«Les questions de protection des données ne sont pas encore entièrement clarifiées»

L’Hôpital de Thoune mise depuis plusieurs années sur des ­solutions UCC avec Unify désormais partie de Mitel. Quelles sont les exigences particulières des hôpitaux en matière de ­systèmes de communication?

Drazen-Ivan Andjelic: Le secteur de la santé pose des exigences variées, parmi les plus élevées pour les produits et services UCC. Le soin professionnel des patients repose sur des processus efficaces et rapides. Un système de communication mobile à l’échelle de l’hôpital avec différents terminaux permet à tous les métiers de communiquer de façon sûre en temps réel. A l’abri des écoutes, il sert aussi aux alarmes, et jusqu’au diagnostic virtuel sécurisé à distance. Dans ce contexte, les questions de sécurité pour la protection des données des patients sont d’une importance capitale. De nombreux fournisseurs augmentent encore l’attractivité de leur offre en la combinant avec des solutions moins exigeantes en matière de sécurité des besoins de sécurité, comme les accès internet des visiteurs et les systèmes de divertissement des patients.

Quelle est la stratégie de l’Hôpital de Thoune en matière de services de communication, quels sont les systèmes qui ­garantissent des échanges fluides?

Klaus Späth: Il y a plus de 20 ans, nous sommes passés d’un dossier médical sur papier à un système d’information clinique numérique et aujourd’hui le numérique est employé dans la plupart des domaines. Reste qu’en plus d’un bon réseau et d’un centre de calcul à l’abri des pannes, il est essentiel de disposer d’une téléphonie stable et fiable. Avec Unify/Mitel, nous avons trouvé une solution qui se démarque particulièrement en termes de stabilité, de résilience et de capacité d’intégration, ce qui nous permet d’offrir des services de téléphonie hautement disponibles et redondants. Nous avons également intégré Microsoft Teams pour la communication interne dans l’ensemble du secteur administratif. Pour ce qui est des appels des patients et des alarmes, nous utilisons des solutions d’Ascom qui sont entièrement intégrées. Et pour la téléphonie et le divertissement des patients, nous exploitons les terminaux Unify OpenScape Healthstation HiMed, eux aussi intégrés. Enfin, outre les téléphones Unify, nous utilisons également des smartphones spéciaux basés sur Ascom Myco.

Les hôpitaux comme celui de Thoune utilisent différents ­services de communication pour le travail au quotidien. ­Comment les fournisseurs s’assurent-ils que ces solutions sont pérennes?

Andjelic: Les processus de communication passent toujours par différentes applications et bases de données imbriquées les unes dans les autres de façon toujours plus complexe. La qualité des composants est donc décisive, tout comme il est crucial de disposer de solutions évolutives et à l’épreuve du temps. Le télédiagnostic virtuel par exemple utilise l’historique du patient du système d’information de l’hôpital, qu’il complète avec le nouveau diagnostic. De telles intégrations sont coûteuses et ne se justifient que si l’optimisation est pérenne et que les composants n’ont pas besoin d’être remplacés trop souvent.

Les hôpitaux font partie des infrastructures critiques et comptent donc parmi les environnements les plus réglementés. Quelles options de déploiement proposez-vous aux établissements de santé?

Andjelic: Le déploiement sur site est toujours préféré dans le secteur de la santé. Pour les postes de travail nécessitant impérativement une partie de solution dans un cloud public, Mitel propose une connexion sécurisée à l’infrastructure sur site. Ainsi, dans l’administration, les postes de travail sont équipés de Microsoft Teams fourni depuis le cloud public et reliés à la plateforme UC/Voix locale pour la communication avec les patients, y compris les alarmes et la localisation.

Les cybercriminels usent de multiples techniques pour s’infiltrer dans les systèmes des organisations. Comment les hôpitaux peuvent-ils sécuriser efficacement leurs systèmes de communication?

Carmelo Salmeri: Pour se protéger contre les cyberattaques, les hôpitaux peuvent prendre différentes mesures, par exemple:

• Endpoint Security: les solutions «Endpoint Detection and Response» (EDR) leur permettent de détecter les comportements suspects sur les terminaux et d’agir en conséquence. Les points finaux doivent être surveillés 24 heures sur 24, car les cybercriminels ne connaissent ni vacances ni jours fériés.
• Centre de cyberdéfense (CDC): La mise en place d’un CDC peut fournir un point central pour la surveillance, l’analyse et la réaction aux incidents de sécurité.
• SIEM (Security Information and Event Management): Grâce à des technologies telles que le SIEM, les activités suspectes peuvent être identifiées en temps réel et des mesures peuvent être prises.
• Formation et sensibilisation: les collaborateurs doivent être formés régulièrement. Ils peuvent ainsi reconnaître plus facilement les attaques de phishing ou d’autres techniques d'ingénierie sociale et y réagir de manière adéquate.

Comment les fournisseurs d'équipements de communication aident-ils leurs clients en matière de sécurité des appareils?

Andjelic: Les appareils mobiles gagnent en importance parce qu’ils permettent d’échanger des informations de façon plus rapide et plus efficace. Il est donc indispensable de mettre en œuvre des techniques de sécurité typiques tels que le chiffrement des données vocales et de signalisation, tant pour les données en transit que pour les données «au repos» côté système. Pour la connexion au système, les solutions de Mitel utilisent une authentification à deux facteurs afin d’éviter tout abus. On passe ainsi d’un poste de travail fixe à un poste de travail entièrement mobile. Cette approche n’étant cependant pas possible pour tous les profils de poste de travail, il importe de relier les différents types de postes sans discontinuité.

Comment l’Hôpital de Thoune se protège-t-il des attaques de pirates informatiques?

Späth: Les cyberattaques contre les hôpitaux sont malheureusement devenues un phénomène courant. Outre les mécanismes de protection classiques comme les pare-feux ou les systèmes antivirus, nous nous efforçons de réduire la surface d'attaque pour les pirates. Pour ce faire, nous misons sur un réseau fortement segmenté et employons des solutions de contrôle d'accès au réseau (NAC). Nous avons aussi des directives strictes en matière de mots de passe avec une authentification à multiples facteurs, nous recourons au Security Information and Event Management (SIEM) et à un Security Operations Center (SOC). Nous avons également mis en place une très bonne gestion des correctifs et des vulnérabilités. Nous avons par ailleurs adopté une approche non conventionnelle avec l’engagement de hackers éthiques. Des organisations telles que Bug Bounty Switzerland permettent d’entrer en relation avec des «white hats», qui peuvent simuler une attaque réelle sur notre infrastructure. Si des failles sont découvertes, les hackers reçoivent un prix en fonction de la criticité de la faille de sécurité qu’ils ont identifiée.

Quels types de cyberattaques menacent le plus souvent les hôpitaux?

Salmeri: Les attaques de ransomware comptent parmi les plus grandes menaces pour les hôpitaux. Lors de ces attaques, les pirates cryptent les données de l’hôpital et exigent le paiement d’une rançon pour les débloquer. Les ransomwares peuvent fortement perturber le fonctionnement des hôpitaux et mettre en péril les soins aux patients. Les attaques de phishing visant les collaborateurs sont également très répandues. Mais les menaces ne viennent pas toutes de l’extérieur. Les menaces internes, dues à des erreurs de comportement accidentelles ou intentionnelles de la part de collaborateurs, peuvent également avoir de graves conséquences – par exemple sous la forme de vols de données ou de dommages aux systèmes.

Les cybercriminels recourent également à des techniques d’intelligence artificielle, comme les deep fakes. Quelle est la menace pour les hôpitaux?

Salmeri: Si les pirates usurpent l’identité du personnel médical, ils pourraient s’en servir pour s’infiltrer dans les systèmes ou effectuer des actions nuisibles comme des tentatives d’extorsion et d’hameçonnage en leur nom. En recourant à des deep fakes, les criminels sont également en mesure de diffuser de fausses informations sur les traitements médicaux, les maladies ou les risques pour la santé. De quoi semer la confusion parmi les patients et saper leur confiance dans le système de santé. Les criminels peuvent par ailleurs utiliser des deep fakes pour manipuler des radiographies ou des scanners et ainsi falsifier des résultats. De telles manipulations pourraient conduire à des diagnostics erronés et, en fin de compte, mettre en danger la santé des patients.

Les assistants intelligents sont utilisés dans un nombre ­croissant de domaines. L’Hôpital de Thoune recourt-il à de tels outils?

Späth: L’une des plus grandes forces de l’IA est la reconnaissance des formes. En radiologie, cette technologie est utilisée depuis plusieurs années. Loin de rendre le diagnostic médical superflu, les assistants intelligents les médecins à établir des priorités dans leur travail. Si l’IA diagnostique une pathologie, l’examen revêt la plus haute priorité. Nous garantissons ainsi que les diagnostics critiques sont disponibles dans un délai très court et qu’ils ont été vérifiés à la fois par l’IA et par le radiologue. Parmi les autres domaines d'application de l’IA, on peut mentionner la planification du personnel ou l’optimisation de notre programme opératoire. L’intelligence artificielle peut aussi servir à traiter les appels des patients sous forme de chatbots ou en combinaison avec le système chirurgical Da Vinci. Certaines applications sont encore en phase de test, mais je suis sûr que ces prochaines années nous pourrons en intégrer une grande partie de manière permanente dans nos processus de travail.

L’assistant IA Copilot de Microsoft peut en principe accéder à toutes les données qui lui sont soumises. Comment l’Hôpital de Thoune gère-t-il l’emploi de cet outil?

Späth: Nous testons Microsoft Copilot dans le cadre de l’introduction de notre nouvel Intranet et de notre nouvelle plateforme de collaboration basée sur MS Teams. Jusqu’à présent, la recherche defichiers internes tels que des règlements ou des consignes pour le traitement des patients était laborieuse et chronophage, alors que Copilot trouve en quelques secondes la bonne réponse dans les documents stockés. Pour plus de sécurité, Copilot doit afficher le document dans lequel il a trouvé l’information. Les collaborateurs obtiennent ainsi beaucoup plus rapidement la réponse adéquate et peuvent vérifier qu’il s’agit du bon document. Malheureusement, les questions relatives à la protection des données ne sont pas encore entièrement clarifiées et il faudra encore quelques tests et clarifications avant de passer en production.

Comment l’intelligence artificielle peut-elle faciliter la ­communication dans les hôpitaux?

Salmeri: L’une des applications concerne la fonction de reconnaissance vocale pour la documentation médicale. Les assistants IA aident le personnel médical à rédiger plus rapidement et plus efficacement des rapports ou des dossiers patients en convertissant les informations vocales en texte. Autre exemple, les chatbots aident les hôpitaux à communiquer avec les patients en répondant de manière automatisée aux questions fréquemment posées, que ce soit sur les traitements, les médicaments ou le séjour.

Dans quels domaines les fournisseurs d’équipements de communication utilisent-ils déjà avec succès des solutions d’IA?

Andjelic: L’IA est utilisée par exemple dans la télémédecine pour la prise de rendez-vous dans la salle d’attente virtuelle, ainsi que pour l’aide au diagnostic ou pour l’établissement de rapports prédéfinis et standardisés. La prochaine étape consistera à utiliser la reconnaissance et le référencement des images pour définir les symptômes et déterminer la maladie.

De quoi les entreprises doivent-elles tenir compte lorsqu’elles utilisent l’IA, et notamment l’IA générative?

Salmeri: Toutes les applications d’IA utilisées doivent être conformes aux lois et réglementations en vigueur. De plus, l’ensemble des données utilisées dans le développement ou l’exploitation des systèmes d’IA doivent être protégées de manière adéquate et tenir compte des aspects liés aux droits d’auteur. Les modèles GenAI ayant encore tendance à fournir des résultats imprévus ou erronés, il est indispensable de mettre en place des mesures strictes d’assurance qualité. Les hôpitaux devraient donc analyser soigneusement les effets et risques potentiels avant la mise en œuvre et prendre des mesures pour minimiser les risques, comme l’élaboration de plans d’urgence, l’examen régulier des systèmes d’IA et la collaboration avec des experts en cybersécurité et en gestion des risques.

Quelles sont les préoccupations de l’Hôpital de Thoune en matière de protection des données et de confidentialité lors de l’utilisation de l’IA?

Späth: Il est important pour nous d’adopter une approche équilibrée qui tire profit des avantages de l’IA tout en protégeant au maximum la vie privée et la confidentialité des utilisateurs. Vu que les systèmes IA sont généralement des applications cloud, il ne suffit pas de mettre en place et de maîtriser nos systèmes de manière sécurisée. Nous devons également surveiller les normes de sécurité de nos fournisseurs cloud. D’après notre expérience, on obtient la meilleure lorsque la protection des données a été prise en compte dès le développement des systèmes IA. Sans oublier l’utilisation abusive des données: les utilisateurs doivent pouvoir être sûrs que les données seront utilisées exclusivement dans le but indiqué. C’est notamment le rôle du législateur que d’édicter des directives et des lois claires afin de garantir la protection des données dans le domaine de l’IA.