Suisse
Informatique

Swisstransplant: le scandale informatique des services de santé suisse

Sicht auf das Logo von Swisstransplant, am Freitag, 30. April 2021, in Bern. Swisstransplant ist die Nationale Stiftung fuer Organspende und Transplantation.(KEYSTONE/Peter Schneider)
Les systèmes informatiques de Swisstransplant étaient si mal conçus que n’importe qui était apte à décider de ce qui pouvait figurer sur la carte de donneur d'organes d'une tierce personne.image: keystone

Comment expliquer les scandales informatiques des services de santé suisses

En matière de services informatiques, le secteur suisse de la santé cumule les échecs. Les pannes de protection des données survenues chez Swisstransplant et avant cela Mesvaccins.ch présentent le même problème notable.
Cet article est également disponible en allemand. Vers l'article
20.01.2022, 11:5520.01.2022, 18:38
Petar Marjanović
Petar Marjanović
Suivez-moi
Plus de «Suisse»

Des informaticiens suisses qui acquièrent une notoriété au niveau national? C'est peu courant dans le pays. Pourtant, avec Sven Fassbender, ce constat pourrait devenir tout autre. Ce consultant en sécurité informatique suisse allemand a récemment fait parler de lui après avoir rendu publiques des failles informatiques significatives concernant la plateforme Swisstransplant, le registre suisse en ligne du don d'organes.

En 2021, ses analyses avaient déjà conduit à la fermeture de Mesvaccins.ch. Aujourd’hui, c'est Swisstransplant qui est touché. Les systèmes informatiques de ce registre étaient si mal conçus que n’importe qui était apte à décider de ce qui pouvait figurer sur la carte de donneur d'organes d'une tierce personne. Le contrôle d'identité pouvait être déjoué avec du papier et une webcam. Théoriquement, cela aurait pu amener une personne décédée à devenir donneuse d'organes sans son consentement.

Cette semaine, l'émission de radio «Echo der Zeit» de la SRF a rendu publique l’analyse de Sven Fassbender. L’émission «Kassensturz» a ensuite mis en scène la cause du problème en faisant une «auto-vérification». Swisstransplant a alors désactivé ses systèmes pendant une courte période avant de déclarer publiquement: «A aucun moment, des données personnelles n'ont pu être consultées ou traitées».

«Les inscriptions existantes au registre sont parfaitement sûres»
Swisstransplant

Google y avait aussi accès

Si de telles phrases se veulent rassurantes en temps de crise, dans ce cas précisément, elles se révèlent dénudées de tout fondement technique: le registre des dons d’organes n’était pas protégé. Les données du serveur ont pu être lues librement sans aucune vérification. Dans le jargon informatique, on appelle ça un «drapeau rouge». Bref, une erreur de débutant. Les services de Google par exemple pouvaient lire pratiquement tout le site web, et ce également lorsque la déclaration de don d'organes était complétée. Ces failles n’étaient certes que des risques «théoriques», mais ils étaient hautement élevés. On peut les comparer à une porte d’entrée grande ouverte dont la véritable effraction ne devenait qu'une question de temps.

Comment cela a-t-il pu se produire? Et pourquoi des parallèles sont faits avec l'échec de la plateforme MesVaccins.ch? Le dénominateur commun des deux pannes technologiques n'est pas l'Office fédéral de la santé publique (OFSP), mais la manière dont la politique de santé est menée en Suisse.

Les plateformes de vaccination et de don d'organes ont toutes deux été gérées selon le credo «Private-public partnership»: l'Etat donne des directives qui sont mises en œuvre par des organisations privées. Ici, la question se pose donc de savoir si l’Etat ne devrait pas plutôt prendre les commandes du développement de ce type de plateformes pour augmenter leur sécurité. Parallèlement, cela pousserait à se demander ce que les autorités publiques ont le droit de savoir.

La politique suisse a opté pour la voie médiane et a confié la gestion numérique des registres de vaccination et de don d'organes à des fondations privées. Celles-ci doivent coordonner, gérer et exploiter les plateformes informatiques afin d'éviter toute connotation étatique dans le domaine de la vaccination ou du don d'organes. Si l'Etat gérait de tels systèmes, cela nécessiterait la participation d'innombrables commissions parlementaires, groupes de travail étatiques, hôpitaux, spécialistes médicaux et programmeurs collaborent – ce qui, selon les croyances, rendrait les innovations plus difficiles. Sans oublier le fédéralisme qui compliquerait davantage les choses car la politique de la santé reste l'affaire des cantons.

La Confédération mise sur le principe de «l'open source»

Au lieu de s'attaquer à ce projet colossal, la politique a laissé faire les privés. Des fondations telles que Mesvaccins.ch ou Swisstransplant ont développé les plateformes grâce à des subventions, sans qu'il soit nécessaire de créer des lois spéciales. Seules la loi sur la protection des données et la loi sur la transplantation ont servi de cadre. La Confédération et les cantons ont pu observer comment l'innovation numérique dans la gestion des vaccins et des dons d'organes a vu le jour.

Eine Person nutzt die SwissCovid Contact Tracing App auf ihrem Smartphone, fotografiert waehrend einer Medienkonferenz ueber das referendum STOP SwissCovid ! von Referendumgskomitee gegen die Covid19- ...
L'application SwissCovid a été développée selon des normes élevées de protection des données.image: keystone

La pandémie a montré que le fonctionnement «private-public partnership» n’était pas lié en premier lieu à l’Etat, mais à la volonté politique. L'OFSP, en collaboration avec l'Office fédéral de l'informatique et de la télécommunication (OFIT), a quant à elle développé à une vitesse record les certificats Covid ou l'application SwissCovid. Ces plateformes sont sûres et modernes en l’état actuel des connaissances et le code source peut être consulté publiquement. Pour des raisons politiques, la protection des données a été hautement prioritaire et vérifiée à maintes reprises par des instances de contrôle. Les erreurs ont (lentement) été éliminées. Les avis de la population ont été pris en compte.

Ces processus ont fait défaut pour Mesvaccins.ch et le registre numérique des dons d'organes. La programmation a été externalisée, la transparence a été négligée et les questions de protection des données ont été traitées par des cabinets d'avocats quelconques. Dans ces cas-là, lorsque des erreurs se produisent, cela peut conduire à la perte d’un contrat ou à la fermeture de la plateforme. Toutefois, ce sont des conséquences moins graves, comparées aux démissions ou à la création d'une commission d'enquête parlementaire (CEP) qu'entraînerait le même scandale si ces plateformes étaient sous la responsabilité de l’Etat.

Il neige actuellement dans le désert du Sahara
1 / 8
Il neige actuellement dans le désert du Sahara
Aïn Sefra, la région aux portes du Sahara, se situe à environ 1000 mètres d'altitude et est entourée par les montagnes de l'Atlas.
source: karim bouchetata
partager sur Facebookpartager sur X
«Arrêtez vos conneries!» Un présentateur mexicain pète les plombs en direct
Video: watson
2 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
2
Les conseillers fédéraux ne recevront plus un abonnement de ski
Jusqu'à fin 2023, les abonnements annuels pour les remontées en Suisse étaient mis gratuitement à disposition des conseillers fédéraux, ainsi que des autorités cantonales et communales.

Les conseillers fédéraux ne recevront plus d'abonnements des remontées mécaniques dès 2025. Ils renoncent aussi à utiliser la loge du théâtre municipal de Berne. En revanche, ils bénéficieront toujours de l'abonnement général des CFF, a décidé mercredi le Conseil fédéral.

L’article