Informatique

Cybersécurité : bonnes pratiques du quotidien et réflexes en cas d'incident au menu d'un guide pour les libéraux

Par

Publié le 03/12/2021

Article réservé aux abonnés

Ordinateurs, tablettes, smartphones… Les outils informatiques se sont multipliés dans le quotidien des Français et les professionnels de santé ne font pas exception. Pour accompagner les libéraux, l’Agence du numérique en santé a publié un guide de bonnes pratiques avec, notamment, « des règles d’hygiène informatique » applicables au quotidien ainsi qu’une « fiche réflexe en cas d’incident ».

Crédit photo : GARO/PHANIE

Les cyberattaques ayant paralysé des hôpitaux comme ceux de Rouen, Dax ou Villefranche-sur-Saône se sont multipliées ces derniers mois. En 2020, 369 incidents déclarés par 250 établissements étaient recensés dans l’observatoire de l’Agence du numérique en santé (ANS). Et la part des incidents d’origine malveillante est en constante augmentation ces dernières années, passant de 41 % en 2018 à 60 % en 2020.

Si ces attaques dans les hôpitaux font les unes de la presse, les cyberattaques touchent toutes les catégories de population, souligne l’ANS, qui a publié un « memento de sécurité informatique pour les professionnels de santé en exercice libéral ».

En préambule, l’ANS observe en effet que, dans le cadre de leur activité, les libéraux s’appuient « sur les outils informatiques (ordinateurs, messageries, tablettes, smartphones, etc.). Ces usages (les) exposent à des incidents de sécurité qui peuvent impacter (leur) activité de façon sévère, voire irréversible. » L’agence rappelle également les devoirs des professionnels de santé : « Vous êtes par ailleurs tenu de mettre en œuvre des mesures garantissant la sécurité des données sensibles que vous manipulez et ne disposez parfois pour cela que de moyens techniques limités et de peu de temps disponible. »

Une check-list « des mesures d’hygiène informatique »

Dans ce document, l’ANS propose une check-list pour les libéraux des principes et mesures d’hygiène informatique à mettre en œuvre. Pour les 12 grands principes listés, un certain nombre d’actions sont détaillées.

Cela passe par la maîtrise de l’accès physique au lieu d’exercice et de la sécurité physique des équipements informatiques ou encore la protection du poste de travail et l’accès aux applications. D’autres principes concernent le respect des principes du RGPD (règlement général sur la protection des données), la réponse aux obligations de conservation et de restitution des données mais aussi l’intégration de la sécurité dans les contrats avec les fournisseurs.

Et l’ANS l’assure, les principes décrits « ne requièrent aucune connaissance technique pour être mis en œuvre ». Si la check-list se présente sous forme de tableau (voir l’extrait), dans le memento, l’ANS apporte des conseils et exemples. Notamment sur le choix d’un mot de passe ou la sauvegarde des données essentielles.

Une « fiche réflexe en cas d’incident »

Outre les mesures à prendre au quotidien, l’ANS propose une « fiche réflexe en cas d’incident de sécurité informatique ». Elle se décline autour de trois grandes actions. Sur l’équipement, pour commencer, l’ANS conseille de « déconnecter d’abord du réseau la machine » mais de la « maintenir (…) sous tension, ne pas l’arrêter ni la redémarrer ». Dans un deuxième temps, le professionnel de santé est invité à prévenir l’équipe informatique ou le fournisseur. Puis de « décrire l’incident de sécurité sur le site cybermalveillance.gouv.fr ». Et, pour certains incidents, le document décrit la marche à suivre en cas de violation de données à caractère personnel ou de malveillance.