Le dossier électronique des patients (EPR) est une fois de plus au centre des critiques: les chercheurs en sécurité ont récemment révélé de graves vulnérabilités dans l'infrastructure qui pourraient potentiellement permettre l'accès à des données de santé sensibles. Cela a été révélé dans une enquête de Spiegel. Malgré les mesures de protection déjà mises en œuvre, les dernières révélations montrent que l'EPA est toujours vulnérable aux attaques. Cela soulève des questions sur l'efficacité des concepts de sécurité précédents et appelle à une réévaluation de la stratégie de santé numérique.
- Les pirates ont pu contourner de nouveaux mécanismes de protection de l'EPA.
- L'accès à des données personnelles telles que la date de début de l'assurance et l'adresse était possible.
- Gematik a répondu avec des mesures d'urgence et des procédures affectées en suspension.
- Les experts appellent à un examen complet et à une amélioration de la sécurité informatique.
Nouveaux scénarios d'attaque malgré des mesures de sécurité mises à jour
Au cours de la première semaine après le lancement officiel du fichier électronique des patients (EPA), une autre vulnérabilité de sécurité a été découverte. Selon un rapport de «Der Spiegel», le Chaos Computer Club (CCC) a pu contourner une nouvelle mesure de protection centrale et a informé les autorités compétentes. L'organisation de l'opérateur Gematik a réagi immédiatement avec une mesure d'urgence et a suspendu la procédure affectée – le soi-disant certificat de remplacement électronique – pour le moment. Les pirates ont pu utiliser ce certificat pour récupérer automatiquement des données personnelles telles que la date de début de l'assurance et l'adresse afin de calculer la nouvelle valeur de test introduite à des fins de sécurité. Selon Gematik, cependant, il n'y a aucune indication d'accès non autorisé aux fichiers des patients jusqu'à présent.
Le CCC avait déjà découvert plusieurs vulnérabilités dans le système EPA à la fin de 2024, c'est pourquoi le lancement a été reporté. Selon le ministre fédéral de la Santé, Karl Lauterbach, l'EPA ne sera pleinement introduite qu'une fois que toutes les attaques potentielles – y compris celles du CCC – auront été techniquement exclues.
Réactions et conséquences politiques
L'incident a également des conséquences politiques: les autorités sanitaires et les agents de protection des données appellent désormais à un examen complet et à un investissement supplémentaire dans la sécurité informatique des plateformes de l'EPA. Le dossier électronique des patients est considéré comme un élément central de la numérisation du système de santé – cependant, la confiance dans sa sécurité a été de plus en plus secouée.
Gematik souligne que les données très sensibles contenues dans l'EPA sont protégées par un concept de sécurité spécial. Cependant, selon Der Spiegel, ce n'est pas le cas. D'un autre côté, un examen du Fraunhofer Institute for Secure Information Technology (SIT) en septembre 2024 a conclu que l'architecture du système était globalement appropriée, mais pouvait toujours être améliorée. Le rapport final du SIT identifie un total de 21 vulnérabilités, dont 4 sont classées comme «élevées».
Conclusion
Les récentes révélations sur les vulnérabilités de sécurité dans les dossiers électroniques des patients soulignent la nécessité d'un examen complet et d'une amélioration des mesures de sécurité informatique. Bien que Gematik et le ministère fédéral de la Santé aient réagi rapidement, la confiance dans la sécurité de l'EPA reste ébranlée. Une numérisation réussie du système de santé nécessite non seulement des technologies innovantes, mais aussi des concepts de sécurité robustes qui garantissent la protection des données sensibles des patients
