Protection
Les MSP et centres de santé, et les professionnels de santé qui y exercent, ne sont pas à l’abri d’attaques informatiques qui peuvent impacter leurs activités de façon sévère, voire irréversible. L’adoption de quelques bons réflexes et l’apprentissage des bonnes pratiques de sécurité sont donc indispensables.
Article publié dans Concours pluripro, juin 2022
Phishing, vol de données personnelles et professionnelles, arnaques en tout genre… : les menaces et incidents de sécurité informatique sont en augmentation, et les soignants comme les structures d’exercice coordonné dans lesquelles ils travaillent doivent y être particulièrement vigilants. Les données des patients doivent être correctement protégées et sécurisées : un praticien est responsable en cas de perte ou de violation de ces données à la suite, notamment, d’une attaque informatique. Comme le souligne Vincent Croisile, expert sécurité au sein de l’Agence du numérique en santé, les professionnels de santé ne sont pas suffisamment armés face aux menaces d’incidents de cybersécurité (Entretien paru dans le numéro spécial du bulletin de l’Ordre national des médecins "Santé : la révolution numérique", janvier 2022).
Selon cet expert, il y a deux grands types de cyberattaques : des attaques dites opportunistes (l’attaquant a trouvé une faille dans un logiciel ou une façon d’amener son interlocuteur à lui communiquer des informations, et il utilise cette faille en attaquant un grand nombre de personnes) et des attaques ciblées où le soignant est visé directement, par la récupération de ses données ou l’usurpation de son identité électronique.
L’Agence du numérique en santé a publié, fin 2021, un mémento de sécurité informatique pour les professionnels de santé en exercice libéral (Disponible sur https://esante.gouv.fr), qui rassemble les règles d’hygiène informatique de base permettant de se prémunir contre la majorité des attaques informatiques ou d’en limiter les effets dévastateurs. Plusieurs principes de sécurité doivent ainsi être mis en oeuvre : maîtriser l’accès physique au lieu d’exercice, la sécurité physique des équipements informatiques, protéger les postes de travail et l’accès aux applications, connaître les principes de sécurité et les diffuser, anticiper la survenue d’incidents de sécurité, respecter les règles d’échange et de partage des données de santé à caractère personnel mais aussi les principes du règlement général sur la protection des données (RGPD), répondre aux obligations de conservation et de restitution des données, intégrer la sécurité dans les contrats avec les tiers et vérifier les points d’attention lors de recours à des fournisseurs de service informatique. Les professionnels doivent avoir conscience de ces attaques informatiques et faire régulièrement des sauvegardes et des mises à jour, au besoin avec l’aide d’un prestataire informatique. Il conviendra également de respecter les règles d’utilisation de la carte de professionnel de santé et d’éviter les risques de perte ou de vol. En cas d’absence, ne pas oublier de verrouiller son poste de travail.
La sécurisation des mots de passe informatiques peut éviter une intrusion malveillante : ils doivent comprendre au moins douze caractères, composés de minuscules, majuscules, chiffres et signes spéciaux, mémorisés et non notés sur un support accessible à un tiers et uniques pour chaque compte. L’utilisation d’une messagerie sécurisée est primordiale pour la protection des échanges et pour éviter que vos données à caractère personnel et confidentiel ne soient pas interceptées et utilisées à des fins malveillantes. La maîtrise des risques numériques auxquels peuvent être confrontés une structure ou des professionnels de santé nécessite d’être formé à ces menaces et d’être accompagné par des informaticiens au quotidien.
En cas d’attaque informatique, des solutions assurantielles existent, visant à gérer l’incident, à bénéficier d’une assistance technique à tout moment pour une remise en état du système informatique. Si votre activité est interrompue ou réduite, une garantie pertes d’exploitation doit pouvoir s’appliquer. Des solutions sur mesure peuvent être proposées par certains assureurs, avec des prestations informatiques adaptées pour la reconstitution et la restauration des données électroniques.
