Cybersécurité des cabinets dentaires
La convergence rapide de la technologie et des soins de santé a ouvert de nouvelles voies pour améliorer la prestation des services médicaux. Mais, elle expose également le secteur dentaire à des risques croissants en matière de cybersécurité. Les cabinets dentaires, de plus en plus numérisés, se trouvent confrontés à des défis majeurs en matière de protection des données. Comment concilier l’innovation technologique nécessaire au progrès des soins dentaires avec la nécessité impérieuse de garantir la confidentialité et la sécurité des informations médicales des patients ? Déjà, en commençant par appliquer les bonnes pratiques en matière de sécurité informatique au sein de votre cabinet dentaire ! Je remercie Dentinnov https://www.dentinnov.com/, partenaire de Club Santé Premium, pour le partage d’informations autour de ce sujet fondamental, qu’est la sécurité des données informatiques, afin d’aider les Chirurgiens-Dentistes libéraux à mieux piloter leur activité.
Cybersécurité des cabinets dentaires : vous êtes la cible …
Le numérique fait partie intégrante de nos vies personnelles et professionnelles et vous êtes désormais la principale cible des pirates.
Les nouvelles technologies, omniprésentes, sont porteuses de nouveaux risques qui peuvent peser lourdement sur vos établissement. Par exemple, les données de vos patients peuvent être dérobées par des attaquants informatiques ou récupérées en cas de perte ou vol de votre poste de travail.
Ce guide a pour objectif de vous informer sur les risques et les moyens de vous en prémunir en acquérant des réflexes simples pour sécuriser votre usage de l’informatique et assurer la cybersécurité au sein de votre cabinet dentaire. Chaque règle de sensibilisation est accompagnée d’une recommandation.
Attention …
- Ce support est réservé exclusivement aux seuls utilisateurs (praticiens, gestionnaires, assistantes) des établissement de santé (centres et cabinets dentaires).
- Ce support de sensibilisation à la cybersécurité des cabinets dentaires ne couvre pas l’emploi d’appareils mobiles (d’ordinateurs portables, smartphones ou de tablettes) lors de déplacements personnels ou professionnels. Voyager avec ces appareils nomades fait cependant peser des menaces sur des informations sensibles dont le vol ou la perte auraient des conséquences importantes.
- Ce support de sensibilisation à la cybersécurité des cabinets dentaires ne couvre pas l’accès à vos données avec des appareils mobiles qui sont clairement aujourd’hui très peu sécurisés.
- Ce support ne couvre pas les menaces de sécurité internes (qui peuvent provenir du personnel même des établissements de santé).
Cybersécurité : la politique générale
1- MOTS DE PASSE
Politique de mot de passe
Les mots de passe protégeant vos contenus sensibles (dossiers patients, comptes professionnels …) ne doivent jamais être réutilisés pour d’autres services.
Définissez un mot de passe unique pour chaque service sensible. Deux méthodes simples peuvent vous aider à définir vos mots de passe :
- La méthode phonétique : « J’ai acheté 5 CDs pour cent euros cet après-midi » : ght5CDs%E7am ;
- La méthode des premières lettres : « Allons enfants de la patrie, le jour de gloire est arrivé » : aE2lP,lJ2Géa!
Recommandations
- Les mots de passe doivent comporter au moins 12 caractères, des majuscules, minuscules, chiffres et caractères spéciaux… Ceci est valide pour vos systèmes d’exploitation et vos applications.
- Ne pas conserver les mots de passe dans des fichiers ou sur des post-it.
- Ne pas préenregistrer les mots de passe dans les navigateurs.
- Créer une alerte renouvellement des mots de passe (ex. tous les 6 mois) pour l’accès à votre poste de travail et à vos applications.
2- MISES A JOUR
Politique de mise à jour
Dans chaque système d’exploitation (MacOS, Windows, Linux, …), logiciel ou application, des vulnérabilités existent. Une fois découvertes, elles sont corrigées par les éditeurs qui proposent alors aux utilisateurs des mises à jour de sécurité.
Sachant que bon nombre d’utilisateurs ne procèdent pas à ces mises à jour, les attaquants exploitent ces vulnérabilités pour mener à bien leurs opérations encore longtemps après la découverte des failles de sécurité et leurs corrections.
Il vous convient donc, au sein de vos établissements de santé, de mettre en place certaines règles de mise à jours à vos utilisateurs.
Ce qui est vrai pour un système d’exploitation, l’est également pour les logiciels qui y sont installés (ex: navigateurs, anti-virus, etc.). Avant toute utilisation, quelle qu’elle soit, il convient de s’assurer le plus tôt possible que celui-ci est à jour. Les navigateurs et les antivirus les plus récents proposent tous une fonctionnalité de mise jour automatique.
Recommandations
- Il vous appartient de mettre régulièrement à jour votre OS et les différents logiciels que vous utilisez.
- Configurer les logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible. Sinon, téléchargez les correctifs de sécurité disponibles exclusivement sur les sites internets officiels des éditeurs.
- Certains postes de travail ne se mettent pas à jour automatiquement. Il vous convient de vérifier si vous possédez les dernières version notamment sur les systèmes d’exploitation et les logiciels de sécurité.
- Migration: anticiper la fin de la maintenance des systèmes.
3- COMPTES UTILISATEURS
Gestion des comptes utilisateurs
Lorsque vous accédez à votre ordinateur, vous bénéficiez de droits d’utilisation plus ou moins élevés sur celui-ci. On distingue les droits dits « d’utilisateur » et les droits dits « d’administrateur».
Dans l’utilisation quotidienne de votre ordinateur (naviguer sur Internet, lire ses courriels, utiliser des logiciels…), prenez votre compte utilisateur créé spécialement pour vous.
Le compte administrateur n’est à utiliser que par le responsable d’établissement de santé qui pourra intervenir sur le fonctionnement global de :
- Son application métier, à l’instar de celle de Dentinnov (gérer les droits d’accès à des dossiers patients, comptabilité, prises de rendez-vous, …).
- Des postes de travail (gérer des comptes utilisateurs, modifier la politique de sécurité, …).
Recommandations
- Pour des raisons de traçabilités, chaque utilisateur doit être identifié. Il est strictement interdit de se connecter sur un autre compte utilisateur que le sien au niveau du poste de travail et au niveau de l’application métier, type Dentinnov.
- Éteindre ou verrouiller son poste lors d’une absence « longue » (rendez-vous extérieur, pause déjeuner, le soir…).
- Verrouillage auto de la session au bout d’un certain temps (Dentinnov le fait pour vous en cas d’inactivité …).
- Etablir une procédure qui gère les nouvelles arrivées dans votre établissement de santé et les départs de personnel pour vous assurer que les droits octroyés sur les systèmes d’information sont appliqués au plus juste et surtout qu’ils sont révoqués lors du départ de la personne (Dentinnov vous donne la possibilité de désactiver l’accès à un utilisateur si besoin avec un simple clic sur l’espace administrateur).
4- SAUVEGARDES
Sauvegardes régulières
Pour veiller à la sécurité de vos données (hors données gérées par Dentinnov), il est vivement conseillé d’effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires par exemple). Vous pourrez alors disposer d’une copie de vos données suite à un dysfonctionnement de votre système d’exploitation ou à une attaque.
Recommandations
- Sauvegarde personnelle régulière.
- Vous pouvez utiliser des supports externes tels qu’un disque dur externe réservé exclusivement à cet usage.
- Si vous optez pour un autre système de sauvegarde dans le cloud (autre que Dentinnov), soyez vigilant en prenant connaissance des conditions générales d’utilisation (confidentialité des données, localisation des données, disponibilité, irréversibilité des contrats, …).
5- TELECHARGEMENT
Politique de téléchargement
Si vous téléchargez un contenu sur des sites Internet dont la confiance n’est pas assurée, vous prenez le risque d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à jour et qui, le plus souvent, contiennent des virus.
Cela peut permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine pour espionner les actions réalisées sur vos postes de travails connectés sur votre réseau local, voler vos données personnelles, lancer des attaques, etc.
Recommandations
- Téléchargez vos programmes sur les sites de leurs éditeurs ou d’autres sites de confiance.
- Pensez à décocher ou désactiver toutes les cases proposant d’installer des logiciels complémentaires.
- Désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant de les ouvrir afin de vérifier qu’ils ne contiennent aucune charge virale connue.
6- PARE-FEU LOCAL
La fonction pare-feu
Cette fonction onstitue la première ligne de défense de votre réseau local contre les menaces extérieures qui peuvent être notamment des logiciels nuisibles que l’on appelle programmes malveillants.
Ce sont des virus ou des logiciels espions qui attaquent ou infiltrent vos postes de travails afin de collecter ou de modifier vos données ou encore de perturber certaines fonctionnalités de votre système et, dans le pire des cas, de paralyser complètement votre système d’exploitation.
Les systèmes d’informations de votre établissement de santé n’étant pas figés, la configuration du pare-feu doit elle aussi bénéficier de mises à jour et d’un suivi afin de garantir son optimisation
Recommandations
- Assurez-vous que vos postes de travails sont bien protégés par un antivirus et un pare-feu local.
- Verrouiller les services (ex. RDP) avec votre pare-feu.
- Vérifier que tous les ports ouverts soient sécurisés correctement en appliquant une protection appropriée aux règles régissant ce trafic.
- Les processus d’ajout, de suppression ou de modification des règles de pare-feu doivent être bien planifiés.
Cybersécurité des cabinets dentaires : pour aller plus loin…
Support de sensibilisation rédigé d’après les informations de l’ANSSI
Liens utiles aux bonnes pratiques en matière de cybersécurité :