17.3136 · Interpellation · 2017-03-15
Département des finances
Liquidé
Wortlaut
L'interconnexion et le développement de l'Internet des objets améliorent l'offre de soins et apportent des bénéfices aux patients, mais ils recèlent aussi des risques. La Stratégie nationale de protection contre les cyberrisques considère que le système de santé est une infrastructure critique. L'analyse des risques et des vulnérabilités et la Centrale d'enregistrement et d'analyse pour la sûreté de l'information montrent la vulnérabilité des hôpitaux, des appareils médicaux, des appareils servant à poser un diagnostic et à mener des analyses et des implants et les risques de cyberattaques auxquels ils ont exposés au moyen de logiciels de rançon et d'attaques Internet. Le dernier rapport semestriel de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information s'intitule ainsi "Un problème de vie ou de mort" et montre qu'il est nécessaire d'agir pour assurer la sécurité dans les hôpitaux et celle des dispositifs et des implants médicaux pilotés par des moyens informatiques. Il relève que la sensibilité à ces questions de sécurité est très différente selon les hôpitaux, les laboratoires et les cabinets médicaux et selon les dispositifs médicaux à risques et que les projets d'externalisation de l'informatique élaborés par les hôpitaux augmentent les vulnérabilités.
Dans ce contexte, je prie le Conseil fédéral de répondre aux questions suivantes :
1. Quelles mesures la Confédération et les cantons doivent-ils prendre pour renforcer la sécurité contre les cyberattaques et les pirates informatiques dans le domaine de la santé et pour minimiser les risques auxquels sont exposés l'infrastructure technique, le traitement des données et les technologies et dispositifs médicaux ?
2. Quelle mesures peuvent-elles être prises en collaboration avec le monde économique, notamment le secteur médical, pour renforcer la sécurité contre les cyberattaques et les pirates informatiques ?
3. Les réglementations, mécanismes et systèmes incitatifs existants sont-ils suffisants pour minimiser les risques et garantir la sécurité ou faut-il procéder à des ajustements, notamment dans le domaine de la responsabilité et des preuves de sécurité ?
4. Que pensent les spécialistes de la directive de l'Union européenne qui s'applique à l'admission de dispositifs médicaux en Suisse et de la norme de 2006 régissant leur logiciel compte tenu de l'évolution technologique et des risques ?
5. Selon la Centrale d'enregistrement et d'analyse pour la sûreté de l'information, une partie des appareils servant à poser un diagnostic et à mener des analyses qui sont pilotés par des moyens informatiques ne peuvent être protégés qu'en perdant leur certification. Qui assume les risques dans de tels cas ?
6. L'Allemagne possède une loi sur la sécurité informatique et l'Union européenne a sa directive concernant la sécurité des réseaux et de l'information. Quelles lignes directrices assurent-elles dans notre pays la sécurité informatique dans le système de santé et pour les dispositifs et implants médicaux présentant des risques ? La Suisse a-t-elle besoin, dans le domaine de la santé, d'adopter des directives ou de prendre des mesures permettant de définir une stratégie globale de sécurité informatique, qui inclue la Confédération, les cantons, les fournisseurs de prestations et le monde économique ?
Stellungnahme des Bundesrates
1. Un principe important de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) est la responsabilité individuelle des entreprises. Chaque entreprise est en effet responsable de la sécurité de son infrastructure informatique. Outre les directives générales, la Confédération émet, en fonction de la situation, des recommandations qui sont prises en compte dans l'évaluation des risques qui pèsent sur les infrastructures informatiques d'importance vitale, notamment sur celles des entreprises du secteur de la santé. Dans le cadre de la mise en oeuvre de la SNPC, l'Office fédéral de la protection de la population et l'Office fédéral de l'approvisionnement économique du pays ont eux aussi effectué une analyse de risques et de vulnérabilités dans le secteur de la santé. Des recommandations ont également résulté de cette analyse. Les entreprises sont libres de décider si elles mettent en oeuvre ces recommandations ou non et, si oui, sous quelle forme. Ce principe est judicieux dans la mesure où ni la Confédération ni les cantons ne peuvent connaître en détail les infrastructures informatiques des hôpitaux, des cabinets médicaux, etc.
2. Il existe déjà une étroite collaboration entre Melani et le secteur médical. Depuis le début de 2016, cette collaboration s'est fortement développée et intensifiée.
3. La responsabilité de la sécurité des dispositifs médicaux incombe au fabricant, celle de la sécurité de l'infrastructure informatique d'un hôpital incombe à la direction de cet hôpital. Lors de l'adoption de la Stratégie Suisse numérique (voir www.bakom.admin.ch > Suisse numérique et Internet > Stratégie Suisse numérique), le Conseil fédéral a chargé le DFI (Office fédéral de la santé publique) d'actualiser avec les cantons la Stratégie Cybersanté Suisse, qui date de 2007. Ce mandat s'inscrivait dans le plan d'action "Stratégie Suisse numérique", qui fait partie intégrante de la Stratégie Suisse numérique. C'est également dans ce cadre que l'on examinera la nécessité de prendre des mesures supplémentaires pour promouvoir la sécurité des données dans le domaine de la santé. La stratégie devrait être adoptée dans le courant de 2018.
4. Les directives européennes sur les dispositifs médicaux, qui réglementent la commercialisation de ces dispositifs dans l'Union européenne (et également en Suisse, en vertu de l'accord sur les entraves techniques au commerce conclu entre la Suisse et l'Union européenne), fixent en matière de sécurité des produits les exigences essentielles auxquelles doivent satisfaire les fabricants. Les dispositifs médicaux ne doivent être mis sur le marché que lorsque la procédure d'évaluation de la conformité a été achevée avec succès. Les normes à observer reflètent l'état actuel de la science et de la technique. Il incombe toujours au fabricant de les respecter et de mettre en oeuvre les mesures adaptées à ses produits.
5. Cela n'est pas tout à fait exact. Comme nous l'avons déjà mentionné, les dispositifs médicaux ne doivent être mis sur le marché que s'ils sont conformes aux exigences, ce qui inclut aussi les tests de vérification et de validation nécessaires. Si un dispositif médical subit des modifications techniques, celles-ci doivent faire l'objet d'une nouvelle évaluation. L'utilisation d'un dispositif non conforme relève de la responsabilité de l'utilisateur ou, dans le domaine hospitalier, de l'hôpital.
6. Le Conseil fédéral estime qu'une stratégie globale de cybersécurité n'est pas nécessaire (voir réponse à la question 1). Lors de l'actualisation de la Stratégie Cybersanté Suisse (voir réponse à la question 3), il faudra examiner si certaines mesures supplémentaires s'imposent.
Réponse du Conseil fédéral.