fbpx

Protection des données de santé :
une priorité pour le cabinet ?

sécurité les données de santé du cabinet médical

La santé de plus en plus exposée à la cybermalveillance

Avec des besoins d’interconnexion croissants, aussi bien entre professionnels de santé qu’avec les patients (MSSanté, Téléconsultation, RDV en Ligne etc.), la numérisation des médecins s’est considérablement accélérée ces derniers mois.
En effet, d’après le rapport de l’ANS : le baromètre sur la télémédecine, 73% des Français seraient favorables à la téléconsultation avec une multiplication par 3 pour les patients et par 6 pour les médecins généralistes. Ces nouveaux besoins du système de soins augmentent l’exposition aux risques et ont fait de la santé le secteur d’activité le plus exposé et le plus touché par des attaques informatiques en 2020.

Aujourd’hui encore (le 26 janvier 2021), un cabinet dentaire de 3 praticiens dans le nord de la Gironde a vu toutes ses données cryptées par un ramsomware.

De ce fait, la sécurité des données médicales saisies dans les cabinets de ville devient un enjeu décisif en 2021.

 

Les différents risques pour les données du cabinet

  • Les virus et programmes malveillants :
    – Perturbation du fonctionnement de l’ordinateur.
    – Suppression, vol ou corruption des données du réseau.
    – Chiffrage des données pour demander une rançon contre déchiffrage (ransomware ou rançongiciel).
  • Le phishing :
    – Mail frauduleux qui imite les messages d’organismes ou institutions et qui a pour but de demander des informations sensibles (n° de compte, de CB…).
exemple d'une attaque par phishing
  • La perte d’information :
    Que cela provienne d’une attaque externe, d’une défaillance matérielle ou d’une erreur humaine, les pertes et fuites de données représentent 50% des failles de sécurité.
  • Le piratage :
    Intrusion d’une personne tierce sans autorisation sur un réseau, un serveur ou un ordinateur.
  • L’espionnage :
    Grâce à un logiciel qui s’installe sur les ordinateurs ou les smartphones, le hacker peut récupérer des informations sans que l’utilisateur en soit conscient.

Des entreprises e-santé également touchées

  •  Dedalus

    L’éditeur de logiciel reconnu dans le domaine de la santé, a été victime le 7 décembre 2020 d’une attaque par rançongiciel.

  •  Doctolib

    La plateforme de téléconsultation n’y a pas échappé non plus le 21 juillet 2020, avec un vol de données portant sur 6 128 rendez-vous médicaux.

Extrait du rapport annuel public 2019 de l’ANS : 

« Dans un contexte où la menace continue à se développer et à s’adapter, la cybersécurité à l’échelle de chaque structure de santé est devenue une priorité nationale. Cet enjeu est clairement affiché dans la feuille de route « Accélérer le virage numérique en santé » présentée le 25 avril 2019, où la cybersécurité constitue bien un socle de la transformation numérique en santé et se traduit par le renforcement des mesures sectorielles dans ce domaine. »

La sécurité des données de santé peut être aussi menacée dans votre cabinet

  • Cabinet d’un praticien de santé sur Bordeaux (souhaitant garder l’anonymat) :

    Victime d’une cyberattaque par rançongiciel. Toutes les données de ses 3 ordinateurs ont été cryptées. L’assurance de ce client a payé la rançon (en Bitcoin) mais les données n’ont jamais été décryptées. En plus de toutes les données des patients, 20 ans de travail ont été perdus en 48h. Plusieurs facteurs s’accumulent dans ce cas :

    – Les ordinateurs ne sont pas protégés par des antivirus professionnels (freeware).
    – Les postes restent allumés car « comme ils sont anciens, ils sont long à démarrer ».
    – L’attaque a eu lieu le vendredi soir et s’est propagée tout le week-end.
    – Sauvegarde informatique inexistante donc pas de restauration possible.

  • Cabinet de 8 médecins spécialistes en médecine générale

    Un matin, un de nos praticiens n’avait plus accès à ses fichiers. Notre hotline reçoit son appel et lui conseille immédiatement de débrancher le poste du réseau. Notre équipe se rend sur place et constate alors que les fichiers concernés sont renommés «.mars » : le nom de ce fameux rançongiciel ! Après intervention, aucune perte de données n’a été à déplorer. En effet sur les autres postes l’antivirus PROTECT SECURE a bien joué son rôle et l’intervention rapide de l’équipe technique a permis la reprise immédiate des consultations de ce praticien.

    On suppose, dans ce cas, l’ouverture d’un mail frauduleux par inadvertance. Les mauvaises manipulations sont souvent la source d’une attaque. Depuis, le service de protection des adresses mails : MAIL SECURE  protège toutes les messageries de ce cabinet. Et toutes les adresses mail de type @orange.fr, @wanadoo.fr, @gmail.com, @laposte.net etc. ont été proscrites.

Les risques encourus en cas d’inaction
sur la sécurité des données de santé

sanction pénale au tribunal

 

  • Pour le patient
    – Disparition de ses données de santé confiées au cabinet
    – Problème du suivi médical pour les pathologies lourdes
    – Diffusion ou utilisation de ses données contre rançon
    – Usurpation de son identité
    – Détérioration de l’image du cabinet

 

  • Pour le praticien
    – Arrêt total d’activité
    – Pertes des données de santé confiées par son patient
    – Dommages et destruction du matériel
    – Perte de productivité
    – Plainte de la part du patient
    – Enquête médicolégale
    – Sanctions civiles et pénales

 

Les bonnes pratiques à adopter pour protéger
les données de santé de vos patients

Depuis 2018 les professionnels de santé sont soumis à la loi de Réglementation Générale sur la Protection des Données (RGPD).
Voici quelques conseils pour vous aider à maintenir une protection informatique optimale et mesurée dans votre cabinet médical.

Tous les outils que vous utilisez au quotidien sont soumis à des règles précises et de bon sens

  • Le dossier patient
  • La prise de rendez-vous
  • La messagerie electronique
  • Les téléphones portables et tablettes
  • La télémédecine (téléexpertise ou téléconsultation)

Vous devez vous assurer que votre prestataire informatique est bien conforme à la règlementation RGPD en vigueur, car il sera amené, dans le cadre de la maintenance de votre installation, à travailler sur les données confidentielles de vos patients. Vous devez donc vérifier la présence des mentions obligatoires dans le contrat qui vous lie.

Dans le cas où vous travaillez en cabinet de groupe, centre ou maison de santé ou avec des salariés, vous devez désigner un DPO (délégué à la protection des données) qui tiendra à jour le registre de traitement des données au sein du cabinet et les droits et devoirs de chaque personne qui y travaille.

Votre prestataire pourra vous orienter pour la mise en place de ce registre qui est directement lié avec votre installation informatique et son utilisation.

Quelques gestes simples pour renforcer la protection de votre cabinet :

  • Choisir avec soin les mots de passe et s’assurer qu’ils contiennent bien 12 caractères.
  • Effectuer régulièrement les mises à jour logiciels.
  • Sécuriser les accès wifi.
  • Télécharger les programmes sur les sites officiels des éditeurs.
  • Séparer les usages personnels des usages professionnels.
  • Installer un anti-virus et un pare-feu professionnel.
  • Réaliser quotidiennement des sauvegardes :
    • Sur un support physique externe (disque dur USB), la sauvegarde doit être chiffrée.
    • Sur le Cloud, le prestataire doit être agréé HADS par l’Agence Numérique en Santé.
  • Avoir une messagerie personnalisée de type moncabinet.fr et utiliser des adresses mails individuelles de type : « secrétaire@moncabinet.fr » , « drmartin@moncabinet.fr », etc…
  • Interdire l’accès à toutes messageries non sécurisées de type gmail.com, laposte.net, orange.fr, etc… (liste non exhaustive).

Autres astuces :

  • Vérifier l’URL des sites consultés : elle doit être en https, et ne pas contenir un nombre incalculable de caractères spéciaux. (exemple : https://www.dmpinformatique.fr)
  • Avoir un mot de passe différent pour chaque outil, service.
  • Noter les mots de passe dans un coffre-fort numérique.
  • Effacer régulièrement son historique.
  • Prendre soin de ses informations personnelles, professionnelles et de son identité numérique.

En règle générale, portez attention à ce que vous recevez : « Est-ce normal que je reçoive cela ? De cette manière ? » Restez incrédule : dans votre vie professionnelle comme à la maison !

Envie d’en savoir plus ?

Voir ou revoir le webinaire dédié à la cyber sécurité pour un cabinet médical ou dentaire c’est possible :

Saisissez vos coordonnées ci-dessous et cliquez sur le bouton « Voir le Webinaire ».

 

https://www.youtube.com/watch?v=55JpGX8voyI&t=3s

Je m’inscris pour recevoir les newsletters et les tutos de DMP informatique :

Consulter les derniers posts sur  :