Les solutions d’authentification forte pour les professionnels de santé, explications avec DropCloud

L'authentification forte pour les professionnels de sante

Toute entreprise a besoin de se consacrer à la confidentialité de ses données. Elle concerne particulièrement les professionnels de santé, qui traitent des données hautement sensibles. Selon la CNIL, « les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ».

Or ces données sont appelées à être partagées, avec le patient, les médecins, l’organisme de sécurité sociale… Dès lors, il importe de s’assurer de l’identité des personnes avec qui s’opère l’échange d’information. Les protocoles classiques n’étant pas suffisants, DropCloud propose aux professionnels de santé une authentification forte pour protéger leurs données. La réglementation leur impose en effet des précautions particulières.

L'authentification forte pour les professionnels de sante

Qu’est-ce que l’authentification forte ? Sur quoi repose-t-elle ?

Dans la plupart des cas, nous nous authentifions grâce à un identifiant et un mot de passe. Il s’agit d’une identification faible, car ces données sont toujours les mêmes pour un même site. Nous avons même tendance à utiliser le même mot de passe pour accéder à plusieurs services : banque, téléphonie, compte mail… Or il existe des logiciels malveillants permettant de pirater facilement un mot de passe. Les keyloggers, par exemple, enregistrent les mots de passe lors de la frappe.

L’authentification faible revient finalement à déverrouiller une porte qui ne comporte qu’une serrure : le mot de passe. Pour obtenir une authentification forte, il faut en quelque sorte rajouter un verrou. Autrement dit, il faut exiger une seconde identification, reposant sur une méthode différente. L’authentification forte combine ainsi deux méthodes, reposant chacune sur un principe distinct. Ceux-ci peuvent s’appuyer sur :

  • Le mot de passe, ce que nous seuls savons
  • Notre téléphone, ce que nous seuls possédons
  • Une empreinte digitale, ce qui nous rend uniques.

Il existe également des possibilités moins courantes. La géolocalisation, l’analyse comportementale ou les réseaux sociaux…

Le One-Time Password

Comment mettre en œuvre un tel processus ? En effet, les solutions biométriques reposent sur l’identification par la voix, les empreintes digitales, l’iris de l’œil ou le visage. Elles sont encore peu courantes dans les utilisations grand public, même si le smartphone en facilite la mise en œuvre. Une autorité de certification reconnue délivre des certificats logiciels, qui reposent sur un chiffrement. La méthode la plus simple reste cependant l’usage d’un OTP ou One-Time Password, que nous avons déjà tous expérimentée. On utilise souvent cette méthode pour les transactions bancaires.

Le logiciel bancaire génère alors un mot de passe à usage unique. Il est généralement envoyé par sms ou par mail, ou via l’application bancaire. Il est valable pour un temps très court et pour une transaction donnée uniquement. Dès lors, comment choisir entre ces différentes méthodes ? Les professionnels de santé doivent prendre en compte le coût de la protection des données. Puis, la simplicité d’usage de la méthode d’authentification. Ils doivent également s’appliquer à répondre aux exigences de la loi.

 

L’authentification forte, une obligation légale pour les professionnels de santé

La législation HDS (Hébergeur des données de santés) oblige les professionnels de santé à sécuriser leurs données de santé lorsqu’elles sont hébergées à l’extérieur, notamment sur le cloud. Or, l’usage du cloud est aujourd’hui incontournable pour ces professionnels. Ils partagent en effet régulièrement des fichiers volumineux, avec les patients, les médecins, les organismes de santé. Ils utilisent très souvent des serveurs distants, car cette solution est plus sûre. Elle permet de plus le stockage de très gros volumes et externalise les problématiques de maintenance et de sécurité.

Pour autant, les professionnels de santé ne peuvent pas confier leurs données à n’importe quel hébergeur. Celui-ci doit détenir une certification HDS, en vertu de la loi de modernisation du système de santé du 26 janvier 2016.

« Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel. Recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu’en soit le support, papier ou informatique, ne peut avoir lieu qu’avec le consentement exprès de la personne concernée. », stipule le Code de la Santé publique.

Pour l’Agence du numérique en santé ou ASIP-Santé, cette réglementation s’impose à tout responsable de traitement qui externalise l’hébergement des données de santé à caractère personnel qu’il traite. Cela concerne également les mutuelles et assurances. La certification délivrée par l’ASIP Santé est accordée en fonction des caractéristiques techniques, juridiques et économiques de la prestation d’hébergement. Elle repose sur une double certification ISO27001/HDS.

 

Dropcloud santé, une solution certifiée reposant sur une authentification forte

DropCloud santé propose des solutions d’hébergement, de partage et d’envoi de fichiers volumineux pour les professionnels de santé. L’entreprise a obtenu la certification ISO27001/HDS en 2019. Cette certification est obligatoire pour les hébergeurs et les infogéreurs de données de santé. Elle garantit aux professionnels de santé une sécurité optimale, dans le respect de la législation en vigueur. Avec DropCloud, vos fichiers et vos bases de données sont stockés sur des serveurs sécurisés implantés exclusivement en France.

La connexion aux différents services de DropCloud, NeoBe Santé, WeDrop Santé, WeSend Santé repose sur un système d’authentification forte. L’utilisateur reçoit, à chaque connexion, un sms ou un mail de vérification. Cette méthode se révèle à la fois simple à mettre en œuvre et accessible à tout utilisateur. Elle est de plus extrêmement sûre. Avec Dropcloud, les professionnels de santé assurent la sécurité des données confidentielles de leurs patients dans le plus strict respect de la réglementation en vigueur.

Olivier CARRE
Olivier CARRE
Directeur Marketing et Commercial – DropCloud