B A - BA de la sécurité informatique au cabinet médical

La dématérialisation des données médicales est un apport important dans la qualité et le confort de travail du médecin (accès immédiat à l’information, diminution du volume de stockage, partage des données), mais elle expose au risque de perte brutale et parfois irréversible des données, ainsi qu’à leur piratage ou à leur corruption.

Cette dématérialisation apporte de nouvelles contraintes dont nous devons être conscients pour pouvoir les gérer.

Les risques de l'informatisation

"Disparition du matériel", par panne ou par vol

Il faut réfléchir préventivement aux moyens de protection matérielle, à la maintenance et à ses délais de mise en œuvre sur site, au matériel de substitution et aux assurances

"Perte de données", par problème matériel ou logiciel

Nécessité d'une sauvegarde régulière des données essentielles

"Piratage de données ou blocage de leur accès", avec ou sans demande de rançon (ransomware)

Une menace réelle depuis l’accès ouvert permanent des postes à l’internet...

Les différents niveaux de sécurisation

Il est du devoir du médecin de gérer ou faire gérer la protection de ses données - le 25 mai 2018, le Règlement Général pour la protection des Données Personnelles (RGDP) entre en vigueur en Europe.

Poste de travail

• Sécurisation "physique" du poste de travail contre le vol, surtout si il s'agit d'un portable (fixation),
• Blocage du poste, en cas d’absence - par exemple, programmation d'u mode "veille" après un délai d'inactivité,
• Ne pas laisser allumé sans surveillance un poste relié au réseau et/ou ayant des données "sensibles",
• Effacer le contenu du disque dur, avant de se débarrasser d'un poste.

Le Système d’exploitation

Windows ou MacOS, bien plus que Linux dans le milieu médical.

• Ne pas oublier de le mettre à jour régulièrement (cocher « mise à jour automatique » si vous n’y pensez jamais),
• Utiliser une version non obsolète de l'OS (Opérating System) - Windows XP n’est plus soutenu par Microsoft.

Antivirus

Indispensable - logiciel conçu pour identifier, neutraliser et éliminer les logiciels malveillants.

Gratuit ou payant, mais mis à jour de manière pluriquotidienne.

Pare-feu (firewall)

Logiciel permettant de faire respecter les règles de sécurité d'un réseau, en surveillant et contrôlant les applications et les flux de données.

Pour les systèmes Windows, utilisé au moins celui de Microsoft (inclus dans Windows) ou sinon le logiciel couplé a votre antivirus.

Mots de passe

Etape indispensable à l'ouverture du poste de travail, mais aussi à l'ouverture de votre logiciel professionnel et des messageries.

Choix d’un mot de passe « fiable » et unique pour chaque service, modifié de temps en temps et stocké en lieu sûr – combinaison de lettres et chiffres - majuscules et minuscules/caractères spéciaux.

Peut être associé ou remplacé par d'autres moyens d'identification (puce RFID, lecteur d'empreinte digitale ...).

Connexion aux services internet

Ne pas cocher la case « rester connecté » lors d’une connexion à un espace privé.

Wifi

Utiliser un wifi « sécurisé ».

Clef USB

Utiliser ses propres clefs, réservées exclusivement à cet usage et désactiver le mécanisme « autorun » (paramètres Windows/périphériques/ exécution automatique).

Messageries

• Éviter de mélanger messageries professionnelles et personnelles,
• Privilégier les échanges par messagerie médicale sécurisée, MSSanté ou Apicrypt étant les plus utilisées,
• Ne pas ouvrir les courriels d’origine inconnue ou de contenu suspect, même chose pour les fichiers ou images joints aux messages - 5 réflexes à avoir lors de la réception d'un courriel.
  

Logiciels installés sur son poste de travail

• Faire les mises à jour de son logiciel métier, après un délai permettant à l’éditeur d"éventuelles corrections et en disposant d'une sauvegarde récente du poste et/ou des données,
• N'installer que le nécessaire,
• Ne pas installer de logiciel d’origine incertaine !,
• Sur internet, ne pas cliquer sur n’importe quel lien.

Sauvegarde

Élément primordial, permettant une reprise d’activité rapide et avec un minimum de perte en cas de problème..

Recette d'une sauvegarde utilisable :

• enregistrement idéalement toutes les nuits, au moins une fois par semaine,
• au moins sur deux supports en alternance, dont un stocké hors du cabinet,
• différents supports possibles (fonction du volume de données essentiellement) : disque dur externe ou NAS/clef USB /DVD ou par internet (cloud, sur un site autorisé à stocker des données médicales ++),
• vérification périodique de la qualité du support et de l'intégrité des données.

Place du médecin - directive RGPD du 25 mai 2018

Le médecin libéral est responsable de la conservation des données médicales, de leur intégrité et de leur confidentialité pour une durée légale variable de 30 a 48 ans selon les recommandations du Conseil National de l'Ordre des Médecins...

Le 25 mai 2018, le Règlement Général pour la protection des Données Personnelles (RGPD) entre en vigueur, il s'agit d'une directive européenne se substituant à la loi française informatique et liberté, responsabilisant un peu plus les acteurs traitant les données.

Pour vous aider, voici "comment se préparer, en 6 étapes" - lecture fortement conseillée ......

Nous ne sommes pas seuls face à la complexité des systèmes informatisés et de la législation, nous pouvons faire aider et conseiller par notre revendeur de logiciel métier, une société de conseil en informatique ou un confrère connaisseur.

En savoir plus

• Guide ANSSI des bonnes pratiques informatiques
• Site de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI)
  
• CNIL et données de Santé
  
• Règlement européen sur la protection des données (RGPD  - application 25 mai 2018) - ce qui change pour les professionnels - site dédié au RGPD
  
• Position de l’Ordre des Médecins sur la conservation des dossiers médicaux
  
• Choix d’un mot de passe et vérification de sa force    
  
• Liste des cyber-menaces en cours

Dr DURANDET Philippe - Mai 2018