la peur d’un manque de confidentialité, d’intégrité, de disponibilité ou d’auditabilité de tels systèmes peut inciter des patients (ou, dans le domaine social, les entreprises) à refuser de divulguer des informations pourtant capitales.
[Abou El Kalam et al. 2002c] identifie une liste plus exhaustive de risques spécifiques aux SICSS, mais aussi à des risques plus généraux, liés à l’utilisation de l’informatique et de la télématique. Par ailleurs, une caractérisation plus détaillée des besoins des SICSS peut être trouvée dans [Abou el Kalam & Deswarte 2003a].