Qui peut m'aider à préserver mes données ?

Face à la menace grandissante des cyberattaques, les pouvoirs publics ont mis en oeuvre une politique de gestion des risques. Parmi les acteurs créés, l’Agence du numérique en santé (ANS) apporte les référentiels et les outils de sécurité pour instituer une e-santé plus sûre. Le Dr Jacques Lucas, son président, souligne les règles et les aides à votre disposition pour vous prémunir des cyber-risques.

QUEL EST LE RÔLE DE L’AGENCE DU NUMÉRIQUE EN SANTÉ AUPRÈS DES PRATICIENS ?

Jacques Lucas : L’Agence agit à différents niveaux, de l’information à l’action. Elle a pour rôle d’exposer de manière pédagogique les grands enjeux liés à la sécurité des outils informatiques des professionnels de santé. Pour cela, elle actualise des guides et des supports pratiques ou organisationnels, dont des recommandations en matière de protection des données recueillies par les logiciels. Cela se traduit par un corpus de règles d’hygiène informatique à respecter, sous forme de memento qui ne nécessite pas de connaissance technique approfondie. Il s’agit d’anticiper la survenue d’incidents de sécurité. L’Agence conseille aussi. Elle met à disposition des contacts nécessaires destinés à intégrer la sécurité dans les contrats de gestions des systèmes informatiques avec les tiers et propose des questionnaires fournisseurs. Elle guide également ces professionnels dans leurs obligations de connaitre et appliquer les principes du RGPD et de respecter les règles relatives à l’hébergement de données de santé à caractère personnel. Le respect de ces règles simples permet d’éviter la plupart des risques.

QUELLE EST L’ACTION DE L’AGENCE DU NUMÉRIQUE EN SANTÉ 
EN CAS DE CYBERATTAQUE ?

J. L. : En cas de cyberattaque, l’Agence a un service consacré au secours des établissements de santé. Elle leur apporte aide et assistance. Tous les professionnels de la santé pourront prochainement en bénéficier. Les services de l’agence vont être étendus, notamment vers les structures de regroupements des professionnels libéraux.

QUELLES PRÉCONISATIONS DE CYBERSÉCURITÉ ADRESSER
AUX CHIRURGIENS-DENTISTES ?

J. L. : Le chirurgien-dentiste isolé semble aujourd’hui peu concerné par une cyberattaque qui vise à récupérer ses données médicales, le risque existe mais il est plus marqué dans les structures plus grandes. C’est d’ailleurs pour cela que les établissements de soins sont les premiers visés. Cependant, du fait de ses interactions avec d’autres professionnels de santé et structures médicales, le virus introduit dans l’ordinateur peut contaminer l’ensemble

“Les professionnels de santé doivent pouvoir déléguer la sécurité de leurs données à leurs fournisseurs de service pour se concentrer sur leur travail qui est de soigner.”

des acteurs liés. L’hacking sur les données médicales prend de l’ampleur du moment où les professions libérales se regroupent dans des structures de santé, ils deviennent alors des cibles, financièrement plus intéressantes pour des attaques de type rançongiciel. L’agence préconise un grand nombre de règles dites d’hygiène informatique. Il est important d’être rigoureux dans l’application de ces mesures, de suivre les procédures et ne pas s’en inventer, ni de négliger les risques. Le meilleur moyen de se protéger des cyber-risques reste l’investissement dans les initiatives de prévention, de protection et de détection des attaques au travers des solutions de cybersécurité. L’ensemble de ces solutions sont disponibles sur le site de l’ANS, rubrique Produits et services. Des organismes tels que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sont aussi complémentaires pour établir des stratégies de cybersécurité robustes et efficaces.

LA CYBERSÉCURITÉ DOIT-ELLE ÊTRE CONFIÉE À DES PROFESSIONNELS ?

J. L. : Les praticiens doivent pouvoir compter sur leurs fournisseurs de services informatiques pour l’installation, la gestion et la maintenance matérielle et logicielle de tout ou partie de leur infrastructure technique et de leurs outils informatiques, ou encore pour leur fournir des téléservices, services “en ligne” ou services “cloud” tels que des applications de gestion de cabinet, de prise de rendez-vous, de téléconsultation...

Il est important que tous ces services soient compatibles avec leurs obligations de sécurisation des données de santé dites sensibles. Pour aider les praticiens à choisir des fournisseurs de service aptes à héberger des donnés de santé à caractère personnel, l’ANS propose, dans le cadre des solutions référencées du Ségur du numérique en santé, une check-list de points à vérifier auprès de ces prestataires.
L’un des points essentiels est de s’assurer que l’hébergeur soit titulaire d’un agrément ou d’un certificat d’hébergement de ce type de données (HDS). En cas de cyberattaque, ce sont eux qu’il faudra contacter pour obtenir conseil et assistance.

Face aux menaces d’une cyberattaque, les pouvoirs publics ont multiplié les aides et outils d’information spécifiques aux professionnels de santé pour leur permettre de se protéger, de détecter une intrusion dans le système informatique, de mettre à jour les systèmes.

Parmi eux, retrouvez les solutions de sécurité adaptées pour vous aider :

- Corpus documentaire de la Politique générale de sécurité des systèmes d’information de santé (PGSSI-S) de l’ANS : https://esante.gouv.fr/produits-services/pgssi-s

- Le module d’assistance nommé "Assistance Cyber en Ligne" de la plateforme www.cybermalveillance.gouv.fr/ est un dispositif national, copiloté par l’ANSSI et le ministère de l’intérieur, mettant en relation des victimes d’actes de cyber malveillance à des prestataires de services susceptibles de les aider dans leurs démarches.

- Le site de la CNIL met à la disposition des usagers des outils et des guides sur son site internet, dont un guide pratique sur le RGPD appliqué au secteur de la santé.