Les 7 conseils de la MACSF pour maîtriser les risques numériques en exercice libéral

 1. Maîtriser l’accès physique aux équipements informatiques

Vous avez déjà probablement adopté une routine cyber sécurité dans votre cabinet. Mais les pirates ayant souvent un coup d’avance, se tenir informé et actualiser ses procédures est l’une des clés pour réduire les risques numériques comme le rappelle le mémento du risque en exercice libéral, publié fin 2021 par l’Agence du Numérique en Santé. 

En premier lieu, il peut être considéré comme essentiel de sécuriser l’accès aux outils informatiques qui hébergent des données vos patients.

Vous devez vous assurer que votre cabinet ou votre pharmacie est bien protégé contre les vols en installant par exemple un système de sécurité renforcée sur vos portes extérieures et fenêtres ou en faisant appel à une société de télésurveillance. 

Veillez également à ce que vos équipements informatiques restent inaccessibles au public et surtout ne pas oublier de verrouiller votre poste de travail lorsque vous vous absentez de votre bureau.

 2. Respecter les règles d’utilisation de votre Carte de Professionnel de Santé

En tant que professionnel de santé, vous disposez d’une carte CPS vous permettant d’échanger des données ou de rechercher des informations dans le DMP (dossier médical partagé) directement depuis votre ordinateur.
 
Cette carte est personnelle et ne peut en aucun cas être cédée à une tierce personne. Prenez soin de l’avoir toujours sur vous ou rangée dans un lieu sûr pour éviter les risques de perte ou de vol. Son code PIN doit être gardé secret et l’ensemble des documents en faisant mention doit être détruit.

3. Sécuriser vos mots de passe informatiques

Un manque de rigueur dans la gestion des mots de passe est une des causes les plus souvent identifiées lors d’une intrusion informatique. 
 
Les mots de passe doivent respecter certaines règles pour ne pas être facilement découverts par les outils à la disposition des pirates. Les spécialistes recommandent de les penser de façon à ce qu’ils soient :

• Longs d’au moins 12 caractères ;
• Composés de minuscules, majuscules, chiffres et signes spéciaux ;
• Mémorisés et non notés sur un support accessible à un tiers ;
• Uniques pour chaque compte.

Dès que cela est possible, l’authentification à double facteurs doit également être utilisée (application sur le téléphone par exemple). Elle permet de se prémunir contre le vol de mot de passe : ainsi, le seul mot de passe ne suffit plus pour accéder au compte et aux données

4. Penser à sauvegarder vos données

L’ensemble de vos données est à sauvegarder régulièrement, afin de pouvoir être facilement récupéré en cas d’incident. Ce risque numérique est d’autant plus important que les cyberattaques de type rançongiciel - qui ont la particularité de chiffrer vos données et de les rendre inutilisables - sont de plus en plus fréquentes dans le monde de la santé. 

Les enregistrements sont réalisés sur des supports amovibles, déconnectés du poste informatique entre deux sauvegardes, et conservés dans un lieu sécurisé.
 
En cas de sauvegarde externe confiée à un organisme hébergeur de données, ce dernier doit être certifié HDS (Certification Hébergeur de Données de Santé). L'Agence du numérique en santé (ANS) recense plus de 140 hébergeurs certifiés, dont des éditeurs de logiciels, des sociétés spécialisées dans l'hébergement, des groupes de cliniques et des CHU.
 
Lorsque vous devez supprimer certaines données, soit parce qu’elles sont obsolètes, soit parce que la durée légale de conservation est dépassée, assurez-vous qu’elles ne seront plus du tout accessibles. Selon la technologie de sauvegarde, cela peut revenir à détruire les supports de stockage.

5. Utiliser une messagerie sécurisée

Il vous arrive certainement d’envoyer des documents concernant vos patients à des confrères ou à des établissements de santé depuis votre messagerie professionnelle ? 

Sachez qu’il existe des outils de messagerie sécurisée de santé, comme Lifen, qui permettent de protéger vos échanges et de faire en sorte que ces données à caractère personnel et confidentiel ne soient pas interceptées et utilisées à des fins malveillantes. 

6. Respecter les principes du règlement général sur la protection des données (RGPD)

Dans le cadre du RGPD, les professionnels de santé sont tenus de garantir la confidentialité des données de santé de leurs patients. Au quotidien comme en cas de partage de cabinet ou d’activité, ils doivent veiller à ce que chaque soignant de la structure ne puisse accéder qu’aux données qui lui sont nécessaires. 

Cela vaut également pour l’ensemble de ses partenaires : prestataire de télémaintenance, plateforme de prise de rendez-vous… 

7. Se former aux risques numériques

Se préserver des cyber risques passe souvent par avoir connaissance des principales menaces auxquelles un professionnel de santé peut être confronté. En gardant un œil sur l’actualité du risque numérique et en vous formant régulièrement, vous serez en mesure de réagir rapidement et vous saurez quelle attitude adopter pour limiter les dommages.