Système d'Information du médecin : 12 règles pour se protéger

La sécurité des données stockées dans vos systèmes d’information est l'affaire de tous les utilisateurs d’un cabinet médical. Elle doit être une préoccupation pas une obsession. Il est important de s'approprier les 12 règles élémentaires que nous publions ci-après. Elles permettront d'éviter 90 % des attaques dont vous pouvez être l’objet.

Postulat :
- les SI (Systèmes d'Information) sont interconnectés avec internet.
- on parle alors de SI, sinon on parle d'ordinateur.

1-Choisir avec soin son mot de passe

- éviter la liste des mots de passe les plus fréquents
- afin d'éviter l'usurpation d’identité choisir et apprendre le Mot de Passe comme s’il s’agissait du Code pin de votre CB

2-Mettre régulièrement à jour ses logiciels

- une mise à jour ne sert pas uniquement à perfectionner une IHM (Interface Homme Machine), mais aussi les vulnérabilités connues des logiciels
- la mise à jour diminue les vulnérabilités des logiciels en rendant les failles moins exploitables.
- par exemple tous les mardis Windows se met à jour.
- ne pas se mettre à jour c'est rester immunodéprimé.

3-Bien connaitre les utilisateurs et les prestataires

Les Utilisateurs du cabinet

- bien connaitre ses utilisateurs c'est avoir une gestion fine des utilisateurs quand on est sur un réseau.
- chaque personne dans un cabinet en général a un compte ouvert.
- lorsqu’une personne quitte un cabinet son compte reste souvent ouvert.
- une personne extérieure peut alors pénétrer dans le système en utilisant ce compte latent.

les prestataires

- les prestataires comme les informaticiens qui font tout à distance
- sommes nous surs qu'il s'agit bien de lui ?
- Il faut ouvrir un compte au prestataire. Au moindre doute on pourra fermer le compte.
- ATTENTION : Le compte administrateur ne doit pas être utilisé pour naviguer sur le net. Ce compte doit être gardé impérativement par le propriétaire du SI.
Ce n'est pas au prestataire de maîtriser ce compte administrateur.
- Il faut créer un compte différent avec des droits administrateurs au prestataire.

4-Effectuer des sauvegardes régulières des données

Rappel : - il ne sert à rien de sauvegarder le système d'exploitation
              - se sont les données qui sont essentielles

Méthodologie, posologie

A : il faut réaliser une sauvegarde incrémentale par jour (si J1 = X - J2 = Y = X + (Y-X) la différence des donnée entre J2 et J1 .....) tous les jours.
B : il faut également opérer une sauvegarde régulière par semaine = sauvegarde de la semaine
C : enfin, une sauvegarde complète par mois s'impose.
Si l'on fait des totales et que cela s'agglutine au bout de quelques temps, il y aura saturation du disque de sauvegarde. Pour éviter cela :
La sauvegarde B efface la A qui recommence
La sauvegarde C efface la B ....
Objectif = un minimum de perte en cas de crash machine
Une sauvegarde n'est nécessaire que s'il existe une restauration possible derrière.
Il faut tester la restauration (apprendre à le faire).

5-Sécuriser l'accès Wi Fi de son cabinet

- afin d'éviter le piratage de sa box
- changer le mot de passe fourni par sa box (il existe des logiciels de recherche avec les numéros fournis de série)

6-Etre aussi prudent avec son smartphone et sa tablette qu'avec son ordinateur

cf. item 1 et 2

NB : sur I phone il y a un antivirus de série, sur les Samsung, il y a Avast

7-Protéger les données à connotation personnelles lors des déplacements

- à connotation personnelle sous-entend dès qu'il y a des annotations sur des individus
- la perte d'un ordinateur, smart phone ou tablette peut entraîner des difficultés juridiques allant jusqu'à 1 an et 300 000 euros d'amendes
- ex si un patient retrouve ses données sur le net il peut porter plainte contre le médecin.
- dans d'autres domaines, ce peut être des coordonnées bancaires, une déclaration d'impôts...
- aux USA sur 1 an = 50 000 ordinateurs sont oubliés dans les aéroports....

8-Etre prudent lors de l'utilisation de sa messagerie

- quand vous recevez des mails, soyez sûrs de la source (l ‘expéditeur du message) lorsque vous cliquez dessus ou sur les liens.... actuellement la moitié des virus proviennent de la messagerie.

- Exemple du ransomware très répandu actuellement

   - vous recevez un mail qui contient une charge
   - à son ouverture cette charge permet de chiffrer votre disque dur en ligne
   - vous recevez ensuite une demande de rançon à payer dans une durée impartie
   - 30 euros (seuil psychologique) pour les individus, pour les entreprises cela se chiffre en milliers de dollars
   - mais vous n'avez aucune assurance de récupérer vos données
   - la règle est de ne pas payer, mais de restaurer vos données ce qui est facile pour vous puisque vous appliquez la règle numéro 4 :)

9-Télécharger les programmes sur les sites officiels des éditeurs

- cela coûte de l'argent, mais cela assure une stabilité du système
- évitez les logiciels fournis gratuitement où la moitié des logiciels sont craqués (comme 01.net), car un logiciel "craqué" peut présenter des risques majeurs :

         - une charge (un virus) qui va infecter votre ordinateur
         - une porte (une backdoor) qui permet l'intrusion sur votre SI
Souvenez vous que rien n'est gratuit dans la vie .......

10-Etre vigilant lors d'un paiement sur internet

- cela consiste à ne pas laisser son numéro de CB avec son identifiant sur des sites non connus.

11-Séparer les usages personnels des usages professionnels

- surtout lorsque l'on a des secrets à protéger
- en gros, il faut 2 ordinateurs.

12-Prendre soin de ses informations personnelles, professionnelles et de son identité numérique

- Utilisez les réseaux sociaux oui mais maitrisez avant tout votre information
- S’interdire les réseaux sociaux ce serait aller contre l'histoire

La protection des données est le fer de lance actuel du gouvernement.
La loi a changé et nous serons bientôt soumis à de nouvelles contraintes pénales et civiles. Le marché des 5 prochaines années est la protection des données. Notre « secret médical » est bien mis à mal et prêt à être englouti par le monde numérique si nous n'y prenons garde.

"La révolution numérique en santé, porteuse d’immenses espoirs, est indissociable de l’externalisation des données. Il convient d’être très attentif à ces évolutions et d’en connaître le modèle de fonctionnement, le modèle économique et les risques sous-jacents", soulignent les auteurs d'une étude de l'Ordre des Médecins sur le Cloud Computing. Nos systèmes d'informations, de plus en plus ouverts, nécessitent à l'évidence que l'on sécurise les données installées sur nos ordinateurs.

Isabelle Leclair