Données de santé et cybersécurité : adoptez les bons réflexes
Les données de santé font partie des informations les plus sensibles et, en conséquence, devant être les plus sécurisées. Selon la CNIL « les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ». De nombreuses entreprises et structures, publiques ou privées, sont ainsi concernées qu’il s’agisse de cliniques, d’hôpitaux, de cabinets regroupant des professions libérales, de cabinets de radiologie, de laboratoires, etc.
Les données de santé : convoitées et sensibles aux attaques informatiques
Ces données sont particulièrement ciblées et les attaques sont fréquentes. De nombreux exemples sont régulièrement présents dans l’actualité. Ainsi, le virus WannaCry, un rançongiciel (ransomware) avait fortement ébranlé le système de santé britannique en 2017 en bloquant le système informatique de nombreuses infrastructures, demandant le versement d’une somme d’argent pour débloquer les accès aux données et aux ordinateurs.
De la même manière, de nombreuses attaques et tentatives d’escroquerie sont fréquemment recensées visant spécifiquement les informations personnelles des patients. Ces informations se monnaient aujourd’hui à prix d’or sur le marché noir et font donc l’objet d’une convoitise accrue. Il est donc primordial d’adopter les bons réflexes en matière de cybersécurité, d’autant plus que le développement croissant de l’IoMT (Internet of medical things/internet des soins médicaux) et de la télémédecine créent de nouvelles vulnérabilités.
Comme le rappelle le Ministère des Solidarités et de la Santé dans son introduction à la sécurité des systèmes d’information : « les pertes d’intégrité, de disponibilité, de confidentialité et de traçabilité de l’information médicale, peuvent engendrer des conséquences cliniques importantes, ainsi que des répercussions possibles sur la notoriété de l’établissement ». Il est donc important d’adopter des gestes simples mais réguliers qui garantissent l’intégrité des données et le bon usage des outils informatiques.
Quels réflexes et outils adopter pour sécuriser mon environnement de travail et protéger les données de santé qu’il contient ?
1. Listez l’ensemble de votre matériel et de vos logiciels : il est important de disposer d’une cartographie complète de votre matériel informatique en utilisation, ainsi que de l’ensemble de vos applications. Cette cartographie doit être mise à jour régulièrement afin de vous permettre de disposer d’une vue complète de votre établissement de santé.
2. Réalisez des mises à jour régulières : vos logiciels, vos applications métiers ainsi que votre système d’exploitation doivent toujours être à jour. En effet, des mises à jour fréquentes vous assurent de disposer des derniers correctifs en matière de sécurité et ainsi de limiter les vulnérabilités. Il est important de désactiver le plus rapidement possible une application créant une brèche de sécurité quelconque.
3. Assurez-vous de disposer d’un antivirus performant : afin de vous protéger des virus, des tentatives de phishing ou encore des malwares. Tout comme vos autres outils, cet antivirus doit être mis à jour régulièrement pour pouvoir faire face aux menaces informatiques émergentes.
4. Mettez en place un firewall (ou pare-feu) : afin de filtrer les différents flux qui entrent et sortent de votre réseau informatique. En cas de problème de sécurité, votre firewall vous permettra de bloquer les échanges de données.
5. Adoptez la double authentification : afin de sécuriser davantage l’accès aux différents comptes et messageries professionnelles. La double authentification vous permet ainsi de sécuriser vos connexions à distance et l’accès à votre ordinateur et à votre messagerie grâce à un code unique et temporaire envoyé sur votre téléphone professionnel.
6. Contrôlez la validité de chaque lien : vos emails, ainsi que certains sites web, peuvent contenir des pièces jointes et des liens utilisés pour des tentatives de phishing (ou hameçonnage en français) visant à récupérer vos informations personnelles et celles de vos patients. Vérifiez la nature de l’expéditeur et ne transmettez jamais vos identifiants en cliquant sur des liens inconnus, notamment au sein des mails.
7. Contrôlez l’ensemble des droits d’accès : notamment si vous faites appel à des prestataires extérieurs. La liste des accès autorisés à vos applications et à vos postes doit également être mise à jour régulièrement. Il est primordial de savoir quelle personne dispose de quel type d’accès et de limiter les administrateurs au minimum. En effet, un compte administrateur piraté représente une menace majeure pour l’intégrité de votre système informatique.
8. Mettez en place des sauvegardes régulières : et ce à titre préventif. Un plan de sauvegarde de vos données doit faire partie de votre routine en matière de sécurité. Ces sauvegardes vous permettront de restaurer facilement vos données en cas d’attaque, mais également dans l’hypothèse d’une mauvaise manipulation sur un logiciel, une base, etc. Les sauvegardes vous permettent ainsi d’assurer la continuité de votre activité.
9. Appliquez une politique stricte en matière de gestion des mots de passe : ceux-ci étant responsables de nombreuses failles de sécurité au sein des établissements de santé. Un mot de passe doit être unique pour chaque utilisateur, chaque application, chaque compte extérieur, etc. Il doit être complexe, en comprenant des minuscules, majuscules, des chiffres et des caractères spéciaux et ne doit pas être conservé sur des fichiers non-sécurisés ou sur des formats papiers accessibles à tous.
10. Séparez vos comptes professionnels de vos comptes personnels : qu’il s’agisse de vos outils de messagerie, de vos hébergements cloud à l’image de Google Drive, et de tous autres comptes personnels. De la même manière, il est primordial de séparer votre matériel personnel de votre matériel professionnel afin d’éviter de créer des brèches de sécurité ou de transmettre des virus et autres malwares entre vos équipements.
Pour aller plus loin
- Consultez notre offre de services informatiques dédiée aux professionnels de santé.
- Vous souhaitez être accompagné par nos experts informatiques ? Contactez-nous.
- Consultez le dossier d’information de l’Agence du Numérique en Santé : « À l’hôpital, le numérique est partout. Ensemble, rendons-le plus sûr » reprenant les principes de base de la sécurité numérique.
- Consultez le guide d’introduction à la sécurité des systèmes d’information à destination des directeurs d’établissements de santé publié par le Ministère des Solidarités et de la Santé.