Support de sensibilisation à la sécurité des données de santé

VOUS ETES LA CIBLE …

Le numérique fait partie intégrante de nos vies personnelles et professionnelles et vous êtes désormais la principale cible des pirates.
Les nouvelles technologies, omniprésentes, sont porteuses de nouveaux risques qui peuvent peser lourdement sur vos établissement. Par exemple, les données de vos patients peuvent être dérobées par des attaquants informatiques ou récupérées en cas de perte ou vol de votre poste de travail.
Ce guide a pour objectif de vous informer sur les risques et les moyens de vous en prémunir en acquérant des réflexes simples pour sécuriser votre usage de l’informatique. Chaque règle de sensibilisation est accompagnée d’une recommandation.

ATTENTION …

  • Ce support est réservé exclusivement aux seuls utilisateurs (praticiens, gestionnaires, assistantes) des établissement de santé (centres et cabinets dentaires). 
  • Ce support de sensibilisation ne couvre pas l’emploi d’appareils mobiles (d’ordinateurs portables, smartphones ou de tablettes) lors de déplacements personnels ou professionnels. Voyager avec ces appareils nomades fait cependant peser des menaces sur des informations sensibles dont le vol ou la perte auraient des conséquences importantes. 
  • Ce support de sensibilisation ne couvre pas l’accès à vos données avec des appareils mobiles qui sont clairement aujourd’hui très peu sécurisés. 
  • Ce support ne couvre pas les menaces de sécurité internes (qui peuvent provenir du personnel même des
    établissements de santé).

POLITIQUE GENERALE

POLITIQUE GENERALE

Politique de mot de passes
Les mots de passe protégeant vos contenus sensibles (dossiers patients, comptes professionnels …) ne doivent jamais être réutilisés pour d’autres services.
Définissez un mot de passe unique pour chaque service sensible. Deux méthodes simples peuvent vous aider à définir vos mots de passe :
– La méthode phonétique : « J’ai acheté 5 CDs pour cent euros cet après-midi » : ght5CDs%E7am ; 
– La méthode des premières lettres : « Allons enfants de la patrie, le jour de gloire est arrivé » : aE2lP,lJ2Géa! 
Recommandations
  • Les mots de passe doivent comporter au moins 12 caractères, des majuscules, minuscules, chiffres et caractères spéciaux…ceci est valide pour vos systèmes d’exploitation et vos applications. Dentinnov vous serait de guide lors de la création d’un compte de praticien. 
  • Ne pas conserver les mots de passe dans des fichiers ou sur des post-it. 
  • Ne pas préenregistrer les mots de passe dans les navigateurs, notamment lors de l’utilisation ou la connexion à l’application Dentinnov. 
  • Créer une alerte renouvellement des mots de passe (ex. tous les 6 mois) pour l’accès à votre poste de travail et à vos applications. 

MISES A JOUR

Politique de mise à jours
Dans chaque système d’exploitation (MacOS, Windows, Linux, …), logiciel ou application, des vulnérabilités existent. Une fois découvertes, elles sont corrigées par les éditeurs qui proposent alors aux utilisateurs des mises à jour de sécurité.
Sachant que bon nombre d’utilisateurs ne procèdent pas à ces mises à jour, les attaquants exploitent ces vulnérabilités pour mener à bien leurs opérations encore longtemps après la découverte des failles de sécurité et leurs correction.
Il vous convient donc, au sein de vos établissements de santé, de mettre en place certaines règles de mise à jours à vos utilisateurs.
Ce qui est vrai pour un système d’exploitation, l’est également pour les logiciels qui y sont installés (ex: navigateurs, anti-virus, etc.). Avant toute utilisation, quelle qu’elle soit, il convient de s’assurer le plus tôt possible que celui-ci est à jour. Les navigateurs et les antivirus les plus récents proposent tous une fonctionnalité de mise jour automatique.
Recommandations
  • Il vous appartient de mettre régulièrement à jour votre OS et les différents logiciels que vous utilisez. 
  • Configurer les logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible. Sinon, téléchargez les correctifs de sécurité disponibles exclusivement sur les sites internets officiels des éditeurs. 
  • Certains postes de travail ne se mettent pas à jour automatiquement. Il vous convient de vérifier si vous possédez les dernières version notamment sur les systèmes d’exploitation et les logiciels de sécurité. 
  • Migration: anticiper la fin de la maintenance des systèmes. 

COMPTES UTILISATEURS

Gestion des comptes utilisateurs
Lorsque vous accédez à votre ordinateur, vous bénéficiez de droits d’utilisation plus ou moins élevés sur celui-ci. On distingue les droits dits « d’utilisateur » et les droits dits « d’administrateur».
Dans l’utilisation quotidienne de votre ordinateur (naviguer sur Internet, lire ses courriels, utiliser des logiciels…), prenez votre compte utilisateur créé spécialement pour vous.
Le compte administrateur n’est à utiliser que par le responsable d’établissement de santé qui pourra intervenir sur le fonctionnement global de :

– L’application Dentinnov (gérer les droits d’accès à des dossiers patients, comptabilité, prises de rendez-vous, …).
– Des postes de travail (gérer des comptes utilisateurs, modifier la politique de sécurité, …).

Recommandations
  • Pour des raisons de traçabilités, chaque utilisateur doit être identifié. Il est strictement interdit de se connecter sur un autre compte utilisateur que le sien au niveau du poste de travail et au niveau de l’application Dentinnov.
  • Éteindre ou verrouiller son poste lors d’une absence « longue » (rendez-vous extérieur, pause déjeuner, le soir…). 
  • Verrouillage auto de la session au bout d’un certain temps (Dentinnov le fait pour vous en cas d’inactivité …). 
  • Etablir une procédure qui gère les nouvelles arrivées dans votre établissement de santé et les départs de personnel pour vous assurer que les droits octroyés sur les systèmes d’information sont appliqués au plus juste et surtout qu’ils sont révoqués lors du départ de la personne (Dentinnov vous donne la possibilité de désactiver l’accès à un utilisateur si besoin avec un simple clic sur l’espace administrateur).

SAUVEGARDES

Sauvegardes régulières
Pour veiller à la sécurité de vos données (hors données gérées par Dentinnov), il est vivement conseillé d’effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires par exemple). Vous pourrez alors disposer d’une copie de vos données suite à un dysfonctionnement de votre système d’exploitation ou à une attaque.
Recommandations
  • Sauvegarde personnelle régulière. 
  • Vous pouvez utiliser des supports externes tels qu’un disque dur externe réservé exclusivement à cet usage. 
  • Si vous optez pour un autre système de sauvegarde dans le cloud (autre que Dentinnov), soyez vigilant en prenant connaissance des conditions générales d’utilisation (confidentialité des données, localisation des données, disponibilité, irréversibilité des contrats, …).

TELECHARGEMENT

Politique de téléchargement
Si vous téléchargez un contenu sur des sites Internet dont la confiance n’est pas assurée, vous prenez le risque d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à jour et qui, le plus souvent, contiennent des virus.
Cela peut permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine pour espionner les actions réalisées sur vos postes de travails connectés sur votre réseau local, voler vos données personnelles, lancer des attaques, etc.
Recommandations
  • Téléchargez vos programmes sur les sites de leurs éditeurs ou d’autres sites de confiance. 
  • Pensez à décocher ou désactiver toutes les cases proposant d’installer des logiciels complémentaires. 
  • Désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant de les ouvrir afin de vérifier qu’ils ne contiennent aucune charge virale connue.

PARE-FEU LOCAL

La fonction pare-feu
Constitue la première ligne de défense de votre réseau local contre les menaces extérieures qui peuvent être notamment des logiciels nuisibles que l’on appelle programmes malveillants.
Ce sont des virus ou des logiciels espions qui attaquent ou infiltrent vos postes de travails afin de collecter ou de modifier vos données ou encore de perturber certaines fonctionnalités de votre système et, dans le pire des cas, de paralyser complètement votre système d’exploitation.
Les systèmes d’informations de votre établissement de santé n’étant pas figés, la configuration du pare-feu doit elle aussi bénéficier de mises à jour et d’un suivi afin de garantir son optimisation
Recommandations
  • Assurez-vous que vos postes de travails sont bien protégés par un antivirus et un pare-feu local.
  •  Verrouiller les services (ex. RDP) avec votre pare-feu.
  • Vérifier que tous les ports ouverts soient sécurisés correctement en appliquant une protection appropriée aux règles régissant ce trafic.
  • Les processus d’ajout, de suppression ou de modification des règles de pare-feu doivent être bien planifiés.

PARE-FEU LOCAL

Support de sensibilisation rédigé d’après les informations de l’ANSSI
Liens utiles aux bonnes pratiques de sécurité :

– Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) : https://www.ssi.gouv.fr/ 
– Commission Nationale de l’Informatique et des Libertés (CNIL) : https://www.cnil.fr/ 
– Service de l’Information Stratégique et de la Sécurité Économiques (SISSE) :
https://www.entreprises.gouv.fr/information-strategique-sisse 
– Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (Police nationale) : https://www.internet-signalement.gouv.fr

Leave a Reply

Your email address will not be published. Required fields are marked *