Retrouvez tous vos contenus sur mobile avec l'application du Point Vétérinaire.
Téléchargez gratuitement l'application !
Retrouvez tous vos contenus sur mobile avec l'application du Point Vétérinaire.
Téléchargez gratuitement l'application !
DIGITAL
ÉCO GESTION
Auteur(s) : JACQUES NADEL
Hameçonnage ( phishing en anglais), rançongiciel ( ransomware ), vol de mot de passe, programmes et messages malveillants ( malware )… Les méthodes de piratage ne manquent pas pour s’approprier vos données. Vous devez prendre toutes les mesures nécessaires pour garantir au mieux leur sécurité. Revue de détail.
En matière de piratage informatique, les structures de soins sont une cible privilégiée des hackers, car les moyens et les ressources alloués à la sécurité informatique sont le plus souvent faibles. En tant que professionnel de santé, vous êtes responsable du traitement des données que les propriétaires d’animaux vous confient. Vous devez mettre en place des mesures de protection et de sécurité au niveau de votre système informatique et prouver leur conformité au règlement général sur la protection des données (RGPD) : registre de traitement des données personnelles réalisés à la clinique ou au cabinet vétérinaire, contrats avec les sous-traitants, mise en place de procédures internes pour garantir un haut niveau de protection et, en cas de violation des données personnelles, respect du droit des personnes sur leurs données, etc.
Une attaque informatique vient le plus souvent d’une erreur humaine. Il convient donc de rappeler au personnel le contexte réglementaire dans lequel le traitement de données s’effectue à la clinique (ou au cabinet vétérinaire), d’éveiller son attention aux risques de piratage, de l’aider dans la mise en place dans l’entreprise des mesures de sécurité requises par la sensibilité des données qu’il traite.
Voici les points sur lesquels vous devez sensibiliser votre équipe.
Règles de protection générales contre les programmes et messages malveillants
N’ouvrez pas les courriels, leurs pièces jointes et ne cliquez pas sur les liens provenant d’expéditeurs inconnus, ou d’un expéditeur connu, mais dont la structure du message est inhabituelle ou vide.
Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur celui-ci (sans cliquer), ce qui affichera l’adresse vers laquelle il pointe réellement afin d’en vérifier la vraisemblance.
Examinez l’adresse du site qui s’affiche dans votre navigateur. Si elle ne correspond pas exactement au site concerné, suspectez un site frauduleux. Parfois, un seul caractère peut changer pour vous tromper.
Ne communiquez jamais d’éléments d’authentification par messagerie ou téléphone.
Séparez au maximum vos usages personnels et professionnels (par exemple, les messageries perso et pro).
Vérifier de façon formelle l’identité d’un interlocuteur au téléphone avant de lui transmettre des informations confidentielles.
Si vous avez un doute, contactez en premier lieu l’éditeur de votre logiciel pour vous aider au diagnostic. N’interagissez plus avec vos moyens informatiques si l’incident suspecté est grave, pour permettre une éventuelle copie des données à valeur juridique.
Déconnectez du réseau la machine compromise, cela permet de stopper l’attaque si elle est toujours en cours. L’intrus n’aura plus le contrôle sur votre machine et ne pourra pas modifier des fichiers.
En revanche, maintenez la machine sous tension et ne la redémarrez pas, car vous risqueriez de perdre l’information utile pour l’analyse de l’attaque.
Contactez le dispositif d’assistance aux victimes d’actes de cybermalveillance : Cybermalveillance.gouv.fr.
Si l’incident est avéré, faites une déclaration auprès des services de police et de gendarmerie.
• Pour le mot de passe
Utilisez un mot de passe avec une complexité suffisante : au moins huit caractères, un nombre, une majuscule, une minuscule, un signe de ponctuation ou un caractère spécial (&, $, #, etc.).
La Commission nationale de l’informatique et des libertés (Cnil) a mis en place un outil pour vous aider à construire un mot de passe fort et simple à retenir : cnil.fr/fr/generer-un-mot-de-passe-solide.
Votre mot de passe doit être personnel et ne doit pas être communiqué à un tiers : proscrire les aide-mémoire du type post-it collé sur l’écran d’ordinateur ou carnet papier en libre accès.
Renouvelez votre mot de passe aussi fréquemment que possible (en général tous les trois mois).
• Concernant la sécurisation des postes de travail
Créez un code opérateur pour chaque collaborateur. Évitez d’avoir un compte unique partagé par plusieurs personnes.
Verrouillez votre poste lorsque vous le quittez. Configurez-le pour que votre session informatique ne soit plus accessible automatiquement après 30 minutes d’inactivité.
Si vous proposez du wifi dans la salle d’attente, mettez en place un réseau wifi spécifique et différent de celui que vous utilisez pour le fonctionnement de la clinique.
Afin de réduire les risques d’attaques informatiques, ne connectez sur le réseau du lieu d’exercice que des matériels informatiques à usage professionnel.
• Concernant la sécurisation du matériel
Disposez votre serveur informatique et votre unité centrale au sein du périmètre couvert par votre alarme de sécurité.
Placez-les le plus possible hors de portée du grand public (local ou armoire fermé à clé, utilisation de câble antivol pour les unités centrales, etc.).
• Mises à jour des logiciels et antivirus (vous-même ou votre prestataire sous votre contrôle)
Appliquez de manière régulière et systématique les mises à jour de sécurité du système et des logiciels installés sur votre machine.
Tenez à jour l’antivirus et configurez votre pare-feu. Vérifiez qu’il ne laisse passer que des applications, des services et des machines utiles à votre activité.
• Conservation et sauvegarde
De préférence, sauvegardez les données traitées dans un environnement hébergé et sécurisé (par exemple, un cloud hébergement de données de santé). Informez-vous auprès de votre prestataire de sauvegarde des conditions concrètes de relance en cas de problème.
Si vous choisissez d’utiliser un support externe, privilégiez l’emploi de deux supports de sauvegarde avec la fonction de chiffrement : par exemple, une clé USB et un disque dur externe chiffrés. Stockez les supports de sauvegarde dans un lieu différent de celui de la clinique (ou du cabinet).
Identifiez un responsable de la sauvegarde au sein de la clinique.
Sauvegardez régulièrement les données (au moins une fois par semaine).
• Gestion des documents papier
Ne laissez jamais en libre accès les documents propres à votre clientèle.
En cas de copies d’ordonnances, gardez-les au sein d’une armoire ou d’un tiroir fermé à clé.
Prévoyez des modalités de destruction adaptées pour les supports intégrant des données personnelles, déchirez les tickets de promis, etc.
Sensibilisez l’équipe à éviter de se servir des papiers de la clinique comme papier de brouillon à usage personnel.
Si vous confiez le traitement des données personnelles de vos clients à un prestataire, celui-ci doit être hébergeur agréé “hébergement de données de santé”. La relation avec votre prestataire doit être formalisée par un contrat de sous-traitance. Définissez précisément dedans le contenu des prestations confiées (À quelles fins les données seront-elles utilisées ? À qui sont-elles transmises ?). Le contrat doit être le plus clair et le plus descriptif possible. Renseignez-vous sur comment et à quel moment les données que vous confiez à un prestataire sont supprimées. Assurez-vous en amont de la capacité de restitution des données de santé à caractère personnel.
•
