vous êtes ici :///Comment assurer la sécurité des données de santé

Comment assurer la sécurité des données de santé

Qu’il s’agisse de soins, de dépistage ou de prévention, la révolution digitale est en marche et les objets connectés se multiplient, faisant exploser le nombre de données de santé. Des données sensibles, exposées et convoitées. A quels types de menaces doivent elles faire face ? Comment et qui doit les protéger ? Comment faire de la sécurité un atout pour soigner encore mieux et sauver des vies ? Les réponses de l’ASIP Santé, l’agence française de la santé numérique. 

Des données sensibles

  • Sensibles, parce qu’elles sont privées et convoitées. Encadrées par la loi Kouchner de 2002, les données de santé relèvent de la vie privée du patient et sont de ce fait soumises au secret professionnel, donc protégées. Ce qui explique pourquoi certains laboratoires ou industriels peu scrupuleux veulent s’en emparer et sont prêts à payer jusqu’à 300 $ la donnée.
  • Vulnérables, parce que les équipements sont vieillissants et les protections moins efficaces que dans d’autres secteurs. Moins d’outils de scan de vulnérabilité, moindre connaissance des menaces, grande obsolescence du matériel bureautique, … une récente étude CISCO pointe les failles des systèmes d’information dans la santé.
  • Exposées, parce que le système de santé est nécessairement ouvert à une multitude d’acteurs et d’objets connectés peu sécurisés. Avec des patients et des médecins, qui veulent échanger de plus en plus. Un défi quand on sait que cela concerne près de 150.000 structures et 1 million de personnels de santé dont la priorité est la santé pas la sécurité.

De la simple panne au vol : des menaces variées

Trois types de menaces

  • Les actes de malveillance. Qu’il s’agisse de la dégradation physique ou du vol d’un matériel, d’un virus destiné à bloquer, ralentir ou détruire un système informatique ou encore d’un vol de données de santé avec ou sans rançon, les actes de malveillance représentent une part croissante des failles.
  • Les pannes ou dysfonctionnements. Consécutives à un défaut de maintenance, à la vétusté d’un matériel, à une incompatibilité entre logiciels ou encore à un mésusage, les pannes et dysfonctionnements peuvent aussi résulter d’un acte de malveillance. Leur gravité peut aller d’un simple bug à une perte irréversible des données.
  • Les erreurs, oublis et autres mésusages. Prêter son mot de passe, laisser trainer sa CPS, envoyer par mail des informations non protégées, oublier de sauvegarder, cliquer sur un mail douteux, … nombreux sont les gestes du quotidien dont les conséquences peuvent être graves.

Des données essentielles pour bien soigner les patients

Indispensable pour soigner et sauver des vies, la sécurité des systèmes d’information en santé permet d’assurer à tous des données disponibles, confidentielles, fiables, partagées et traçables.

  • Des données disponibles pour limiter le risque de perte de chance.
  • Confidentielles pour préserver le secret professionnel.
  • Fiables et exactes pour un diagnostic rapide et juste.
  • Partagées pour permettre la coordination des soins.
  • Traçables pour conserver l’historique des antécédents et des actes réalisés.

Notre mission : fournir un cadre pour pouvoir échanger et partager des données de santé en toute sécurité

Notre modèle, un cadre à la fois structuré et souple
En tant qu’opérateur de l’Etat dédié au numérique de santé, l’ASIP Santé fournit un cadre sécurisé permettant aux patients comme aux professionnels d’échanger des données de santé en toute confiance. Ce cadre, à la fois structuré et souple parce que co-construit avec notre écosystème, est une spécificité du modèle Français et un atout.

Nos solutions de confiance
Pour pouvoir échanger et partager des données de santé en toute sécurité l’ASIP Santé

  • Elabore les référentiels et guides de la Politique Générale de Sécurité des systèmes d’information de santé (PGSSI-S) qui s’applique à tout le secteur sanitaire et médico-social.
  • Gère le dispositif CPS qui permet d’identifier et d’authentifier les professionnels de santé tout au long de leur exercice grâce à un Répertoire Partagé des Professionnels de Santé (RPPS), une Carte de Professionnel de Santé (CPS) sans contact ainsi que des certificats électroniques en ligne.
  • A conçu les Messageries sécurisées MSSanté, utilisables au cabinet comme à l’hôpital ou sur Smartphone et intégrées à la plupart des logiciels du marché.
  • Instruit les dossiers de demande d’agrément des hébergeurs pour le compte du comité d’agrément.
  • Développe l’interopérabilité indispensable à la disponibilité et à la fiabilité des données
  • Analyse les risques SI de tous les projets qu’elle accompagne, notamment pour le compte du ministère.

Sécurité des données de santé : tous concernés !

Des obligations légales
Loin d’être une affaire de spécialistes, la sécurité des données de santé est l’affaire de tous et notamment des professionnels de santé qui ont des obligations légales :

  • Pour l’échange : informer le patient, limiter l’échange aux personnes concernées et aux données utiles.
  • Pour le partage : obtenir le consentement du patient, limiter le partage aux personnes ou services. Concernées.
  • Pour la protection : respecter les 5 principes de la loi Informatique et liberté (1978).
  • Pour la conservation : fixer une durée et s’assurer de la restitution des données en cas de sous-traitance.

Une vigilance au quotidien

  • Promouvoir la sécurité : maitriser les fondamentaux, sensibiliser ses équipes et informer ses patients.
  • Sécuriser le lieu d’exercice et les équipements : protéger les équipements contenant les données du vol et des courts-circuits, protéger la connexion internet et le réseau local, gérer et préserver les mots de passe, mettre en place des antivirus, pare-feu et logiciels de chiffrement, mettre à jour les logiciels et vérifier leur authenticité.
  • Maîtriser l’accès aux informations : utiliser sa CPS conformément aux recommandations, éviter de multiplier les comptes, gérer les profils, protéger les comptes les plus sensibles,
  • Limiter les incidents et leurs conséquences : tracer les actions réalisées sur les données et les événements informatiques, anticiper les incidents, gérer les incidents conformément aux recommandations, sauvegarder régulièrement.
2017-11-07T16:36:34+00:00