Cybersécurité : une question d’argent, d’image… et de réglementation pour les médecins !

Le 27.12.2018
Partager sur Facebook Partager sur Twitter Partager sur LinkedIn
Un médecin s’informant sur le RGPD.

En tant que médecin, vous collectez, échangez et stockez nombre de données personnelles : celles de santé de vos patients, celles de vos fournisseurs ou encore de vos salariés. Vous avez la responsabilité d’en assurer la sécurité, comme est venu le rappeler le RGPD. Quelles sont vos obligations et quelles bonnes pratiques mettre en place ? Fabien Rey, responsable sécurité à la MACSF, vous donne quelques éléments de réponse.

En mai 2017, le système de santé britannique faisait l’objet d’une cyberattaque de grande ampleur. Ce type de menace informatique concerne-t-il uniquement les structures de soin de grande taille ?

Fabien Rey : Cette attaque, qui était le fait du ransomware* « Wannacry », a eu des répercussions phénoménales puisqu’elle s’est propagée à très grande vitesse, à beaucoup d’entreprises ainsi qu’aux hôpitaux britanniques. Mais il est important de savoir que toutes les structures médicales, des plus grandes au plus petites, sont concernées. De nouveaux logiciels malveillants apparaissent tous les jours.

*Le ransomware (ou « rançongiciel » en français) est un logiciel qui permet à un pirate informatique de bloquer l’accès aux données en attendant le paiement d’une somme d’argent.

A quels risques informatiques les cabinets médicaux sont-ils principalement exposés ?

F.R. : Comme le montrent les ransomwares, le risque d’indisponibilité du système d’information est majeur mais ce n’est pas le seul. Il y a les risques de modification et de perte de confidentialité des données (les données de santé traitées par les médecins ont une forte valeur). Par exemple, quel serait l’impact si des données de patients étaient publiées sur internet, volontairement ou non ? Il faut aussi prendre en compte le développement des nouvelles technologies liées au domaine de la santé (comme la télémédecine, les objets connectés…), qui soulèvent des défis particuliers pour la sécurité des données. Toutes ces attaques peuvent conduire à un dysfonctionnement du système d’information plus ou moins grave et in fine, à un blocage de l’activité. Au-delà d’un impact financier, ce sont aussi des conséquences sur l’image et la crédibilité du cabinet qui sont à craindre.

Le Règlement général sur la protection des données (RGPD), qui est entré en application le 25 mai 2018, impose de nouvelles obligations aux médecins. Comment y répondre ?

F.R. : Les professionnels de santé doivent veiller à la gestion des accès au sein de leur structure, en s’assurant que chaque utilisateur accède uniquement aux données qui lui sont nécessaires. Les postes informatiques doivent être verrouillés par leurs propriétaires dès qu’ils s’absentent, et l’accès aux applications et aux données doit être protégé à l’aide de mots de passe complexes. Il est conseillé par ailleurs de faire des sauvegardes régulières, de chiffrer les données sensibles et surtout de mettre à jour les systèmes d’informations pour limiter les risques de failles. Si le médecin constate une violation de sécurité, il doit en notifier la CNIL, voire prévenir les victimes selon l’ampleur de la crise.

Le RGPD renforce la responsabilité des professionnels de santé qui collectent des données personnelles. En pratique, quelle est celle du médecin en cas de piratage de données ? Et notamment des données collectées par des prestataires extérieurs chargés de la prise de rendez-vous, de la télémaintenance… ?

F.R. : Dans le cadre du RGPD, le médecin est considéré comme responsable de traitement. Ce statut de garant ne lui impose pas seulement de prendre les mesures de protection adéquates au sein de son cabinet (comme celles évoquées ci-dessus). Il doit aussi s’assurer de leur mise en place par ses fournisseurs, les plateformes de prise de rendez-vous, les prestataires de télémaintenance… Dans cette démarche, il est conseillé d’insérer un ensemble de clauses de sécurité dans les contrats (des exemples peuvent être trouvés dans un guide émis par la CNIL et l’Ordre national des médecins). Enfin, précisons qu’en cas de manquement à ses obligations, le médecin peut faire l’objet d’une sanction administrative de la part de la CNIL ou d’une sanction pénale. 

Au-delà des obligations légales, quelles bonnes pratiques recommander aux professionnels de santé pour limiter le risque de cyberattaques ?

F.R. : Je donnerais surtout un conseil aux médecins : sensibilisez les utilisateurs aux risques d’attaques informatiques ! La sécurisation technique des systèmes d’information est indispensable, mais elle est rendue complètement inefficace si un utilisateur clique sur une pièce jointe ou un lien vérolé. Or, c’est ainsi que commencent la plupart des cyberattaques. Les tentatives de phishing peuvent pourtant être aisément déjouées : en passant le curseur sur les liens avant de cliquer, pour être sûr que le lien renvoie bien vers l’adresse annoncée ; en prêtant attention à l’expéditeur (à l’orthographe de son nom notamment…) ; en ne donnant jamais ses identifiants et mots de passe lorsqu’on reçoit un lien par mail (mais plutôt, en se rendant directement sur le site internet)… Mais ce ne sont là que quelques-unes des bonnes pratiques que nous pouvons recommander. Et en cas de cyberattaque, il ne faut pas hésiter à prendre contact avec votre assureur si vous avez souscrit une protection juridique.

Besoin d'un retour d'expérience ? Vous avez des questions à poser à vos collègues ? Venez les poser sur le forum et échanger sur le sujet avec d’autres professionnels de santé.

Partager sur Facebook Partager sur Twitter Partager sur LinkedIn
La solution MACSF
Assurance protection juridique

Pour être éclairé sur vos droits et défendu par nos conseillers juridiques.

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour une navigation optimale et bénéficier de contenus et services adaptés.

×