dégâts des eaux informatique

Garantir soi-même la sécurité informatique #5: être préparé à une cyberattaque, une panne de courant, un dégât des eaux et autres.

Daniel Huser
Daniel Huser

Que se passerait-il si vous ne pouviez soudainement plus accéder aux données de patients de votre cabinet à cause d’une cyberattaque? Ou si vos systèmes informatiques tombaient en panne de manière inattendue? Des questions que l’on n’aime guère se poser, mais qui sont pourtant essentielles.

Garantir à tout moment la sécurité et la protection des données sensibles de patients est un défi à l’heure du travail numérique. Toutefois, en prenant le temps de se pencher sur le thème de la protection informatique de base, on peut soi-même renforcer la sécurité informatique de son propre cabinet. Dans cet article, nous vous montrons comment vous préparer à d’éventuelles situations d’urgence et ce à quoi vous devez veiller lorsque vous collaborez avec des prestataires de services externes.

Si vous souhaitez aborder la sécurité informatique dans votre cabinet en toute connaissance de cause, nous vous recommandons également de lire nos articles précédents:

Des événements imprévisibles peuvent survenir

Cyberattaques, panne de systèmes informatiques, infection d’un terminal par un logiciel malveillant, coupures de courant, phénomènes naturels... Si un cabinet médical ou un EMS n’est pas préparé à de telles situations d’urgence ou à des situations similaires, celles-ci peuvent avoir de graves conséquences le cas échéant, paralyser les activités pendant des heures ou des jours, porter atteinte à la confiance des patients, voire entraîner des conséquences juridiques avec des conséquences financières considérables. Une bonne protection informatique de base implique donc de se préparer à d’éventuelles situations d’urgence.

La préparation est la moitié du chemin: le plan d’urgence

Imaginez par exemple que vous arriviez le matin dans votre cabinet et que les données de patients ne soient plus accessibles suite à une attaque de rançongiciel. Que faites-vous? Appelez-vous votre partenaire informatique? Feriez-vous mieux d’annuler d’abord les premières consultations des patients? Quelles tâches sont assumées par votre AM? Pour ne pas avoir à se poser toutes ces questions dans le feu de l’action – sous le coup du stress et de l’énervement –, mieux vaut avoir un plan d’urgence à disposition pour faire face à d’éventuelles situations exceptionnelles.

Voici comment faire:

  • Identifiez les menaces potentielles au moyen d’une analyse des risques que vous effectuez vous-même en toute conscience. Évaluez la probabilité et les dommages potentiels de chacun de ces scénarios.
  • Identifiez également les points faibles de votre cabinet qui pourraient conduire à une urgence et remédiez-y vous-même ou avec l’aide d’un partenaire informatique externe.
  • Sur la base de votre analyse des risques, développez un plan d’urgence écrit qui contient des instructions pour les scénarios pertinents. Vous pouvez catégoriser différents scénarios ayant des conséquences similaires et créer un plan d’action pour chaque catégorie. Important: définissez clairement les responsabilités afin que chaque collaborateur connaisse ses attributions.
  • Réglez également la communication en situation de crise: comment, quand et par qui les membres de l’équipe, les patients, les prestataires de services informatiques et les autres parties prenantes sont-ils informés? Notez que les canaux de communication d’urgence ne doivent pas être les mêmes que ceux que vous utilisez au quotidien, car ils pourraient également ne plus fonctionner. Il est également important qu’une liste de contacts à jour soit disponible à tout moment.
  • Plus vos collaborateurs sont entraînés à gérer des situations exceptionnelles, plus ils peuvent agir avec assurance et efficacité en cas d’urgence. Des exercices de simulation d’urgence réguliers forment votre équipe et garantissent le bon fonctionnement de votre plan d’urgence dans le cabinet. Il est également important de réviser régulièrement le plan: correspond-il encore aux exigences et aux risques actuels? Doit-il éventuellement être adapté aux nouvelles technologies ou aux changements dans le cabinet?

Compléter l’inventaire des contacts

Dans les situations d’urgence, il est important d’avoir rapidement sous la main les coordonnées actuelles des personnes compétentes. Et même dans l’agitation du travail quotidien, il est toujours bon de disposer de coordonnées importantes, à jour et faciles à trouver. Il vaut donc la peine de tenir une liste de contacts et de l’actualiser régulièrement. Placez la liste dans un endroit facile d’accès et informez également votre équipe de son emplacement. Il est conseillé de faire figurer les contacts d’urgence dans l’inventaire que vous avez établi à l’aide de nos articles précédents, à proximité des systèmes dont ils sont responsables.

Le partenaire informatique externe: ce à quoi il faut veiller

Même s’il est possible de faire beaucoup de choses soi-même en matière de sécurité informatique sans disposer de connaissances d’expert, il est difficile aujourd’hui de se passer de l’aide de prestataires de services informatiques externes, par exemple pour protéger son cabinet contre les cyberattaques ou pour mettre en place une stratégie de sauvegarde fiable. Le partenaire choisi doit vous aider à préserver le secret professionnel dans le monde numérique et à répondre aux exigences de la nouvelle loi sur la protection des données (nLPD). Afin de pouvoir garantir la sécurité et la protection des données de patients, il doit...

  • ... pouvoir démontrer qu’il respecte toutes les exigences en matière de protection des données pertinentes, notamment en ce qui concerne la sécurité du traitement des données à caractère personnel. Vous reconnaîtrez ceci facilement à ses certifications de sécurité, par exemple ISO/IEC 27001 (gestion de la sécurité de l’information) ou le label CyberSeal de l’Alliance pour la sécurité numérique en Suisse.
  • ... pouvoir présenter des mesures techniques et organisationnelles (MTO) documentées qui garantissent la sécurité du traitement des données, par exemple l’utilisation du chiffrage, des contrôles d’accès, des contrôles de sécurité réguliers.
  • ... avoir de l’expérience dans le travail avec des données sensibles dans le système de santé.
  • ... accorder à votre cabinet le droit d’effectuer des audits et des contrôles réguliers.
  • ... former régulièrement ses collaborateurs à la protection des données et à la sécurité informatique.
  • ... pouvoir justifier de temps de réaction définis et d’une gestion des urgences documentée.
  • ... pouvoir réaliser ou faciliter une analyse d’impact sur la protection des données (AIPD).

Conventions avec votre partenaire informatique

En tant que professionnel de santé, vous êtes responsable de la protection des informations que vos patients ou clients vous confient. Si vous travaillez avec des partenaires externes, vous devez pouvoir compter sur le fait qu’ils traitent eux aussi les données sensibles avec le soin nécessaire. Les conventions écrites suivantes devraient donc être conclues avec des partenaires externes:

  • Convention de confidentialité (Non-Disclosure Agreement, NDA): celle-ci garantit que tous les collaborateurs ayant accès aux données de patients sont tenus au secret professionnel.
  • Convention de traitement des données en sous-traitance: celle-ci régit la manière dont le prestataire de services informatiques peut traiter les données et doit les protéger.

La FMH met à disposition des modèles pour les deux conventions

En ce qui concerne les situations d’urgence telles que celles susmentionnées, il faut également noter qu’en cas d’urgence, il n’y a pas de temps à perdre! Il est donc important de s’assurer qu’une assistance informatique externe est disponible rapidement et de manière fiable en cas de besoin. Concluez pour cela des Service Level Agreements (SLA) avec vos prestataires de services informatiques, définissant par exemple les prestations garanties et les temps de réaction.

Des questions pénibles qui valent la peine d’être posées

La préparation à d’éventuels scénarios de crise fait partie intégrante d’une protection informatique de base suffisante. Car même si la plupart de ces scénarios ne se réaliseront jamais (espérons-le!): le cas échéant, une préparation minutieuse apporte des réponses aux questions difficiles. Des réponses utiles qui contribuent à assurer le fonctionnement du cabinet et à garantir la sécurité des données sensibles des patients.

Informations complémentaires et outils

  • La FMH propose une liste de contrôle et un processus possible en cas de violation de la protection des données
  • La FMH a publié des exigences minimales pour la sécurité informatique des cabinets médicaux sur son site Web
  • Sur www.hin.ch/fr/inventaire, nous mettons à votre disposition un modèle d’inventaire sous forme de fichier Excel à télécharger.
  • Vous trouverez des instructions, des listes de contrôle et des réponses aux questions les plus fréquentes sur le thème de la sécurité informatique sur notre page de support
Daniel Huser
Auteur: Daniel Huser - Membre de la direction élargie, responsable du secteur Gestion de projet & architecture informatique

En tant qu’expert en solutions et projets innovants, je vous présente de nouveaux produits et services, mais aussi des raccordements pour de nouvelles applications chez des prestataires tiers. Je vous dévoilerai également quelques petites avant-premières sur de futurs lancements. Plongez-vous avec moi dans le monde unique de l’ingénierie et découvrez comment les solutions peuvent apparaître avant les problèmes.

Compétences
Je suis à l’aise dans les domaines du Business Engineering et de la gestion de projet pour la santé. Après plusieurs années dans le support technique et la Solution Engineer, je me suis tourné vers la gestion de projet, domaine dans lequel je travaille aujourd’hui encore. Résoudre des problèmes avant qu’ils ne surviennent fait partie de mes objectifs prioritaires. Que ce soit avec de nouvelles fonctions, des mises à jour ou le développement d’idées pour créer des services entièrement novateurs. C’est ce que j’entreprends depuis plus de cinq ans pour HIN.

Contenu rédactionnel
En tant qu’expert en solutions et projets innovants, je vous présente de nouveaux produits et services, mais aussi des raccordements pour de nouvelles applications chez des prestataires tiers. Je vous dévoilerai également quelques petites avant-premières sur de futurs lancements. Plongez-vous avec moi dans le monde unique de l’ingénierie et dé-couvrez comment les solutions peuvent apparaître avant les problèmes.

Côté privé
Passer du temps avec ma famille est sacré. Mes enfants sont tout pour moi. J’aime partager avec eux des voyages ou simplement d’agréables journées à la maison.

 

Autres articles de Weitere Artikel von Daniel Huser

Avis de cookie