Données santé

Sécurité des données de santé : 10 conseils pour exercer une médecine libérale sans risques

La sécurité des données patient devient un enjeu majeur pour la médecine libérale. Dans cet article nous vous proposons 10 actions simples pour assurer une sécurité des données maximale.
Dali Kilani 8 octobre 2019

La pratique de la médecine libérale évolue rapidement ces dernières années et s’inscrit de plus en plus dans une logique collaborative avec les différents acteurs de l’écosystème, que ça soit l’hôpital public, les cliniques privées, les laboratoires de biologie, les centres de radiologie ou tout simplement les autres praticiens libéraux. La coordination du parcours de soin du patient nécessite par conséquent une numérisation accrue des informations médicales et un échange toujours plus fréquent et plus fluide. Mais un élément crucial doit être pris en compte : la sécurisation de ces données numériques. C’est un effort de tout instant et on se propose d’énumérer ici des règles de base qui protégeront des risques les plus courants.

Le poste de travail du cabinet

Antivirus obligatoire

Un antivirus à plusieurs objectifs dont la protection des emails contre l’hameçonnage, la détection des virus qui peuvent prendre le contrôle de l’ordinateur et le blocage des sites internet qui contiennent des virus ou des malwares. Avoir un antivirus et faire les mises à jour régulièrement est extrêmement important.

Passer à Windows 10 ou à Mac OS X 

Votre ordinateur contient un système d’exploitation qui est le cœur qui permet de faire tourner vos applications. Un PC utilise Windows [version XP, 7, 10] comme système d’exploitation. Un ordinateur Apple utilise Mac OS X [version 10.10 – 10.14]. Les nouvelles versions contiennent très souvent des mises à jour qui résolvent des failles de sécurité déjà identifiées et des améliorations de performance. Il est important d’utiliser une version qui est encore maintenue (Windows 10 ou Mac OS X v10.12) et pour lesquelles les mises à jour de sécurité continuent à être mises à disposition.

Mise à jour régulière du système (1 fois par mois)

Comme les antivirus qu’on doit mettre à jour régulièrement, le système d’exploitation doit aussi être mis à jour régulièrement. Microsoft met à disposition un ensemble de patches de sécurité tous les deuxièmes mardis de chaque mois. Microsoft a des nouvelles versions de Windows 10 tous les 6 mois. Il est recommandé de d’appliquer les mises à jour dès que c’est disponible. Pour les nouvelles versions de Windows, il est préférable d’attendre un mois ou deux pour que Microsoft stabilise les choses. Apple, de son côté, a des nouvelles mises à jour de Mac OS X tous les 3 mois. Il est recommandé de les appliquer dès que possible.

Mise à jour du logiciel métier 

Votre logiciel métier contient toutes les données relatives à vos patients, qu’elles soient personnelles ou médicales. Vu l’intégration de plus en plus poussée de votre logiciel avec le monde extérieur [messagerie sécurisée, services internet de la CNAM, etc], des nouveaux dangers se présentent si le logiciel métier n’est pas à jour. Il est recommandé de mettre à jour son logiciel métier une fois par an.

Pas de clé USB ou disque dur externe pour échanger des données

Il est courant d’utiliser une clé USB ou un disque dur externe pour copier des données et les passer à un collègue ou son assistante. C’est simple et c’est pratique. Par contre, la difficulté est que ces clés USB sont difficiles à suivre et à s’assurer qu’elles ne vont pas être perdues par exemple ou utilisées à d’autres fins.

Une approche plus sécurisée est d’utiliser la fonctionnalité de partage de fichier de services qui sont certifies HDS tel que WeSendGoogle Drive ou Microsoft One Drive.

E-mail

Ne pas ouvrir de pièces jointes venant d’un compte inconnu 

Une majorité de virus viennent des pièces jointes dans les e-mails. Votre antivirus est une première couche de protection mais la vraie protection est VOUS. N’ouvrez pas les pièces jointes dans les e-mails inattendus ou inconnus.

Séparer les e-mails personnels des e-mails professionnels avec des comptes pour chaque usage

Il est souvent simple d’avoir un seul compte email pour échanger avec ses amis et ses patients. Mais ça fait que les informations personnelles de vos patients sont mixées avec vos emails personnels. Quand vous montrer à un membre de votre famille un email personnel, vous risquez par inadvertance de montrer des informations sensibles [un patient connu par exemple avec qui vous échangez ou un ami de la famille qui a des soucis de santé]. Il est recommandé de séparer vos comptes de messagerie avec un compte personnel et un compte professionnel. Les logiciels de messageries ou les applications mobile de messageries sont capables de gérer multiples comptes email. Par conséquent, avoir plusieurs comptes ne devraient pas être moins simple à gérer.

Utiliser une adresse sécurisée pour échanger les données de santé 

Les deux systèmes MSSanté et Apicrypt sont des messageries sécurisées dont l’usage augmente régulièrement au sein des établissements et des professionnels de santé. Ces adresses sont gérées par des opérateurs agréés. L’accès est contrôlé de façon stricte. Il est légalement obligatoire de les utiliser pour échanger des documents de santé. Il est possible d’avoir une adresse MSSanté gratuite sur Lifen.

Sécurité des accès

Utiliser une authentification double facteur pour ses e-mails

L’authentification double facteur est l’équivalent d’avoir deux serrures sur sa porte et de ne jamais garder les clés pour les deux serrures sur le même trousseau. En général, une des clés est un mot de passe et le second est un code à usage unique reçu par exemple par SMS, grâce à une application sur son téléphone mobile, ou un certificat stocké sur sa carte CPS. Si vous êtes confronté à des services qui stocke ou traite des données de santé sans utiliser une authentification forte, il faut demander à l’activer ou changer de service. 

Utiliser un gestionnaire de mot de passe (gratuit)

Une des causes principales des failles de sécurité est la réutilisation de mots de passe entre plusieurs comptes ou bien l’utilisation de mots de passe de faible complexité. Et souvent, quand quelqu’un adopte des mots de passe différents et complexes, il finit par les écrire sur papier, ce qui est problématique. Il est recommandé d’utiliser un gestionnaire de mot de passe. Ceci est un logiciel qui permet de stocker les mots de passe de façon sécurisée, d’en générer des complexes et de les injecter automatiquement sur les sites internet quand l’utilisateur veut d’authentifier. Un exemple d’un tel gestionnaire est Dashlane.