Abilis, une plateforme de santé avec de grandes ambitions

Vous avez sans doute vu cet hiver dans les gares et les villes de Suisse, ces grandes photos d’une jeune femme vantant les mérites d’Abilis. « Avec Abilis, ça va bien mieux ».

La plateforme de santé digitale a été lancée par Ofac, la coopérative professionnelle des pharmaciens suisses, qui regroupe 947 officines sociétaires à travers toute la Suisse. A sa création, en 1963 à Genève, la coopérative avait comme activité principale la facturation des ordonnances délivrées par les pharmacies aux caisses maladie ou aux assurés. De quoi soulager les pharmacies des tâches administratives et permettre aux équipes de consacrer plus de temps au conseil et au service aux patients. Aujourd’hui elle se veut pionnière en matière de santé numérique.

Les patients inscrits sur la plateforme Abilis peuvent non seulement acheter des articles en ligne, renouveler leurs commandes de médicaments, accéder à l’historique de leurs vaccinations effectuées en pharmacie, avoir accès aux copies de factures de leur pharmacie, mais également ouvrir un dossier électronique du patient, DEP.

Il reste cependant encore des défis à relever, pour que la santé numérique en Suisse trouve son rythme de croisière.

 

La naissance d’un projet

L’aventure de la plateforme Abilis eHealth, dont la réalisation a été confiée au groupe Elca, vaut d’être contée. En 2018, Ofac cherche un partenaire pour créer un fournisseur d’identité numérique. Ce sera Elca et sa solution TrustID qui a obtenu la certification de l’Office fédéral de la santé publique pour l’accès sécurisé au DEP. Une centaine de spécialistes d’Elca, TrustID et Ofac vont travailler à créer la plateforme de santé. Ils se réuniront durant neuf mois, de mars à novembre 2019, parfois logés dans la grande salle du premier étage de la gare de Lausanne. La première version sortira, peu avant la grande crise sanitaire. Par la suite, des nouvelles fonctionnalités, notamment en lien avec les vaccins ou les tests Covid seront ajoutées.

Le résultat ? Chacun peut aujourd’hui s’inscrire sur la plateforme Abilis, via une simple application sur son portable.

 

Comment ça marche ?

Abilis est d’abord un outil précieux pour la pharmacie qui peut assurer un traitement plus efficace et plus sécurisé de ses patients grâce à une vue complète de son dossier. Les patients qui décident d’ouvrir un compte personnel Abilis peuvent télécharger une app mobile gratuite qui leur permettra d’avoir accès à son dossier médicamenteux et d’interagir avec sa pharmacie. L’avantage ? Les patients qui souffrent de maladie chroniques peuvent procéder facilement à de nouvelles commandes de leurs médicaments renouvelables et, le cas échéant, se les faire livrer. Les clients peuvent consulter leur médication actuelle, leurs factures médicales, voir l’évolution de leur santé, d’un simple clic,

Ils peuvent également  ouvrir un DEP (Dossier électronique du patient) qui utilisera le même identifiant électronique TrustID.

Le pharmacien de son côté connaîtra le passé médical de son client et pourra vérifier la compatibilité des différents médicaments prescrits.

 

Et les défis ?

L’idée d’Ofac est, à terme de devenir un acteur clé du dossier électronique du patient. Elle est déjà la seule communauté de référence indépendante disponible dans toute la Suisse. Mais pour l’heure, il n’y a pas d’interopérabilité entre les 7 communautés de référence, dont Cara, la plateforme électronique des cantons de Genève, Vaud, Valais, Fribourg et Jura. En d’autres termes, si vous consultez aujourd’hui aux HUG, votre médecin mettra votre dossier sur la plateforme Cara, mais votre pharmacien affilié à Abilis ne pourra pas le consulter !

Par ailleurs, il y a encore du travail de conviction, tant auprès des médecins que des patients pour prouver que les plateformes de santé digitale peuvent être totalement sécurisées, à l’image de ce qui se fait dans l’e-banking. Les Suisses sont encore très frileux en la matière, à juste titre, car les enjeux personnels énormes. Qui a envie que la liste de ses médicaments soit dévoilée sur le darknet ?

Les données de santé sont particulièrement sensibles, ce pourquoi l’application Abilis a été sécurisé grâce à la solution TrustID d’Elca, le niveau le plus élevé de sécurité. Il suffit d’ailleurs de se souvenir que les pirates informatiques ne s’attaquent qu’aux cibles faciles. Le danger vient plutôt de la conservation de données sur des serveurs non sécurisés. Cela se fait encore beaucoup trop fréquemment aujourd’hui.

Il reste donc des défis à relever mais la bascule vers la santé numérique est inéluctable et apportera, à terme, une réelle valeur ajoutée pour le patient.

Les cyberattaques peuvent être mortelles

Plus rien n’arrête les pirates du net, même pas la mise en danger de vies humaines. En ce sens, quelques évènements récents ont de quoi inquiéter. Le dimanche 9 octobre, une maternité privée du douzième arrondissement de Paris, les Bluets, a été touchée par une cyberattaque. Un hôpital est un lieu où chaque minute compte et où tout doit être organisé au cordeau. On tremble à l’idée de ce qui pourrait se passer en cas de paralysie totale d’un service de soins intensifs.

La clinique les Bluets n’est pas la seule dans son cas car aujourd’hui il n’y a plus de lieu préservé. Les données personnelles de santé, attirent toutes les convoitises. En avril, des cabinets médicaux neuchâtelois ont été piratés et les hôpitaux suisses sont quotidiennement visés, pour l’heure, sans dégâts majeurs. On le sait désormais : les cyberattaques concernent tous les secteurs et se protéger devient vitale. Le mot n’est pas usurpé.

Cette attaque récente ne doit pas nous faire oublier les vols de données contre des organisations humanitaires.

 

Des hackers russes

Dans l’attaque parisienne, c’est un groupe de hackers russes, qui est pointé du doigt, précisément spécialisé dans le piratage des données de la santé. Ce groupe de rançongiciel, “Vice Society”, est apparu pour la première fois durant l’été 2021 et cible régulièrement des écoles et des hôpitaux, dans le monde entier. Contrairement à d’autres pirates qui s’opposent à toucher les établissements de santé, rien n’es arrête ce groupe de hackers et l’autorité américaine de cybersécurité a publié un rapport sur eux, en septembre de cette année. “Vice Society” s’attaque également aux secteurs de la formation et aux Universités.

 

A Paris, la clinique des Bluets assure plusieurs milliers de naissances chaque année. A la suite de l’attaque, elle a été contrainte de réduire sa capacité d’accueil en salle de naissance et les systèmes de surveillance centralisé des fonctions vitales des bébés in utero ont même été rendus inopérants. Des consultations en procréation médicale assistée ont été annulées. Selon une méthode bien rôdée, les pirates ont exigé une somme d’argent, dont le montant n’a pas été divulgué, à payer dans les cinq jours, sous peine de voir toutes les données mises en ligne. Ces opérations de ransomware, de chantage numérique, sont de plus en plus fréquentes.

 

Vos données intéressent.

Le paiement cash et immédiat n’est pas le seul but visé par les pirates. Les bases de données volées peuvent aussi être vendues sur le dark web, et il s’agit-là d’une source de revenu prodigieuse. Pour avoir ces bases de données, les hackers redoublent de stratégie, notamment en lançant des attaques de « phishing », contraction de password et fishing, ce qui veut littéralement dire « pêche aux mots de passe ».

 

En français, on parle d« hameçonnage ». Plus concrètement, il s’agit de courriels frauduleux dont le but est de dérober les identifiants des personnes les plus crédules. Les e-mails semblent provenir de sources fiables. Les utilisateurs sont invités à cliquer sur une URL liée à un formulaire Web, qui charge un logiciel malveillant sur l’ordinateur. On appelle cela les liens malicieux. Dans l’affaire de la clinique parisienne, selon les informations données, les adresses e-mail utilisées habituellement par les équipes de la maternité sont inutilisables depuis l’attaque.

 

Les campagnes de «  phishing” ne visent pas une personne en particulier, mais des centaines, voire des milliers de destinataires. A contrario, le “spear phishing », le harponnage, est une attaque très ciblée, qui ne vise qu’une seule personne. Pour la mettre en œuvre, les hackers prétendent vous connaître, prennent le temps de mener des recherches sur vous et de créer des messages personnels et pertinents. Vous avez peut-être reçu des nouvelles d’un ancien collègue longtemps plus vu, qui vous annonce qu’il va quitter son emploi, pour se réorienter professionnellement. Et qui vous demande de cliquer sur un lien pour en savoir plus. Cette personne existe. Il est plausible qu’elle change d’emploi et vous vous faites prendre. Le harponnage peut être très difficile à combattre. Les personnes prudentes vont vérifier mais 8 fois sur 10, elles vont donner leur adresse mail.

 

Une technique que les escrocs utilisent également pour ajouter de la crédibilité à leur histoire est le clonage de sites Web : ils imitent des sites Web légitimes pour vous inciter à entrer des informations personnelles identifiables ou des identifiants de connexion. Si vous suivez des cours à la faculté X et que les pirates le savent par vos données volées, ils pourront par exemple envoyer une fausse Newsletter afin de vous inciter à vous abonner. Et vous voilà pris. Si vous êtes touché par une maladie grave, vous allez être immédiatement sensible à un faux lien qui vous promet tel ou tel remède miracle.

 

Renforcer la sécurité

Face à l’ingéniosité des hackers, une seule parade : la vigilance. Il est impératif pour les particuliers, les administrations publiques et les entreprises de s’équiper et de trouver le bon partenaire de sécurité. Il existe aujourd’hui des applications pour renforcer les accès, avec une authentification à plusieurs facteurs, qui peut être également biométrique pour les systèmes critiques.

 

Les équipes de sécurité des entreprises n’ont souvent pas les outils de monitoring et d’intervention adaptés. De plus, mettre en place de telles équipes 24 heures sur 24 est couteux et demande des compétences particulières. L’adversaire choisit rarement les heures de bureau pour passer à l’attaque. En cas d’attaque, il s’agit d’isoler le serveur vérolé et de réagir le plus rapidement possible, en allant récupérer les informations volées sur le serveur de l’entreprise et en identifiant les comportements frauduleux.

 

Avec Senthorus, le groupe Elca a mis sur pied un service de protection efficace liant des technologies d’avant-garde permettant une défense en temps réel et surtout une équipe d’intervention engageable en Suisse 24 heures sur 24, sept jours sur sept. Le centre de sécurité est base aujourd’hui sur les sites de Lausanne et Genève.

 

La motivation de l’attaquant n’est plus uniquement financière. La santé, la formation sont des domaines clés de notre vie sociale. Aujourd’hui ils sont menacés et les défendre est désormais un objectif prioritaire.

A quand le dossier électronique du patient?

L’adoption du dossier électronique du patient, DEP, a pris un sérieux coup de fouet, en ce début d’automne et les initiatives s’emballent sur le plan politique. Encore faut-il que l’ensemble de la population et du corps médical l’adopte. Pour cela, deux conditions doivent être remplies: le système doit être simple et les données doivent être absolument confidentielles et sécurisées.

 

Autorités et partenaires s’engagent pour le DEP

Tous les patients et patientes neuchâtelois peuvent désormais ouvrir leur DEP. Dans le canton d’Argovie et en Suisse orientale, les personnes intéressées peuvent se rendre dans certaines filiales de la Poste pour ouvrir un DEP. L’ex régie fédérale a d’ailleurs pris une participation majoritaire dans le réseau Axsana, qui regroupe 14 cantons alémaniques. Le Conseiller fédéral Alain Berset veut réviser la loi pour faire du DEP un instrument de l’assurance obligatoire de soins et le Conseil des États vient d’adopter une série de motions du National, qui va faciliter l’entrée en force du recueil numérique. Après des années de tergiversations, la Suisse entend donc bien rattraper son retard.

 

Les résistances subsistent

Force est cependant de constater que toutes les personnes concernées, à commencer par le personnel médical, ne sont pas encore convaincues de l’utilité du DEP. «Faut-il (déjà) tout arrêter?», se demandait, il y a quelques mois, dans un blog paru dans «Le Temps», un médecin, mettant en évidence, notamment, le caractère obligatoire du DEP pour le personnel de santé, ce qui représentait «une surcharge de travail considérable». «Tous les médecins n’ont pas un dossier médical informatisé et pour ceux qui ont en un, la grande majorité n’est pas capable de transférer automatiquement les données au DEP». Rappelons que les professionnels de la santé exerçant dans le domaine ambulatoire sont tenus de se raccorder au DEP. Pour les médecins nouvellement autorisés, cette obligation existe depuis le 1er janvier 2022.

 

Le DEP devra permettre à tout un chacun d’inscrire en ligne ses informations médicales. Cela peut être sa liste de médicaments, un rapport d’opération, de sortie d’hôpital, des informations sur des allergies ou des rapports de soins à domicile. Pour simplifier, disons que le DEP permettra aux patients d’avoir accès en tout temps et en tout lieu aux données relatives à leur santé, créant ainsi un climat de confiance plus grand lors des prises en charge et une meilleure coordination des professionnels de santé.

 

Mais quelles sont les conditions pour que la population et le personnel médical l’adoptent rapidement?

 

Le DEP doit être simple d’utilisation

Plusieurs acteurs sont actifs aujourd’hui dans le dossier. L’OFAC, la coopérative professionnelle des pharmaciens suisses, communique abondamment sur le sujet et invite les citoyens à ouvrir des DEP, aujourd’hui déjà directement dans les pharmacies.  L’association Cara, qui regroupe les cantons de Genève, Valais, Vaud, Fribourg et Jura, est également très présente. Le canton de Neuchâtel, a réalisé un projet-pilote auprès de personnes diabétiques «Mon Dossier Santé» et vient d’ouvrir le DEP à l’ensemble de la population. La Poste, qui fait une entrée en force dans le numérique, met à disposition l’infrastructure technique du DEP dans 12 cantons des quatre régions de Suisse.

 

L’enjeu pour tous ces acteurs est de se positionner pour le futur, en séduisant le plus de grand nombre de patients possibles. Les différentes communautés font leur implémentation en suivant les principes mis en place par le Conseil fédéral. Mais, à terme, il est fort à parier qu’une infrastructure technique uniforme s’imposera. Ce DEP devra être convivial et facile d’accès pour tous les utilisateurs, comme le demande une motion de commission du National.

 

Le DEP doit être confidentiel et sécurisé

Le DEP est personnel et sauf en cas d’urgence médicale, c’est le patient, et uniquement le patient, qui décide quels professionnels de la santé auront accès au dossier. «Les employeurs, les assureurs et les autorités n’y auront pas accès», explique dans «Le Temps» Caroline Gallois-Viñas, à la tête de la structure du DEP du canton de Neuchâtel. Mais il faudra également que les médecins et les professionnels de la santé l’utilisent pour y insérer leurs données. C’est l’un des grands défis du projet. Et pour cela, il faut que le climat de confiance autour de la sécurité des données soit très fort. En début d’année, les cabinets neuchâtelois ont été hackés, on s’en souvient. Pour entrer dans la communauté neuchâteloise DEP, les médecins ont dû mettre à jour leur système, avoir un antivirus et un pare-feu.

 

Accompagner la mise en œuvre et intégration du DEP

ELCA, par le biais de sa filiale ELCA Security travaille avec différents partenaires et met à disposition la solution TrustID, une des solutions d’identité électronique (eID) nationale (l’unique solution destinée aux professionnels de santé et population sur l’ensemble du territoire) certifiées pour le DEP, et propose des services de sécurité complets et adaptés à ses clients dans le domaine de la santé (anticipation, protection, détection et défense contre les menaces cyber).

 

D’autre part, ELCA a mis en œuvre l’intégration du DEP aux systèmes primaires pour un grande partie des hôpitaux vaudois et interagit avec la plupart des acteurs du domaine de la santé.

 

Après des années de lancement ajourné, il semble bien que cette fois-ci, l’outil numérique, sensé apporté efficacité et transparence dans le domaine de la santé, soit en passe d’être adopté par la Suisse, imitant en cela les pays voisins. Les prochains mois seront décisifs.