L’agence de cybersécurité de l’UE a appelé à de nouvelles recherches sur l’utilisation de la pseudonymisation pour aider à renforcer les mesures de protection des données dans le secteur de la santé.
La pseudonymisation dissocie l’identité d’une personne concernée de ses données personnelles en remplaçant les identifiants personnels par des pseudonymes ou des noms fictifs.
L’Agence de l’Union européenne pour la cybersécurité (ENISA) a exhorté les chercheurs, les régulateurs et les développeurs d’applications à jouer leur rôle dans l’amélioration des techniques de pseudonymisation et des meilleures pratiques au milieu de l’évolution des technologies médicales, d’une surface d’attaque en ballon et envolée nombre de cyberattaques.
« Cela n’est pas seulement pertinent pour le choix de la technique elle-même mais aussi pour la conception globale du processus de pseudonymisation, y compris, en particulier, la protection des informations supplémentaires », explique l’ENISA dans un nouveau rapport qui considère les cas d’utilisation des techniques de pseudonymisation dans le domaine de la santé.
Si les attaquants obtiennent séparément ces « informations supplémentaires », ils pourraient potentiellement corréler les données pseudonymisées violées avec des individus spécifiques, ce qui signifie que les données pseudonymisées relèvent toujours du champ d’application du règlement général sur la protection des données (RGPD).
Mais combinée à d’autres contrôles de sécurité, tels que le cryptage, la pseudonymisation peut rassurer considérablement les personnes concernées, déclare l’ENISA.
‘Travail de détective’
Andrew Patel, chercheur pour WithSecure – anciennement F-Secure Business – dans son centre d’excellence en intelligence artificielle, a déclaré La gorgée quotidienne que les attaquants ne devraient pas être en mesure de déduire l’identité d’une personne concernée si un ensemble de données avec des champs pseudonymisés est « stocké séparément de toute donnée ou méthode qui permettrait à ces champs d’être inversés vers leurs données d’origine ».
Mais, a-t-il ajouté : « Cela dépend bien sûr des champs des données d’origine qui ont été pseudonymisés et de la présence ou non d’autres champs, qui n’ont pas été pseudonymisés, mais qui peuvent permettre à un attaquant de déduire ou de deviner des champs pseudonymisés.
« Par exemple, les données médicales omettraient ou pseudonymiseraient naturellement des champs permettant de déduire qui est le patient (nom, numéro de sécurité sociale, adresse, numéro de téléphone, numéro de patient, etc.). Cependant, si les dates et lieux de visite des patients ne sont pas anonymisés ou supprimés des données, il peut être possible de déterminer l’identité du patient en utilisant un peu de travail de détective ».
« Processus très complexe »
Les méthodes les plus courantes pour générer des pseudonymes incluent les techniques de compteur, de nombre aléatoire, de cryptage, de fonction de hachage et de code d’authentification de message basé sur le hachage (HMAC).
« Différentes solutions pourraient fournir des résultats tout aussi bons dans des scénarios spécifiques, en fonction des exigences en termes de protection, d’utilité, d’évolutivité, etc. », a déclaré l’ENISA.
« En partant d’un simple jeton, la pseudonymisation peut être une option « simple » à adopter, mais elle peut également être constituée d’un processus très complexe tant au niveau technique qu’au niveau organisationnel. »
À ce titre, l’ENISA a souligné l’importance de définir des objectifs clairs avant d’élaborer des politiques de pseudonymisation basées sur des variables telles que la réglementation, la rapidité, la simplicité, la prévisibilité et les budgets.
L’ENISA recommande que les essais cliniques, qui recueillent généralement des informations sensibles telles que l’âge, le sexe et l’adresse du domicile, pseudonymisent les principales données d’identification des participants et utilisent plusieurs pseudonymes pour chaque donnée d’identification pour divers paramètres cliniques.
« Une telle approche pourrait limiter les données personnelles liées à chaque pseudonyme qui, associées à une robustesse pouvant être appliquée à l’aide d’une fonction de hachage solide comme SHA-2 avec une valeur de départ aléatoire […] rendrait la réidentification encore plus difficile.
Le rapport examine également les cas d’utilisation pour l’échange de données sur les patients entre les départements et les prestataires de services, ainsi que lorsque les propres dispositifs de surveillance de la santé des patients pseudonymisent les données prêtes à être transmises aux médecins.
Bord de chiffrement
Jon Fielding, directeur général EMEA chez le fournisseur de périphériques de stockage de données Apricorn, a déclaré La gorgée quotidienne: « Alors que la pseudonymisation est efficace pour masquer les données, il y a un point d’interrogation sur la façon dont elles sont « prêtes pour le marché » et standardisées. L’application des techniques détaillées dans le rapport peut également sembler intimidante pour certaines organisations, en termes de compétences et d’investissement – en temps et en budget – requis.
À l’inverse, a-t-il poursuivi, le chiffrement des données « est déjà bien établi » et rapide à mettre en place, avec de nombreuses solutions d’entreprise éprouvées de longue date déjà sur le marché.
« Il est également standardisé, validé et certifié de manière indépendante via des systèmes tels que FIPS », a déclaré Fielding, ajoutant que le chiffrement « minimise également l’impact sur les utilisateurs, car il est normalement présenté comme une » boîte noire « automatisée ».
Patel de WithSecure avertit que la pseudonymisation, aussi sophistiquée que soit la technique, ne peut pas protéger les organisations contre l’impact des violations de données.
« Si un attaquant a atteint le point où il a acquis des données pseudonymisées à partir des systèmes internes d’une organisation, il est probable qu’il aura également accès à d’autres systèmes (et données), et pourra donc être en mesure de désosser les champs d’origine indépendamment. des garanties mises en place.