Passer au contenu principal

La cybersécurité au sein du cabinet

cybersécurité

Les outils numériques, indispensables à la qualité des soins, sont de plus en plus exposés aux menaces cybercriminelles.
Les cyberattaques dites opportunistes, souvent motivées par un gain financier, sont aujourd’hui très fréquentes et tout professionnel de santé peut en être victime.

Les vecteurs d’attaque les plus courants sont :

  • La messagerie électronique, toujours très utilisée et donc particulièrement ciblée ;
  • Les failles non corrigées dans les systèmes et logiciels, régulièrement découvertes et parfois exploitées avant leur mise à jour.

Adopter de bonnes pratiques et des réflexes simples permet donc de se protéger efficacement contre la majorité de ces attaques.

Sécuriser l’environnement physique

Contrôler l’accès au lieu

Les équipements contenant les données patients sont presque toujours hébergés au sein du cabinet : il est donc essentiel de mettre en place des mesures de sécurité physique et de sensibiliser régulièrement les utilisateurs.

Les mesures recommandées :

  • Renforcer la protection contre les vols (portes, fenêtres, alarme) et verrouiller les pièces contenant du matériel sensible en cas d’absence ;
  • Sécuriser les clés d’accès et les codes éventuels ;
  • Définir précisément les règles d’accès pour les visiteurs et le personnel.

Sécuriser le matériel informatique

  • Ne pas laisser d’équipements (ordinateurs, tablettes, smartphones, imprimantes, prises réseau actives) dans des lieux accessibles au public sans surveillance ;
  • Positionner les appareils de manière à limiter l’accès aux écrans et aux ports USB ;
  • Protéger le matériel contre le vol (câble antivol, coffre) pendant et hors des horaires d’activité ;
  • Relier les équipements à un dispositif de protection électrique (multiprise anti-surtension, onduleur).

Pour les supports amovibles (Clé USB, disque dur externe, CD…) :

  • Les stocker dans une armoire ou un coffre fermé à clé ;
  • Ne jamais utiliser de supports provenant d’une source non fiable, encore moins trouvés ou égarés ;
  • Chiffrer systématiquement les données sensibles avant tout transfert.

Pour les équipements mobiles (smartphones ou ordinateurs portables) :

  • Garder les appareils à portée de vue ou les stocker dans un lieu sûr ;
  • Activer le verrouillage automatique et, si possible, l’effacement à distance en cas de vol ou perte ;
  • Activer le chiffrement des données (fonction native ou via antivirus) ;
  • Ne jamais connecter un appareil à une prise USB publique, au Wifi public ou à un point d’accès sans fil.

Sécuriser les postes de travail et l’accès aux applications

Les bonnes pratiques décrites ici (gestion des cartes CPx/e-CPS, mots de passe robustes, etc.) protègent efficacement les postes de travail au sens large : ordinateurs, portables, tablettes, smartphones.

Règles d’usage des cartes CPx et e-CPS

(cartes utilisées par les médecins, dentistes, pharmaciens, et autres professionnels de santé pour accéder aux données des patients et effectuer des actes de facturation)

Cartes CPS et CPx

La carte CPS atteste l’identité et les qualifications du professionnel et sécurise les échanges de données de santé (d’autres cartes existent selon le statut : CPE, CDE, CPA/CDA, CPF).

Les principes à respecter :

  • Préserver le caractère personnel et non transmissible de la carte ;
  • Garder secret ses codes PIN et PUK ;
  • Conserver sa carte à proximité ou la ranger dans un lieu sûr hors utilisation.

Ces règles s’appliquent à tous les détenteurs de cartes CPx : aucun usage en libre-service n’est autorisé.

e-CPS et Pro Santé Connect

La e-CPS est la version dématérialisée de la CPS, intégrée dans une application mobile et permettant l’authentification via Pro Santé Connect.
Elle offre le même niveau de sécurité et nécessite le même respect des règles d’usage.

Utiliser des mots de passe robustes

Le mot de passe protège l’accès aux données et constitue une cible privilégiée en cas d’attaque. Les attaquants peuvent tester automatiquement un grand nombre de combinaisons ; d’où l’importance d’utiliser des mots de passe complexes et non prédictibles.

Recommandations :

  • Au moins 12 caractères ;
  • Mélange de lettres minuscules/majuscules, chiffres, caractères spéciaux ;
  • Mot de passe non lié à des données personnelles ; ne figurant dans aucun dictionnaire ;
  • Technique mnémotechnique recommandée pour le mémoriser sans le noter ;
  • Utiliser un mot de passe différent pour chaque compte.

Pour simplifier la gestion, vous pouvez employer un gestionnaire de mots de passe protégé par un mot de passe maître robuste.

Il convient, par ailleurs, de ne pas stocker les mots de passe dans le navigateur, sauf avec un mot de passe maître.

Protéger le poste en cas d’absence

Afin d’éviter tout accès non autorisé :

  • Activer le verrouillage automatique (15 à 30 minutes idéalement), avec demande de mot de passe au déverrouillage ;
  • Verrouiller manuellement son poste en quittant sa place (Windows + L, ou Ctrl + ⌘ + Q sur Mac).

Mettre à jour régulièrement systèmes et logiciels

Les failles de sécurité sont fréquentes. Les correctifs doivent être installés dès publication.

Bonnes pratiques :

  • Vérifier que les logiciels et systèmes sont maintenus par leurs éditeurs ;
  • Activer la mise à jour automatique (y compris antivirus) ;
  • N’utiliser que des logiciels originaux et non copiés.

Séparer usages professionnels et personnels

Mélanger les usages sur un même appareil comporte des risques importants.

Recommandations :

  • Se connecter au réseau professionnel uniquement avec du matériel dédié au travail ;
  • Ne pas synchroniser applications personnelles/professionnelles ;
  • Ne pas stocker de données professionnelles sur un appareil personnel ;
  • Ne pas connecter de supports amovibles personnels sur un poste professionnel.

Gérer et contrôler l’accès aux informations

Les données stockées doivent rester confidentielles. Seules les personnes autorisées doivent pouvoir y accéder. Pour cela :

Utiliser une messagerie sécurisée

Les échanges de données de santé doivent obligatoirement être chiffrés. Une messagerie sécurisée garantit que seuls les destinataires peuvent lire les informations transmises.

Protéger les comptes sensibles

Les comptes administrateurs permettent l’accès à l’ensemble des données et peuvent agir sur le système.

Règles essentielles :

  • Accès réservé aux personnes habilitées (installations, paramétrages, gestion des comptes…) ;
  • Mot de passe administrateur conservé de manière sécurisée (gestionnaire de mots de passe ou enveloppe scellée) ;
  • Conserver une copie sécurisée hors des locaux.

Anticiper les incidents de sécurité

Sauvegarder les données

Des sauvegardes régulières permettent de récupérer les données en cas de sinistre (rançongiciel, panne, erreur humaine).
Il est conseillé de confier le dispositif à un professionnel, tout en définissant soi-même les données essentielles à sauvegarder.

Recommandations :

  • Définir les activités et données à sauvegarder ;
  • Définir la fréquence (détermine la quantité de données potentiellement perdues) ;
  • Utiliser des supports amovibles, déconnectés entre les sauvegardes et conservés en lieu sûr ;
  • Alterner les supports pour réduire le risque ;
  • Conserver les sauvegardes dans un lieu distinct du système principal.

Solution idéale : sauvegarde mixte (locale + en ligne).

Détruire les données destinées à être supprimées

Deux méthodes :

  • Destruction physique du support ;
  • Effacement sécurisé empêchant toute récupération.

Pour les appareils chiffrés, une réinitialisation usine ou un formatage sécurisé suffit dans la majorité des cas.

Réagir en cas d’incident

  1. Déconnecter la machine du réseau, tout en la laissant allumée et sans interaction.
  2. Alerter l’équipe informatique ou un prestataire.
  3. Déclarer l’incident sur cybermalveillance.gouv.fr et suivre leurs conseils.

Cas particuliers :

  • Violation de données personnelles : notification obligatoire à la CNIL et, si nécessaire, aux personnes concernées ;
  • Malveillance avérée : déposer plainte auprès des forces de l’ordre ;
  • Spam : signalement sur signal-spam.fr.
Consultez notre fiche mémo sur la conduite à tenir en cas de cyberattaque

En cas de cyberattaque, les adhérents de l’AIAS peuvent bénéficier d’une assistance juridique.

Prenez contact avec l’AIAS pour connaître vos droits et être accompagné(e) dans vos démarches.