Attaque d'un fournisseur de DSE par un ransomware : qu'en est-il de la concentration des technologies de l'information dans le secteur de la santé ?

La récente attaque par ransomware d'un important fournisseur de logiciels (ChipSoft) dans le secteur néerlandais de la santé a de nouveau mis en lumière une question sensible : la dépendance à l'égard d'un petit nombre de parties pour l'infrastructure numérique critique. En l'occurrence, il s'agissait d'un fournisseur de dossiers électroniques de patients (EHR), dont les systèmes ont été temporairement mis hors ligne pour limiter les dégâts et permettre les investigations.

D'après de nombreux rapports des médias et les questions soulevées depuis dans les milieux politiques, l'ampleur de la saisie des données des patients et l'impact sur les établissements de soins de santé qui dépendent de ces systèmes font l'objet d'une enquête. L'incident n'est pas isolé, mais s'inscrit dans une tendance plus large selon laquelle les technologies de l'information dans le domaine de la santé sont de plus en plus souvent la cible de cyberattaques.

Concentration du marché : efficacité ou risque ?

Aux Pays-Bas, le marché des DSE est très concentré. Un petit groupe d'éditeurs fournit des logiciels à la grande majorité des hôpitaux et des établissements de santé. Un acteur fréquemment cité est ChipSoft, qui détient une part de marché d'environ 76 % dans le secteur hospitalier, selon les estimations du marché.

Cette concentration présente des avantages, tels que la standardisation, les économies d'échelle et le déploiement rapide des processus de soins de santé numériques. Dans le même temps, elle crée une forme de dépendance qui comporte également des risques. Lorsqu'une partie dominante subit une perturbation, cela affecte immédiatement une grande partie de la chaîne des soins de santé. Un autre facteur est que certaines parties de l'infrastructure s'appuient souvent sur des plateformes technologiques externes, telles que les services en nuage et les logiciels de grands fournisseurs comme Microsoft, de sorte que toute vulnérabilité dans cette chaîne peut indirectement avoir une incidence sur la disponibilité et la sécurité des systèmes de soins de santé.

Dans le domaine des technologies de l'information, ce phénomène est souvent appelé "vendor lock-in" : les organisations sont tellement liées techniquement et contractuellement à un fournisseur qu'il est complexe et coûteux de changer de fournisseur.

L'innovation sous pression ?

Un débat récurrent dans le domaine des technologies de l'information pour les soins de santé est de savoir si un marché consolidé accélère ou inhibe l'innovation. Les partisans des grands fournisseurs mettent en avant la stabilité et le développement continu au sein d'un même écosystème. Les détracteurs rétorquent qu'une position de quasi-monopole peut réduire l'incitation à l'innovation.

En outre, l'interopérabilité joue un rôle important. Diverses sources et rapports de recherche ont déjà critiqué l'interchangeabilité limitée entre les systèmes de différents fournisseurs. Cela peut avoir des conséquences pratiques dans le domaine des soins de santé : lorsque les systèmes ne communiquent pas bien, il y a un risque d'informations incomplètes sur le patient à des moments cruciaux.

La cybersécurité en tant que risque structurel

Les récents incidents liés aux ransomwares montrent que l'informatique de santé n'est pas seulement une question fonctionnelle, mais aussi une question de sécurité. Les données relatives aux soins de santé sont extrêmement sensibles et donc attrayantes pour les criminels. En outre, la taille et la complexité des systèmes de DSE les rendent vulnérables : de grands ensembles de données, de nombreux utilisateurs et des structures d'accès complexes augmentent la surface d'attaque.

Les experts en cybersécurité soulignent depuis longtemps que la segmentation des données et un contrôle d'accès plus strict sont importants pour limiter les dégâts en cas d'attaque. En effet, dans certains systèmes, l'accès étendu des employés peut signifier qu'un seul compte compromis peut avoir des conséquences majeures.

Qu'est-ce que cela signifie pour le marché ?

Le débat se déplace donc de plus en plus de la question "quel logiciel fonctionne le mieux" vers la question "comment organiser un écosystème résilient". Dans ce contexte, il semble qu'il y ait de la place pour des acteurs plus petits et plus spécialisés. Pas nécessairement pour remplacer les grandes plateformes de DSE, mais pour les compléter dans un paysage plus modulaire.

Les petits acteurs peuvent, dans certains cas, innover plus rapidement, développer des produits plus spécifiques et s'intégrer plus facilement aux systèmes existants grâce à des architectures API modernes. Ils sont ainsi plus agiles dans un secteur qui évolue rapidement, tant sur le plan technologique que réglementaire.

Des organisations comme Webcamconsult, actives dans le domaine des applications numériques de soins de santé et de la communication avec les patients, s'inscrivent dans ce mouvement plus large en faveur d'une informatique hybride et plus distribuée dans le domaine des soins de santé. Il ne s'agit pas d'une alternative aux grands DSE, mais d'un élément d'un écosystème dans lequel la collaboration et l'interopérabilité sont de plus en plus importantes.

Conclusion

L'attaque par ransomware d'un grand éditeur de logiciels de santé n'est donc pas qu'un simple incident. Elle soulève des questions fondamentales sur la structure du marché, la dépendance et la résilience numérique dans le secteur des soins de santé.

Un marché très concentré peut être efficace, mais il présente également des risques systémiques. Le défi pour les années à venir consiste à trouver un équilibre entre l'échelle, la sécurité et l'innovation, sans que les processus cruciaux des soins de santé ne deviennent dépendants d'un trop petit nombre de maillons de la chaîne.

Sources : Security.nl, Questions parlementaires sur la sécurité.

• Security.nl, Parliamentary questions on ransomware attack on EHR provider ChipSoft
• NU.nl, Hacked patient records software provider takes systems offline
• NU.nl, Ransomware attack on patient records software provider