Chirurgien-dentiste et cybersécurité : suivez la ligne de conduite de l’ANS !
La digitalisation des métiers de la santé est une nécessité et les praticiens dentaires doivent évoluer avec leur époque. Cependant, elle induit de nouveaux risques auxquels ils ne sont pas toujours préparés.
En effet, la sécurité informatique est un enjeu crucial pour les cabinets dentaires qui manipulent des données sensibles telles que les dossiers des patients. Les attaques informatiques, qu’elles soient des rançongiciels, des virus ou des attaques par phishing, sont malheureusement devenues monnaie courante dans le secteur de la santé. Selon une étude récente, près de 1/3 des incidents de cybersécurité touchent le secteur de la santé, avec une augmentation de 70% des attaques en 2020.
Face à ces risques, il est primordial que les praticiens dentaires prennent des mesures pour protéger leurs données et celles de leurs patients. Le guide de l’ASIP Santé fournit des recommandations pour adopter une hygiène informatique rigoureuse. On vous résume tout ça.
Qu’est ce que le mémento ?
L’Agence du numérique en santé (ANS) a publié un guide de sécurité numérique réactualisé pour les professionnels de santé libéraux, y compris les chirurgiens-dentistes.
Celui-ci se compose :
- d’une check-list comporte dix points de contrôle pour vérifier si toutes les mesures de cybersécurité sont bien appliquées au cabinet dentaire, de la sécurisation des mots de passe jusqu’aux contrats avec les fournisseurs.
- de quatre questionnaires à faire remplir et signer par les prestataires informatiques, permettant au praticien dentaire de prouver qu’il a tout mis en œuvre pour s’assurer du bon respect des règles de protection des données.
- de recommandations concrètes en cas d’attaques informatiques.
La mise en œuvre correcte des principes du guide renforce la sécurité et la disponibilité des données, un enjeu crucial dans un contexte où les pratiques de santé sont de plus en plus numérisées.
A qui ce mémento de l’ANS s’adresse t’il?
Le mémento des bonnes pratiques en matière de cybersécurité s’adresse à l’ensemble des professionnels de santé exerçant en libéral, quelles que soient les situations d’exercice et les formes d’utilisation de solutions informatiques.
Est-ce que vous retrouvez votre situation dans l’un de ces 3 axes ci-dessous ? Alors le mémento s’adresse à vous !
| Situations couvertes par le mémento | |||
|---|---|---|---|
| Votre mode d’exercice | Individuel | Avec un(e) assistant(e) | En collectif |
| Votre mode d’usage des outils logiciels | Vous utilisez exclusivement des logiciels individuels | Au moins certains des logiciels que vous utilisez sont partagés avec d’autres acteurs (assistant(e), autres professionnels de santé du cabinet…) | |
| Les types de solutions utilisées | Pour au moins certains usages, les solutions logicielles que vous utilisez sont installées sur des postes de travail et/ou des serveurs localisés au sein de votre lieu d’exercice | Pour au moins certains usages, les solutions que vous utilisez incluent un hébergement externe (type cloud) | |
Quels sont les enjeux induits par ces mesures de cybersécurité ?
La prise en charge d’un patient par un chirurgien dentiste implique le traitement de données à caractère personnel, y compris des données de santé. De ce fait, les professionnels de la santé sont soumis à des obligations législatives et réglementaires strictes en ce qui concerne la création, la consultation, l’utilisation, la conservation et la communication de ces données.
En outre, pour assurer une bonne prise en charge des patients, il est essentiel de disposer d’informations disponibles, vérifiées, précises et cohérentes. Pour ce faire, des moyens informatiques performants sont indispensables, et leur bon fonctionnement doit être garanti pendant les périodes de travail.
Afin de garantir une prise en charge optimale des patients, le chirurgien-dentiste doit veiller aux différents points énumérés ci-dessous :
- Il est important d’assurer la disponibilité des données de santé des patients ainsi que des moyens informatiques pour éviter toute perte de chance dans leur prise en charge.
- La confidentialité des données de santé des patients doit être préservée pour respecter le secret médical.
- Les données de santé des patients doivent être exactes pour permettre un diagnostic rapide et précis.
- Le partage des données de santé des patients doit être maîtrisé pour favoriser la coordination des soins.
- La traçabilité des actes médicaux est essentielle, y compris pour la prescription de produits de santé, leur dispensation ou leur administration, ainsi que pour l’utilisation ou l’implantation de produits de santé lors d’un acte chirurgical, afin de conserver l’historique des antécédents médicaux et assurer une prise en charge de qualité pour le patient.
Le secteur de la santé est une cible privilégiée pour les cyberattaques ; les plus courantes sont réalisées via la messagerie électronique, qui est souvent la porte d’entrée privilégiée des pirates informatiques. Les failles non corrigées des outils informatiques sont également exploitées.
Pour prévenir ces risques, il est important de connaître et d’appliquer les bonnes pratiques de sécurité informatique. Le mémento de l’ANS a pour objectif de vous informer et de vous aider à mieux vous protéger en adoptant des réflexes adaptés et en respectant les règles de sécurité en vigueur.
Focus sur les différents piliers de l’audit interne et identification des points de contrôle pour assurer la cybersécurité au cabinet dentaire.
Assurer la sécurité physique
La sécurité physique des équipements informatiques est essentielle pour protéger les données des patients. Pour ce faire, les professionnels de santé doivent mettre en place des mesures de sécurité physique pour protéger les équipements contre les menaces directes telles que les pertes, les vols et les dégradations. Il est recommandé de fermer à clé les pièces qui contiennent des équipements informatiques ou des informations sensibles en cas d’absence et de mettre en œuvre des mesures de protection contre les vols, comme la protection renforcée des portes et des fenêtres, l’installation d’un système d’alarme, etc. Les équipements informatiques doivent être stockés à un emplacement qui n’est pas facilement accessible par le public, et les supports de stockage de données amovibles doivent être stockés dans un coffre ou une armoire fermant à clé. Les équipements mobiles tels que les smartphones et les ordinateurs portables doivent être placés dans un rangement sûr et verrouillés automatiquement. Il est également recommandé d’activer le chiffrement pour protéger les données sensibles et d’éviter de connecter des équipements mobiles à des prises USB publiques.
Protéger le poste de travail et l’accès aux applications
Le Mémento de sécurité informatique pour les professionnels de santé en exercice libéral présente les bonnes pratiques pour protéger le poste de travail et l’accès aux applications. Il inclut des conseils pour l’utilisation de cartes de type CPx ou d’e-CPS, ainsi que pour la création de mots de passe robustes. Les cartes de type CPx, telles que la carte CPS, sont des cartes d’identité professionnelle électronique utilisées dans les secteurs de la santé et du médico-social. Il est important de respecter leur caractère personnel et de garder secret leur code PIN et leur code PUK. De même, il est recommandé d’utiliser une application de gestion de mots de passe pour stocker des mots de passe uniques et robustes pour chaque compte et de ne pas stocker de mots de passe dans un navigateur web.
Il est également crucial de veiller à la mise à niveau du système et des outils logiciels en installant régulièrement les correctifs de sécurité proposés par les éditeurs pour se protéger contre les attaques potentielles exploitées par les failles de sécurité. En outre, il est conseillé de séparer les usages professionnels et personnels en ne connectant sur le réseau du lieu d’exercice que des matériels informatiques à usage exclusivement professionnel, en hébergeant pas de données professionnelles sur un équipement personnel et en ne connectant pas de supports amovibles personnels sur un équipement professionnel.
Enfin, il est essentiel de protéger l’accès au poste de travail en cas d’absence en activant le verrouillage automatique du poste de travail et en verrouillant manuellement le poste de travail lorsqu’on s’en éloigne. Ces mesures de sécurité contribuent à prévenir les cyberattaques et à protéger les données sensibles des professionnels de santé en exercice libéral.
Maîtriser les accès aux informations
L’utilisation des équipements informatiques dans le domaine de la santé implique le stockage de données confidentielles, notamment les données de santé à caractère personnel, qui doivent être protégées. Ainsi, il est important de garantir que seules les personnes autorisées ont accès à ces informations en mettant en place des mesures de sécurité appropriées.
L’une de ces mesures est l’utilisation d’une messagerie sécurisée pour les échanges électroniques entre professionnels de santé. Le chiffrement des messages garantit que seuls les destinataires autorisés peuvent accéder aux données transmises.
De plus, pour renforcer la protection des comptes informatiques les plus sensibles tels que les comptes administrateurs, il est essentiel de limiter l’accès à ces comptes aux seules personnes habilitées à effectuer des actions d’administration. Le mot de passe administrateur doit être conservé de manière sécurisée, que ce soit sous forme numérique ou papier, dans un endroit protégé par un accès sécurisé.
Il est également recommandé de conserver une copie de ce mot de passe dans un lieu externe au lieu d’exercice, afin de garantir un accès en cas d’urgence. Ces mesures permettent d’assurer la confidentialité et la sécurité des données de santé stockées dans les équipements informatiques utilisés dans le domaine de la santé.
Connaître les principes de sécurité et les diffuser
Il est important pour les professionnels de santé de se tenir informés des principales cybermenaces et des formes que peuvent prendre les cyberattaques, afin de pouvoir identifier rapidement une attaque et d’adopter les bons réflexes. Par exemple, l’hameçonnage est une technique frauduleuse visant à obtenir des données personnelles telles que des mots de passe. Une sensibilisation régulière sur le sujet est donc essentielle pour tous les membres du cabinet médical. Le site internet cybermalveillance.gouv propose des informations claires et accessibles à tous sur les principales menaces et les mesures préventives associées.
Il est également important de bien documenter les procédures d’exploitation dans un manuel d’utilisation, de les tenir à jour et de les rendre disponibles à tous les utilisateurs concernés.
Toute action impliquant des données à caractère personnel doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ils peuvent se référer. La documentation doit être fournie par le fournisseur ou installateur de solution informatique.
Anticiper la survenue d’accidents informatiques malveillants
Par la sauvegarde
Lorsqu’un incident de sécurité informatique survient, il est difficile de réagir efficacement sans éléments préparatoires. La sauvegarde régulière des données est essentielle pour restaurer les données perdues en cas de sinistre, notamment dans le cas d’attaques destructrices telles que les ransomwares. Il est recommandé de confier la mise en œuvre de ce processus à un professionnel de l’informatique et de déterminer les données essentielles à sauvegarder pour assurer la continuité de l’activité.
Ou pour la destruction sécurisée
Il est également crucial de détruire les données qui doivent être supprimées de manière sécurisée, en détruisant physiquement les équipements ou en effaçant les données stockées de manière sécurisée.
Les règles d’échange et de partage des données de santé à caractère personnel
Les professionnels de santé peuvent échanger des données de santé entre eux dans le cadre de la prise en charge d’un patient et que ces données doivent être limitées aux informations nécessaires à cette prise en charge. Si les professionnels appartiennent à l’équipe de soins, le consentement du patient n’est pas nécessaire, mais dans le cas contraire, il doit être recueilli.
Les principes de protection des données de santé à caractère personnel
Encadrés par le RGPD et la loi informatique et libertés modifiée, les dentistes doivent respecter ces principes lors de la collecte et du traitement des données de santé, qui doivent être limitées aux informations nécessaires à la prise en charge du patient, protégées contre toute modification ou accès non autorisé, conservées uniquement pour la durée nécessaire et utilisées exclusivement à des fins médicales.
Les patients ont également des droits vis-à-vis de leurs données, tels que le droit à l’information, d’opposition, d’accès, de rectification ou de suppression de ces données.
Les professionnels doivent également élaborer un registre des activités de traitement de données à caractère personnel et informer les patients de ces traitements. Des modèles de registre et de notice d’information sont proposés dans le guide pratique de la CNIL.
Répondre aux obligations de conservation et de restitution des données
Pour répondre aux obligations de conservation et de restitution des données, les dossiers médicaux des patients doivent être conservés pendant 20 ans après la dernière prise en charge, y compris les archives actives et intermédiaires. En cas de passation du cabinet à un autre professionnel de santé ou d’indisponibilité imprévue et définitive, il faut prévoir une solution pour éviter la perte des données.
Intégrer la sécurité dans les contrats avec les tiers
Lors de la contractualisation avec des fournisseurs de service informatique pour la gestion et la maintenance des outils informatiques, il est essentiel de définir l’objet des fournitures de service et les limites d’engagement pour apprécier la répartition des responsabilités. Les contrats doivent intégrer la sécurité et prévoir que les tiers respectent les dispositions législatives et réglementaires en matière de sécurité des systèmes d’information et de protection des données. Les tiers doivent également garantir la restitution des données en fin de contrat et la non-contradiction avec la législation sur la protection des données.
La sécurité informatique est désormais un enjeu crucial pour les chirurgiens-dentistes, et cette importance ne fera que croître avec le temps. Afin de faire face à cette problématique, les praticiens doivent s’organiser et s’entourer de partenaires compétents, équipés et structurés pour la cybersécurité. Dans ce contexte, le laboratoire Cristal by Prodways, acteur référent du numérique dentaire, est un partenaire de choix pour les chirurgiens-dentistes qui cherchent à garantir la sécurité des données de leurs patients. Grâce à notre expertise et notre conformité RGPD, nous accompagnons les professionnels de santé dans leur transition numérique en toute sécurité.
