La sécurité des données : les fondamentaux dans le secteur de la santé

Partout dans le monde, des données sont produites, stockées et partagées à un rythme effréné. Or, quel que soit le système, il existe un risque que ces données soient compromises.

Partout dans le monde, des données sont produites, stockées et partagées à un rythme effréné. Or, quel que soit le système, il existe un risque que ces données soient compromises. Les violations de sécurité et la cybercriminalité sont monnaie courante et il est essentiel de protéger les données pour éviter tout accès et toute exploitation non autorisés.

Avec la pandémie, l’usage du numérique s'est largement répandu et désormais, la majorité des démarches se font en ligne, y compris le suivi médical et certaines  prestations de soins grâce à la téléconsultation. Si la numérisation des documents et processus sont un progrès indiscutable, elle entraîne mécaniquement une exposition croissante des données personnelles ce qui, dans le secteur de la santé, peut avoir de graves conséquences.

Selon un rapport publié en 2021, les services de santé sont l'un des principaux secteurs victimes de violations de données. L'année dernière, le nombre d'incidents a été le plus élevé jamais enregistré, avec 45 millions de personnes touchées dans le monde, soit un triplement en trois ans. En 2022, la menace n’a fait qu’augmenter, notamment en raison de facteurs exogènes tels que la guerre en Ukraine. L’impact financier d’une attaque est évidemment important, en raison notamment des lourdes sanctions encourues en cas de violation de données. Cependant, l’inquiétude porte aussi sur la qualité des soins aux patients et le risque de compromission de la vie privée des patients. En effet, cyber-attaques peuvent perturber l'accès aux dossiers électroniques des patients ainsi qu’aux technologies de diagnostic, aux prises de rendez-vous ainsi qu’aux plateformes de téléconsultation, provoquer des retards dans la prise en charge des malades et de manière générale, porter atteinte à la confiance entre patients et soignants. A titre d’exemple, l’attaque d’un centre hospitalier sud-francilien a empêché l’accès aux logiciels et dossiers numériques pendant 2 mois, forçant l’établissement à activer son plan blanc (et à revenir à l’époque du dossier manuscrit).

Ainsi, plus que jamais, les professionnels de santé doivent faire preuve d’une rigueur absolue quant à la sécurité des données, non seulement en raison des conséquences opérationnelles et financières mais aussi, et surtout, pour protéger la santé des patients et garantir leur sécurité. Tous les établissements de santé et institutions médicales se trouvent ainsi confrontés doivent de ce fait mettre en place des mesures afin de se prémunir contre ces risques nouveaux.

Le terrassement : une infrastructure informatique adaptée

Pour commencer, la mise à niveau de l'infrastructure informatique est essentielle. Bien qu’il soit impossible de garantir à 100 % la protection, en raison de la sophistication croissante et du volume des attaques, mettre à jour son système informatique est le prérequis à toute stratégie de cybersécurité. Ce système sera mieux à même d'améliorer la détection, la neutralisation puis la remédiation d’une attaque, voire tout simplement d’empêcher qu’elle advienne.

Une infrastructure informatique adaptée comprend notamment des fonctionnalités de cryptage, de récupération et de sauvegarde de données données stockées et transmises ainsi qu’une authentification multifactorielle des connexions. Il est également essentiel d’élaborer un plan d'intervention en cas d'incident de sécurité afin qu'une attaque puisse être identifiée, évaluée et contenue rapidement.

Les fondations : un accès sécurisé aux informations des patients

Le règlement général européen sur la protection des données (RGPD) donne à tous les citoyens de l'UE le droit de savoir quelles données personnelles les organisations détiennent à leur sujet, pourquoi elles les détiennent et à quels tiers elles les divulguent. Ce droit d’accès peut se faire par voie électronique ou par courrier et l’organisme a un mois pour fournir une copie des données détenues (dans un format lisible). Les citoyens sont de plus en plus conscients de l’importance de leurs données personnelles et on peut s'attendre à ce qu’ils exercent ce droit plus régulièrement.

Répondre à ces demandes peut prendre beaucoup de temps. Sans oublier qu’il existe un risque d'accorder des accès à des usurpateurs. Pour cette raison, il est extrêmement important que les responsables des établissements de santé connaissent la procédure correcte afin de valider l'identité du demandeur et d’accorder ainsi l'accès en toute sécurité.

Les murs porteurs : la mise en place de bonnes pratiques en matière de sécurité de l'information

Tout le monde doit pouvoir connaître et accéder à des règles de sécurité des données écrites claires et concises. Cela doit inclure l'utilisation appropriée des ordinateurs, téléphones et autres appareils. Il est également indispensable de dispenser des formations à la cybersécurité afin d’apprendre à rester vigilants face aux attaques potentielles de phishing et de malwares.

Lorsque l’on travaille à distance, en particulier sur des dossiers sensibles, une formation officielle sur les politiques de confidentialité et les outils de protection est également indispensable. Pour une sécurité optimale du travail à distance, il est conseillé à l’organisme d'élaborer des politiques officielles autour des éléments suivants : mener des activités professionnelles sur des ordinateurs ou des téléphones personnels, copier des dossiers professionnels sur des appareils personnels, envoyer des dossiers professionnels sur des comptes de courriel personnels ou externes au domaine de l'entreprise, imprimer des documents professionnels à domicile et utiliser des clés USB personnelles pour stocker des informations professionnelles.

Les prestataires de soins de santé doivent également s'assurer que tous les partenaires tiers sont conformes et qu’ils ont mis en place des mesures de sécurité des données appropriées. Toute organisation externe ayant accès aux données des patients est un potentiel risque d'exposition des données.

Les finitions : la destruction sécurisée des documents papier

Bien que la transformation numérique se soit imposée dans le secteur de la santé, c’est un domaine particulier qui reste dépendant des documents papier. Par conséquent, tout protocole de sécurité des données doit également tenir compte du stockage et de la destruction sécurisés des documents physiques. En dépit des innovations et des mesures prises en faveur de la numérisation, la réalité est que les dossiers papiers vont continuer à exister dans le secteur des soins de santé.

Lorsque le moment est venu de numériser les anciens dossiers et que les documents physiques peuvent être jetés, ils doivent être déchiquetés conformément aux réglementations en matière de confidentialité et de conformité des données afin d'éviter pénalités, amendes ou actions en justice. Les dispositifs de broyage de bureau standards n'offrent généralement pas un processus entièrement conforme, il est donc essentiel de faire appel à un prestataire externe. Ils doivent être certifiés ISO 9001 et ISO 14001 et EN 15713 - les plus hauts niveaux de sécurité pour l'élimination des données confidentielles.

En outre, les opérations de déchiquetage doivent être entièrement surveillées par un système de vidéosurveillance 24 heures sur 24, et tous les matériaux doivent être manipulés par du personnel ayant fait l'objet d'une habilitation de sécurité.

Enfin, la conformité de l'information est un domaine en constante évolution, il peut être utile d'engager des consultants qui suivent l’évolution des réglementations et des pratiques et qui garantiront la mise en place d'une gouvernance de l'information efficace et transversale. Dans un monde où les violations de données peuvent causer de graves dommages, la sécurité des données de santé est une nécessité absolue.