Le dossier patient électronique (ePA) « pour tous » arrive. L'ePA est une sorte de dossier numérique dans lequel sont stockées toutes les informations importantes sur la santé et les antécédents médicaux.
Pour les personnes bénéficiant d’une assurance maladie obligatoire, le déploiement débutera le 15 janvier 2025 et les caisses d’assurance maladie fourniront automatiquement à l’assuré une ePA, sauf opposition.
Cependant, les chercheurs en sécurité soulignent de graves failles de sécurité qui ont fait sensation lors de son introduction en 2020.
De nombreux problèmes de sécurité subsistent
Les deux chercheurs en sécurité Bianca Kastl et Martin Tschirsich démontrent comment des tiers peuvent accéder à l'ePA avec (parfois) peu d'effort. Un point central est la question des cartes de santé. Vous pouvez retrouver la conférence complète ici :
A propos du contexte :Pour accéder à l'ePA, vous avez besoin soit de la carte d'identité électronique et d'un code PIN, soit de la carte de santé avec le code PIN correspondant. Les assurés reçoivent le code PIN de la carte de santé électronique (eGK) de leur caisse d'assurance maladie.
Les critiques se concentrent à nouveau sur les faiblesses des processus de délivrance, des portails de candidature et du traitement de ces cartes dans les cabinets médicaux.
- Les deux chercheurs en sécurité expliquent à quel point il est rapide et relativement simple de demander une carte de santé au nom de quelqu'un d'autre (environ 20 minutes, selon les chercheurs).
- Commentheise.deécrit, les cartes à puce stockent également les identités cryptographiques destinées à garantir un accès sécurisé à l'ePA. Cependant, ceux-ci ne servent pas à authentifier l’authenticité de la carte.
- Les chercheurs ont également découvert qu’en exploitant spécifiquement les vulnérabilités, ils étaient capables de générer ce qu’on appelle des jetons d’accès pour les cabinets médicaux. Cela leur a donné la permission de consulter les dossiers de santé de toute personne assurée sans avoir à interagir physiquement avec une carte de santé.
Bien plus complexe, mais toujours possible, est l'exploitation des failles de sécurité dans le processus de vérification de l'identité de l'infrastructure des ePA afin d'obtenir un accès complet au système et donc à tous les ePA. Les chercheurs estiment le temps nécessaire à environ un mois.
Sur la base de toutes ces graves failles de sécurité, selon les deux chercheurs, l'accès à plus de 70 millions de dossiers de patients serait possible..
« La confiance nécessaire ne se prescrit pas »
EncoreRéseau d'innovation en santé publiqueécrit, la sécurité de l'ePA doit être garantie pour tous afin de gagner la confiance des assurés. Selon les chercheurs, les personnes qui pourraient bénéficier de l’ePA pourraient ne pas l’utiliser pour des raisons de risque.
Les experts formulent donc trois revendications centrales :
- Évaluation indépendante et fiable des risques de sécurité
- Communication transparente des risques aux personnes concernées
- Processus de développement ouvert sur tout le cycle de vie
Entre-temps, il agématique, l'opérateur de l'infrastructure ePA, s'est exprimé. Celui-ci reconnaît les lacunes en matière de sécurité, mais décrit « la mise en œuvre pratique dans la réalité » comme « peu probable ». Au moins, ils confirment l'échange avec les autorités de sécurité responsables.
Nouveau chez GameStar Tech
L'ePA peut faire l'objet d'une objection
Comme mentionné au début, toutes les personnes bénéficiant d'une assurance maladie légale recevront automatiquement un dossier patient électronique personnel en 2025 - sauf objection de leur part.
L’utilisation de l’ePA est fondamentalement volontaire. De plus amples informations sur les objections sont disponibles auprès de la caisse d'assurance maladie concernée.
Les caisses d'assurance maladie proposent un formulaire d'opposition en ligne que vous devez remplir avec les données de votre assurance.
