Challenge
Dans le domaine médical, le médecin ou cabinet médical, est responsable du traitement des informations et données de ses patients.
Référentiel
Les professionnels de santé doivent se fier au Référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux publié par la CNIL le 28 juillet 2020
Voici les points qui nous concernent ( page 9 à 12 )
Pour les utilisateurs accédant aux données de santé, utiliser une authentification forte via leur carte de professionnel de santé (CPS) ou tout moyen alternatif à deux facteurs.
- Attribuer un profil d’habilitation adapté à chaque utilisateur (distinguant notamment les données administratives et les données médicales)
- Limiter le stockage d’informations d’ordre médical sur une tablette ou un ordiphone (en raison des conséquences pour les patients en cas de vol ou de perte du matériel). Si ces équipements sont utilisés, leur niveau de sécurisation des données doit être équivalent à celui des autres équipements (chiffrement, codes d’accès, etc.)
- Limiter l’utilisation de supports de stockage amovibles (clés USB, disques dur externe) et chiffrer systématiquement les données sensibles qui y sont conservées.
- Protéger le réseau informatique interne : Limiter les connexions d’appareils non professionnels et les flux réseau au strict nécessaire, bloquer les protocoles et ports qui ne sont pas utilisés. Sécuriser les accès distants des appareils informatiques nomades par un VPN, mettre en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi
- Sécuriser les serveurs : Permettre l’installation sans délai des mises à jour critiques, Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées, effectuer ou permettre l’exécution des sauvegardes régulières, Stocker les supports de sauvegarde dans un endroit sûr.
- Authentifier les utilisateurs : Définir un identifiant propre à chaque utilisateur, Intégrer une politique de mots de passe utilisateur conforme aux recommandations de la CNIL. Obliger l’utilisateur à changer son mot de passe après réinitialisation, limiter le nombre de tentatives d’accès à un compte, pour les utilisateurs accédant aux données de santé, exiger une authentification forte via leur carte de professionnel de santé (CPS) ou tout moyen alternatif à deux facteurs, supprimer les permissions d’accès obsolètes.
- Sécuriser les postes de travail avec un pare-feu logiciel, mettre en œuvre des antivirus, chiffrer les données stockées.
- Sauvegarder et prévoir la continuité d’activité : Prévoir des sauvegardes régulières. Prévoir le stockage des supports de sauvegarde dans un endroit sûr. Prévoir des moyens de sécurité pour le convoyage des sauvegardes le cas échéant. Prévoir et tester régulièrement la continuité d’activité.
Categorie
Sécurisation d'accès, sauvegarde et chiffrement des données.
Client
Professionnels de Santé
Solution
Serveur NAS, Pare-feu, Antivirus, sauvegarde distante.
En plus
Maintenance et gestion à distance
Solution
- Sécurisation du réseau avec la mise en place d’un Pare-Feu.
- Implémentation d’un serveur pour la sécurisation des accès aux données (identifiants / authentification / mots de passe) conforme aux recommandations RGPD.
- Mise en place sur ce serveur des services : VPN, Antivirus, Gestion distante.
- Créer sur ce serveur une structure de dossiers avec des droits d’accès limités selon les utilisateurs de santé.
- Mettre en place une sauvegarde externe automatique cryptée doublée d’une sauvegarde sur site également cryptée.
- Installer des antivirus sur les postes de travail et en assurer la mise à jour.
- Assurer la maintenance préventive et la sécurisation des accès ainsi que des sauvegardes.
