Comment faire pour… sécuriser son système informatique

1Se conformer aux exigences réglementaires

En tant que professionnel de santé, responsable du traitement des données de ses patients, le pharmacien doit mettre en place des mesures de protection et de sécurité et prouver leur conformité au règlement général sur la protection des données personnelles (RGPD) : registre de traitement des données personnelles réalisé à l’officine, contrats avec les sous-traitants, mise en place de procédures internes pour garantir un haut niveau de protection, respect du droit des personnes sur leurs données, etc.

2Etre sensible à la cybercriminalité et au piratage informatique

«   Une attaque informatique vient le plus souvent d’une erreur humaine   », avertit Pierre-Antoine Drubay, pharmacien d’officine et chef de projet numérique chez Observia. Il rappelle les règles de base pour se protéger :

– Ne pas ouvrir les courriels douteux et leurs pièces jointes, ne pas cliquer sur les liens provenant d’expéditeurs inconnus ou d’expéditeurs connus mais dont la structure de message est inhabituelle ou vide ;

– Vérifier systématiquement l’adresse du site internet qui s’affiche dans le navigateur et s’assurer de son exactitude avec l’adresse officielle du site internet concerné ;

– Ne jamais communiquer d’éléments d’authentification par messagerie ou téléphone ;

– Ne pas mélanger messagerie personnelle et professionnelle ;

– Authentifier systématiquement les interlocuteurs au téléphone (agent de la Sécurité sociale, médecin, etc.) avant de leur transmettre des informations confidentielles.

3Sécuriser l’informatique officinale

Une bonne sécurité commence déjà par un mot de passe avec une complexité suffisante (au moins 8 caractères, un nombre, une majuscule, une minuscule, un signe de ponctuation ou un caractère spécial). Interdiction absolue de le communiquer à un tiers ou de le laisser à la vue de tout le monde par des erreurs grossières (post-it sur l’écran d’ordinateur, carnet de mots de passe en libre accès, etc.). Il faut penser aussi à changer de mot de passe à une fréquence raisonnable, par exemple tous les 3 mois.

Les postes de travail doivent être sécurisés : création d’un code opérateur pour chaque collaborateur, pas de compte unique partagé, verrouillage automatique des sessions après 30 minutes d’inactivité et du poste quand il n’est plus utilisé. Le wifi, s’il est proposé à la clientèle, doit être différent de celui utilisé par l’équipe officinale. « Ne connectez sur le réseau du lieu d’exercice que des matériels informatiques à usage professionnel », conseillePierre-Antoine Drubay. Il ajoute : « Aucun système informatique n’est sûr à 100 %. » Toutefois, mieux il est protégé, plus dure sera la tâche des hackers. « Appliquez de manière régulière et systématique les mises à jour de sécurité du système et des logiciels, tenez à jour l’antivirus et configurez votre pare-feu, vérifiez qu’il ne laisse passer que des applications, services et machines utiles à votre activité   », recommande-t-il.

L’une des meilleures façons de se prémunir contre les pertes de données à la suite d’une attaque est de les sauvegarder régulièrement (au moins 1 fois par semaine) dans un environnement sécurisé (chez un hébergeur agréé de données de santé) ou sur un support externe (une clef USB ou un disque dur externe chiffrés) à ranger en dehors de l’officine. Enfin, il faut penser à nommer un responsable des opérations de sauvegarde réalisées dans l’officine.

4 Choisir un sous-traitant

Si le traitement des données des patients est confié à un prestataire (logiciel de gestion en officine ou LGO, gestionnaire du tiers payant, outil en ligne de télémédecine, sauvegarde externalisée en cloud, extracteur et collecteur de données, etc.), veiller à ce qu’il apporte des garanties en matière de sécurité et de confidentialité des données (ex : hébergeur agréé données de santé). Les relations avec lui doivent être formalisées par un contrat fixant avec précision le contenu de ses prestations (finalité des données utilisées, destinataires, échéance de suppression). §