Une activité nocturne inhabituelle sur des comptes utilisateurs la veille du 11 novembre, et voilà 23 000 médecins libéraux plongés dans le noir – privés de leur logiciel métier pendant plusieurs jours – pas d’accès aux dossiers, au planning ou à la facturation.
L’éditeur Weda a coupé l’accès à son logiciel
Ce réflexe sécuritaire, normal sur le plan technique, a entraîné des répercussions que le monde libéral médical français n’avait pas encore vécu.
Sur le plan technique
Les sites d’hébergement de données médicales personnelles sont sécurisés, mais il y a des voies d’accès détournées, que ce soit par l’ingénierie sociale ou par des failles logicielles.
- Un accompagnement des médecins et de tout leur personnel reste d’actualité pour mieux connaitre les pièges des biais cognitifs. C’est le travail de formation de l’URPS depuis quelques années.
- Nécessité d’utiliser des applications de sécurisation de connexion, comme Pro Santé Connect ou une double authentification, certes contraignantes. L’utilisation de canaux sécurisés de communication (VPN) est aussi à réfléchir.
- Antivirus actif et mise à jour fréquente de tous les logiciels, pour remédier aux failles techniques. Cela doit être fait sur tous nos postes.
- Cet événement doit aussi influencer nos choix du logiciel métier, à une époque où la plupart d’entre nous bascule vers des logiciels hébergés à distance (SAS). Se repose la question d’un logiciel à hébergement local, certes plus lourd à gérer mais nous proposant d’avoir un « coffre-fort à domicile plutôt qu’à la banque ».
- Développement de solutions de repli en cas de problème, par une application de l’éditeur installée sur notre poste ou par un accès aux informations du DMP (ESEA en Nouvelle Aquitaine travaille sur le projet CONFLUENCE, avec pour objectif de présenter sous la forme d’une « ligne de vie » les éléments principaux du DMP du patient). Cela donne accès à des informations certes partielles mais permet d’attendre sans trop de dégât le rétablissement complet du logiciel métier.
- Nécessité de réfléchir à un « plan de continuité » au sein de son cabinet, avec par exemple, imprimer les plannings des prochains jours – conserver des blocs d’ordonnance « papier » – demander aux patients de garder leurs principaux documents…
Sur le plan juridique
La déclaration de l’évènement à la CNIL était impérative dans les 72h, à la charge du praticien responsable, et l’information était à faire auprès de toute la patientèle sur le risque d’extraction de données les concernant, sachant que cela concernait des milliers de patients sans moyen de les joindre pour leur annoncer un évènement anxiogène.
Sommes-nous protégés par nos assurances ? La garantie cybersécurité n’est pas toujours incluse dans notre multirisque professionnelle, et cela mérite d’être étudié.
Sur le plan communication
Nous avons été devant un éditeur de logiciel fournissant au compte-goutte une information certes objective à ses clients, mais ne pouvant répondre à toutes les questions sur l’activité professionnelle durant l’évènement.
Sur le plan psychologique
Un travail médical ralenti et non sécurisé, sans connaitre son planning et avec la nécessité d’une saisie a posteriori des informations, restera un stress et une perte de temps importants pour les praticiens victimes.
Il devra y avoir un retour d’expérience après l’affaire WEDA – les éditeurs de logiciel, les pouvoirs publics (CNIL, ANSSI) et les URPS devront se concerter pour établir et faire connaitre un « plan de crise » permettant une meilleure gestion de ce type d’évènement, qui n’a aucune raison de ne pas se reproduire.
Dr Philippe DURANDET, Laura BAUER-DUPUY
