Passer au contenu principal

Cybersécurité : tous concernés !

Les médecins libéraux sont tenus de respecter certaines obligations en matière de cybersécurité. La prévention du risque ne doit pas être sous-estimée. La gestion des incidents non plus.

Un contexte préoccupant

Conséquence directe du déploiement massif des nouvelles technologies dans le champ médical, les cyberattaques ont explosé ces dernières années. La menace concerne principalement les établissements hospitaliers, mais les médecins libéraux ne sont plus épargnés. Intrusion et hameçonnage sur les postes informatiques, vol de données personnelles, interception des communications professionnelles… Les risques sont multiples et les conséquences importantes, tant sur le fonctionnement du cabinet médical que sur la confidentialité des données. Prisés par les pirates informatiques, les rançongiciels peuvent bloquer des outils de travail essentiels pendant des jours, voire des semaines, mais aussi entraîner la perte ou l’exploitation frauduleuse de certaines informations sensibles.

Responsabilité et sanction

La préservation du secret médical est une obligation légale et déontologique, y compris dans la sphère numérique. Dans le cadre du RGPD, les médecins libéraux sont responsables de la confidentialité, de l’intégrité et de la sécurité des données de leurs patients, quand bien même la faute viendrait d’un de leurs prestataires techniques (hébergeurs, plateformes de prise de rendez-vous en ligne…). Leur responsabilité peut même être majorée en fonction de la sensibilité des données compromises. Autre obligation notable : chaque fuite, criminelle ou accidentelle, doit être immédiatement notifiée auprès de la CNIL. Les patients concernés doivent également être informés. En cas de manquement, les sanctions encourues ne sont pas anodines*.

Sept conseils pratiques

Pour prévenir la grande majorité des tentatives de cyberattaques, la MACSF fournit sept conseils pratiques : contrôler et surveiller les accès aux matériels fixes et mobiles ; respecter les règles d’utilisation de la carte CPS ; sécuriser les mots de passe informatiques ; sauvegarder systématiquement les données ; utiliser une messagerie sécurisée pour transmettre des documents confidentiels ; connaître et respecter les contraintes du RGPD ; s’informer et se former régulièrement aux risques numériques. Une bonne hygiène informatique ne suffit pas toujours. La gestion des cyber-incidents est également un enjeu critique. Il faut agir très rapidement pour limiter les dommages, même en cas de doute.

Une assurance spécifique

Au-delà des recommandations de bonnes pratiques, la MACSF propose une assurance spécifique contre les cyber-risques. Automatiquement incluse dans les contrats d’assurance multirisque professionnelle, elle contient trois garanties : une assistance téléphonique permanente pour gérer les incidents, la couverture des dommages subis par votre cabinet et la couverture des dommages causés aux tiers. En cas de doute sur un mail ou un fonctionnement inhabituel, un conseiller se chargera de vous accompagner dans vos premières démarches, notamment auprès de votre hébergeur et de votre fournisseur d’accès internet, mais aussi de faire valoir vos droits en cas de dégâts sur votre système informatique.

(*) Il y a deux ans, un chirurgien libéral a écopé d’une amende de 2 500 euros pour avoir laissé des milliers de données médicales en libre accès sur Internet, via des serveurs non sécurisés.

Deux gestes-barrières essentiels

Selon les experts, le manque de rigueur dans la gestion des mots de passe est l’une des principales causes d’intrusion informatique. Il est donc fortement recommandé de composer une série alphanumérique de plus de douze caractères, comportant des minuscules, des majuscules, des chiffres et des signes spéciaux, qui doivent être mémorisés et non notés sur un support accessible à un tiers. Une authentification à double facteur est également conseillée. Chaque compte ou chaque application doit avoir son propre mot de passe. Autre geste-barrière indispensable : les données médicales doivent être régulièrement sauvegardées sur des supports amovibles, déconnectés du poste informatique entre deux sauvegardes, et conservés dans un lieu sécurisé.