Les enjeux du transfert de fichiers santé

Parce qu’ils comportent des données complexes, les fichiers santé sont souvent très volumineux. Imagerie, vidéo, graphiques, le poids de ces fichiers est considérable, et souvent peu compatible avec les possibilités offertes par une boîte mail classique. Celles-ci excèdent rarement 10 à 25 Mo pour une pièce jointe.

Autre problématique essentielle, la confidentialité des données de santé. Les données de santé font partie des données personnelles sensibles. Le professionnel de santé a le devoir de tout mettre en œuvre pour garantir leur protection. À l’ère de la numérisation, cela passe par la sécurisation de l’hébergement et du transfert de ces données. Or, les boîtes mail classiques n’offrent pas de garanties suffisantes à cet égard. En effet, elles ne proposent généralement pas le chiffrement des données transmises. Celles-ci se trouvent particulièrement exposées lors des phases d’envoi et de transfert. Ces phases délicates sont d’ailleurs la cible des pirates du web.

Dès lors, les professionnels de santé ne peuvent se permettre de transférer un compte-rendu à un collègue par mail, ni de partager par ce canal des résultats avec un patient. Il doit choisir une solution d’hébergement et de partage de données vraiment sécurisée.

La solution Mailiz et ses limites

Comment remplir ces obligations ? Afin d’aider les professionnels à garantir la sécurité des données de santé, l’Agence du numérique en santé (ANS) propose un service de messageries sécurisées regroupées au sein d’un « espace de confiance » baptisé MSSanté. Les messageries de l’espace MSSanté possèdent un annuaire commun certifié de l’ensemble des professionnels de santé, praticiens, structures, industriels, etc.

Dans cette logique, l’ANS et les Ordres de santé ont développé une messagerie propre, baptisée Mailiz, intégrée à l’espace de confiance MSSanté. Le professionnel peut, en quelques secondes, créer son compte Mailiz grâce à sa Carte de professionnel de santé. Cette messagerie présente l’intérêt d’être gratuite et d’offrir le niveau de sécurité requis pour le transfert des données de santé. Elle possède cependant des limites sur le plan technique, qui font que son utilisation peut se révéler insatisfaisante. Tout d’abord, la taille des pièces jointes ne peut excéder 10 Mo, ce qui est relativement modeste. Ensuite, le nombre maximal de destinataires est de quarante. Il ne peut inclure de patients, puisque Mailiz est réservé aux professionnels de santé. Le praticien doit donc trouver un autre moyen pour communiquer avec ses patients. Il utilise alors généralement une messagerie classique, et donc mal sécurisée. Enfin, l’espace de stockage associé à Mailiz est de 2 Go, et peut sembler bien insuffisant au regard de la masse d’informations traitées par un professionnel de santé.

WeSend Santé, une solution de transfert de fichiers certifiée et sécurisée

La solution WeSend de DropCloud, représente une alternative à la fois plus souple et tout aussi sûre.

Côté ergonomie, l’interface est simple et intuitive. Vous pouvez, en quelques clics, envoyer des fichiers volumineux jusqu’à 10 Go, et ce sans limite de nombre. Vous pouvez également recevoir des fichiers et inviter des tiers, quels qu’ils soient, à en déposer à leur tour. L’usage de WeSend Santé n’est donc pas limité aux seuls professionnels de santé ; patients et fournisseurs peuvent aussi l’utiliser. C’est vous qui décidez de la création, de la modification ou de la suppression d’un compte utilisateur. WeSend vous propose d’ailleurs un annuaire rassemblant ces différents contacts. Vous bénéficiez également d’un suivi en temps réel des actions des destinataires et de la traçabilité des envois. Enfin, sachez que l’interface WeSend est personnalisable et peut arborer les couleurs de votre structure de santé. Retrouvez plus d’informations : https://www.wesend-sante.fr/#fonctionnalites

Certifications pour l’hébergement de fichiers de santé

Les solutions DropCloud offrent de solides garanties. elles bénéficient de la double certification ISO 27001 et HDS (hébergeur de données de santé), indispensable pour prendre en charge vos données sensibles. Le Code de la santé publique précise en effet que « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet. »

Cet agrément assure la mise en œuvre de technologies avancées pour sécuriser les transferts. Ainsi, WeSend Santé utilise un certificat SSD, un chiffrement des données AES256, et exige une double authentification pour l’accès à vos données. Autre avantage, non négligeable, les serveurs hébergeant vos fichiers sensibles sont situés en France.

Sécurité, simplicité, efficacité, WeSend Santé est la solution de transfert de fichiers pour les professionnels de santé. Parce que les données personnelles des patients méritent les plus grands égards.

L’article Transfert de fichiers des professionnels de santé : attention données sensibles est apparu en premier sur DropCloud Santé.

L’enjeu de la manipulation des données de santé

En premier lieu nous allons définir ce qu’est une donnée de santé afin de mieux comprendre l’intérêt et l’importance de celle-ci. La CNIL (Commission Nationale de l’Informatique et Libertés) présente une définition inspirée de celle du RGPD (Règlement Général de Protection des Données), entré en vigueur le 25 mai 2018.

« Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »

Parmi ces informations, on retrouve :

• Celles concernant la personne physique : par rapport à ses coordonnées, son image ou tout élément permettant d’identifier la personne concernée.
• Les résultats après des tests ou examens d’une partie du corps
• Les renseignements sur une maladie (physique ou mentale, handicap, traitement clinique…) quelle qu’elle soit d’une personne physique

Lorsqu’un professionnel de santé reçoit un patient, il a le devoir d’opérer le secret professionnel. Ainsi lors de la récolte ou lors du transfert d’informations d’un patient à un autre professionnel de santé, l’échange doit se faire de façon sécurisée afin que ces données ne soient pas perdues ou volées pendant l’acheminement.

Le RGPD et la santé

Tous les pays européens et tout organisme exerçant dans ou avec ces pays ont l’obligation d’appliquer le Règlement Général de Protection des Données (RGPD). Il stipule que les professionnels de santé doivent mettre en place des pratiques assurant la sécurité des données de santé.

Il faut par exemple, garantir l’identité de la personne lors d’un accès à une information confidentielle avec l’utilisation de la carte professionnel de santé. L’authentification doit se faire avec un mot de passe personnel et en double authentification pour plus de sécurité. Il est important de privilégier le chiffrement de données en cas d’utilisation du réseau internet.

En tant qu’organisme de santé, vous devez être en mesure de prouver à tout moment votre conformité au RGPD. Dans certains cas, si vous considérez que votre établissement de santé traite des données à grande échelle, un DPO doit être désigné. Le Data Protection Officer assurera la protection des données, informera et conseillera le personnel.

La transparence, vis-à-vis de vos patients, des informations récoltées est primordiale pour qu’ils vous fassent confiance à l’avenir. Ces règles en matière de cybersécurité sont présentes pour garantir au maximum la confidentialité de vos patients.

La certification HDS et ses avantages

La crise sanitaire a accentué les cyber-attaques envers les établissements de santé, ces derniers sont devenus les proies idéales des hackers. En 2020, les hôpitaux représentent à eux seuls 11% des attaques informatiques en France. Avec le surmenage dû à la pandémie, la cybersécurité n’est pas la priorité. Cependant une attaque peut causer énormément de dommages pour un hôpital et ses patients, car toutes les informations indispensables à leur santé sont digitalisées.

Depuis le 1^er avril 2018, la certification Hébergeur de Données de Santé (HDS) vous permet de traiter des données à caractère personnel de santé. Ainsi vous respectez les réglementations grâce à cette certification. De plus, vous obtenez une certaine crédibilité quant à votre capacité de sécurisation des données.

Afin qu’un hébergeur de santé puisse être reconnu, il faut mettre en place :

• La plateforme d’hébergement d’application du Système d’information
• L’exploitation du système contenant les données de santé
• L’infrastructure virtuelle du système d’information
• L’infrastructure matérielle du système d’information
• La mise en place de la sauvegarde des données de santé

L’hébergeur de données de santé avec la certification HDS assure la cybersécurité de façon optimale, d’un établissement de santé.

Le cas du Health Data Hub

Certaines failles sont encore visibles au niveau de la souveraineté dans le domaine de la santé. Il vaut mieux choisir un hébergeur de santé européen, car des barrières au RGPD peuvent vite être mise en place. Le Health Data Hub est une plateforme française, mise en place par le Gouvernement. Elle réunit l’ensemble des données de santé SNDS (Système National des Données de Santé) en utilisant l’Intelligence Artificielle pour la Recherche.

L’hébergeur de données choisi est Microsoft, ce qui pose un problème au RGPD. En effet, cette entreprise est américaine et doit appliquer le Cloud Act. Le Cloud Act est une loi américaine qui donne la possibilité aux autorités d’accéder aux données confidentielles des organisations américaines lors d’une procédure pénale. C’est-à-dire qu’une entreprise comme Microsoft implantée en France et qui doit respecter le RGPD, doit également respecter le Cloud Act.

Donc si les autorités américaines demandent les données du Health Data Hub lors d »une investigation, ils devront les dévoiler. Cela n’est plus en adéquation avec les engagements de confidentialités des organismes de santé. Le Health Data Hub vont sûrement privilégier un hébergeur de santé français à l’avenir.

Dropcloud santé, certifié HDS

Dropcloud santé propose des solutions de travail en ligne avec un but de sécurité informatique pour les établissements de santé. Ainsi, les professionnels peuvent bénéficier de l’envoi de fichiers volumineux avec WeSend. Mais également du partage de fichiers en ligne avec WeDrop et de la sauvegarde en ligne sécurisée avec Neobe.

Cette entreprise est certifié ISO 27001 HDS (Hébergeur de Données de Santé). Elle est par ailleurs basée exclusivement en France. Elle est totalement conforme aux exigences en matière de RGPD.

L’article La certification HDS assure la sécurité de vos données de santé est apparu en premier sur DropCloud Santé.

Ce fut le cas en septembre 2020 en Allemagne, après le décès d’une patiente de l’hôpital de Düsseldorf lors d’une cyberattaque. Pourtant, les établissements de santé n’ont pas les moyens de payer. De plus, les hôpitaux publics français ont pour consigne de ne jamais céder à ce type de chantage.

Le plan de l’Etat pour la cybersécurité des hôpitaux

Ces événements regrettables ont poussé les pouvoirs publics à agir. Le 18 février dernier, le président de la République a présenté les grandes lignes de la stratégie cybersécurité envisagée dans le domaine de la santé par l’Etat. En premier lieu, le Ségur de la santé prévoit une enveloppe de 350 millions d’euros destinée spécifiquement au renforcement de la cybersécurité des établissements de santé. De plus, le budget cybersécurité de l’État prévoit de consacrer 25 millions d’euros à des audits de sécurité dans ces structures et au déploiement d’un service national de cybersurveillance en santé. Les projets présentés par les hôpitaux devront dédier, pour obtenir le soutien de l’état, 5 à 10 % de leur budget informatique à la sécurité.

Le gouvernement met également en avant le concept d’« hygiène numérique », bonnes pratiques qui seront enseignées dans toutes les formations du secteur de la santé.

Enfin, 135 groupements hospitaliers français doivent intégrer la liste des opérateurs de services essentiels. Cela impliquera pour eux le renforcement des règles de sécurité informatique sous le contrôle de l’Agence nationale de la sécurité des systèmes d’information.

L’ANSSI devrait d’ailleurs voir ses effectifs grimper à 600 personnes d’ici la fin de l’année 2021.

Des moyens et des exigences de sécurité renforcés

Autre ambition gouvernementale, créer un « écosystème de la sécurité ». Celui-ci reposerait sur un renforcement des liens entre recherche privée et publique. L’Etat souhaite ainsi réduire la part des acteurs étrangers qui représenteraient aujourd’hui entre 30 et 40 % du marché de la cybersécurité. Il projette pour cela la création d’un vaste « Campus cyber » à La Défense. Il rassemblerait une soixantaine d’acteurs essentiels du secteur, start-up, formateurs, grandes entreprises, acteurs publics. À terme, cette organisation permettrait de doubler les effectifs de la filière, pour atteindre 40 000 emplois. Ce projet bénéficierait à l’ensemble des organismes et entreprises français, dont les hôpitaux et structures de santé.

Le plan de l’Etat sur la cybersécurité repose sur le constat que les organismes de santé ont longtemps négligé leur sécurité informatique. Si le manque de moyen est certainement en cause pour l’hôpital public, cette attitude repose aussi sur l’idée fausse de ne pas être une cible.

Or, même si les attaques étaient plus rares avant 2020, aucune entreprise, fut-elle de santé, n’est à l’abri d’une perte de données. Une perte de données peut être accidentelle. Elle peut découler d’une erreur humaine, d’un incident informatique ou encore d’un sinistre. La multiplication des cyberattaques vient seulement mettre en lumière l’impréparation des organismes de santé face à ces enjeux. Or ces derniers, qui gèrent des données personnelles très sensibles, doivent pourtant répondre à des normes de sécurité très strictes.

Dropcloud santé : des solutions sécurisées pour les professionnels de santé

La sécurité des données de santé doit être assurée à toutes les étapes : traitement, stockage, partage. Les organismes de santé doivent mettre en œuvre un système de sauvegarde opérant à tous ces niveaux. Dropcloud Santé vous propose une offre complète pour votre sécurité informatique, comprenant le transfert de dossiers volumineux (WeSend), le partage de documents en ligne (WeDrop) et la sauvegarde en ligne sécurisée (NeoBe). La sauvegarde en ligne est en effet aujourd’hui un élément incontournable de la cybersécurité. Elle permet de multiplier les versions et les supports de stockage. Si l’un de ces supports est détruit ou endommagé, vous conservez malgré tout un ou plusieurs exemplaires de vos documents.

Par ailleurs, la sécurité des hébergeurs spécialisés est généralement supérieure à celle des entreprises publiques ou privées. C’est particulièrement vrai pour ceux qui, comme DropCloud, disposent d’une certification ISO 27001— HDS. Cette double reconnaissance caractérise les systèmes répondant aux normes de sécurité internationale de systèmes d’information. L’extension HDS ou hébergeur de données de santé garantit une sécurité optimale pour les professionnels de la santé.

Avec DropCloud, vos données sont entre de bonnes mains. Nos serveurs sont exclusivement hébergés en France et vos données sont cryptées de bout en bout. Leur protection est assurée par mot de passe, certificat SSL 128 bits, chiffrement des fichiers, suppression après téléchargement. En cas de problème sur vos serveurs internes, nous vous garantissons une restauration immédiate, accessible 24 h sur 24. Notre accompagnement téléphonique vous permettra de mener à bien cette opération. DropCloud est votre meilleur atout en matière de cybersécurité.

L’article La stratégie de l’État pour assurer la cybersécurité des établissements de santé est apparu en premier sur DropCloud Santé.

En 2020, les structures de santé cibles privilégiées des cyberattaques

En 2020, 91 % des organisations françaises auraient subi au moins une cyberattaque, et 65 % auraient été visées plusieurs fois. Gérôme Billois, du cabinet de conseil Wavestone, avance que ces attaques auraient été multipliées par quatre en un an ! Aucune structure n’est épargnée, qu’elle soit grande ou petite, privée ou publique. Parmi les structures de santé, citons quelques exemples. En effet, six cents ordinateurs du CHU de Montpellier ont été infectés par un virus. Ramsay-Générale de Santé, leader de l’hospitalisation privée en France, a subi une attaque informatique massive. L’AP-HP a fait face à une attaque par déni de service ou DDoS.

Doctolib s’est fait voler des données portant sur 6000 rendez-vous. L’hôpital de Dax a été victime d’un ransomware paralysant ses systèmes informatiques. Selon l’Agence du numérique en santé, 50 000 données de connexion d’agents hospitaliers seraient à vendre sur internet. Indéniablement, la crise du Covid-19 a poussé les cybercriminels à s’attaquer aux structures de santé.

En 2021, les nouveaux risques liés aux vaccins

La mise au point des vaccins contre le Covid-19 et le lancement des campagnes de vaccination ont désigné de nouvelles cibles aux hackers. Fabricants, transporteurs, opérateurs, nul n’est à l’abri. En décembre 2020, l’Agence européenne du médicament a elle-même fait l’objet d’une cyberattaque. Les cybercriminels ont piraté des données confidentielles sur le vaccin Pfizer. La chaîne logistique attire également l’attention des pirates. Ainsi, fin 2020, IBM a alerté sur une campagne de phishing visant plus précisément ce secteur.

En 2021, selon les experts, les attaques devraient se faire à la fois plus fréquentes et plus ciblées. L’attaque par déni de service ou DDoS, devrait constituer l’un des modes opératoires les plus utilisés. Elle vise également à submerger les réseaux et serveurs par une multiplication des requêtes. Or, ce procédé s’appuie en grande partie sur le piratage d’objets connectés, toujours plus nombreux et peu sécurisés.

DropCloud : solutions sécurisées du travail en ligne

Le télétravail serait à l’origine de 20 % des cyberattaques.

Le manque de préparation des entreprises de santé face au travail à distance imposé depuis un an expliquerait d’ailleurs bien des failles de sécurité. De ce fait, le manque de formation des collaborateurs, l’utilisation d’objets connectés personnels, l’absence de réseau privé virtuel ; les entreprises de santé accusent un réel retard dans ce domaine. Et les données de santé de 500 000 patients circuleraient sur internet…

Face à ces risques, il est crucial d’adopter une politique informatique rigoureuse et de bannir certaines pratiques. Ainsi, les salariés en télétravail ne doivent pas avoir recours à leur équipement personnel ni à des logiciels non contrôlés. Les boîtes mails sont notamment des portes d’entrée majeures pour les logiciels malveillants. Dès lors, les professionnels de santé doivent impérativement faire le choix d’une plateforme sécurisée de travail en ligne. DropCloud, certifié ISO-270001-HDS (hébergeurs de données de santé), vous propose une gamme de services en ligne sécurisés. NeoBe assure la sauvegarde de vos fichiers ; WeSend le transfert de fichiers volumineux et WeDrop le partage de fichiers en ligne. Grâce à l’application DropCloud pour tablettes et smartphones, le télétravail ne représentera plus un risque pour votre entreprise.

L’article Bilan 2020 : les cyberattaques visent les organismes de santé est apparu en premier sur DropCloud Santé.

Cybersécurité : quels sont les enjeux ?

Les cyber-attaques en tout genre se sont multipliées, et la crise sanitaire que nous connaissons depuis Mars 2020 n’a fait qu’accentuer ce problème. Effectivement, les patients atteints de la pandémie débordent les hôpitaux. Dans ces situations, la sécurité informatique n’est pas la priorité. Ainsi, les hackeurs tirent avantage de cette situation.

Durant le mois de Février 2021, un laboratoire de santé a été victime d’une cyber-attaque. Les données de près de 500 000 personnes ont été volé et diffusé sur Internet. Parmi ces données médicales on retrouve des coordonnées (email, adresse postale), le numéro de sécurité sociale et parfois même des informations sur l’état de santé des patients et de leur pathologie.

Il existe aussi des cyber-attaques appelées ransomware ou rançongiciels. Ce type d’attaques provoque le chiffrement de toutes vos données, vous ne pouvez plus les récupérer. Dès lors, les hackeurs vous demandent une rançon d’un certain montant en échange de vos données de santé.

Actuellement, les établissements de santé sont la cible majeure des cyber-attaques. Le secrétaire d’Etat chargé du numérique, Cédric O a déclaré « Il y a eu 27 cyberattaques d’hôpitaux en 2020 et depuis le début de l’année 2021, c’est une attaque par semaine ».

Quelles sont les bonnes pratiques des professionnels de santé à adopter pour la cybersécurité ?

Pour garantir la cybersécurité, les professionnels de santé ont des habitudes quotidiennes à adopter. Si les professionnels de santé respectent ces pratiques, les risques seront limités.

La sécurité en dehors de l’entreprise

Tout d’abord lorsque vous vous trouvez en télétravail ou que vous êtes en déplacement en dehors de l’établissement, il faut impérativement veiller à la sécurité des informations dont vous avez la charge.

Lorsque vous êtes en voyage, assurez-vous auprès du Support IT que vos données sont bien chiffrées. Cela permettra de protéger au maximum vos informations en cas de cyber-attaque. Faites attention à toujours garder un œil sur vos appareils portables IT (tablettes, ordinateurs, smartphones) lorsque vous êtes dans un transport en commun.

Les données transférées en dehors de l’établissement doivent toujours être chiffrées. Le destinataire de ces documents confidentiels doit également être autorisé à recevoir ces informations. Qui plus est, ce dernier doit disposer de mesures de sécurité adaptés à la réception de ces données médicales.

L’utilisation de mots de passe

Vous devez utiliser des mots de passes et code PIN pour protéger vos appareils d’accès non autorisés. De plus, la double authentification est une solution plus sécurisée afin de vérifier que personne d’autre ne se connecte sauf vous.

Pour le mot de passe, il existe quelques règles de bases pour que ce dernier soit non devinables.

• Faire au moins 12 caractères
• Utiliser des chiffres, des lettres et des caractères spéciaux
• Ne pas créer des mots de passe à partir d’informations publiques vous concernant (date de naissance par exemple)
• Changer le mot de passe tous les trois mois
• Ne partagez jamais le mot de passe avec quelqu’un d’autre (même avec le Support IT)
• Ne pas écrire votre mot de passer
• Utiliser des mots de passe différent pour les différents systèmes clés

Sécurité physique

Ensuite, nous allons aborder la sécurité physique. Des précautions doivent être prises pour protéger le matériel informatique dans les locaux. Les menaces ne sont pas toujours liées aux cyber-attaques. Il se peut aussi qu’il y ait des risques d’incendies, d’inondations ou de températures excessives ; cela pourrait endommager les équipements.

Les stockages des documents papiers ont besoin d’être sécurisés au maximum, car ils contiennent souvent des informations sensibles ou confidentielles, telles que les fichiers patients. Lors d’impression de données confidentielles, il est important de rester à proximité de l’imprimante afin d’éviter un potentiel vol.

Les données de santé à caractère personnel

Ces données sont strictement confidentielles et doivent faire l’objet d’un soin particulier. Le stockage de ces informations doit se faire de façon anonymisé et crypté, afin que la personne concernée par ces données ne soit pas identifiable.

Utilisation de la messagerie électronique et protection contre les virus

Enfin, la messagerie électronique est à manier avec vigilance afin de se protéger contre les virus. Quelques règles sont à respecter pour minimiser la menace :

• Ne pas ouvrir les pièces jointes aux e-mails dont vous ignorez la source ou dont l’expéditeur est inconnu
• Toujours analyser les fichiers de l’extérieur de l’organisation avant de les stocker sur le réseau
• Assurez-vous que le logiciel d’analyse antivirus fonctionne correctement
• Toujours signaler les messages liés aux virus que vous rencontrez au Support IT
• Ne pas télécharger des logiciels non autorisés ou des fichiers depuis Internet

Enfin, lorsqu’un professionnel de santé remarque une faille ou quelque chose de suspect dans la sécurité, il se doit de le signaler rapidement au Responsable de la Sécurité du Système d’Information (RSSI).

Solution Dropcloud : certification ISO 27001-HDS

Dropcloud est une entreprise qui fournit des solutions sécurisées de travail en ligne. DropCloud, éditeur français de logiciels en mode Saas, obtient la certification ISO 27001-HDS (Hébergeur de santé) pour son offre de sauvegarde, transfert de fichiers et partage de documents notamment dédiés aux professionnels de santé.

Cette norme ISO 27001-HDS garantit la sécurisation des données de l’entreprise et donc de celles de ses clients.

Cette certification consiste à reconnaître la qualité et la sécurité de ses solutions logicielles pour le traitement des données classiques et médicales.

Article L 1111-8 du Code de la santé publique crée par le décret du 26 février 2018. « A ce titre, comme l’a défini le Ministère de la Santé et l’ASIP Santé (L’Agence des systèmes d’information partagés en santé), le choix d’un partenaire certifié ISO 27001-HDS est indispensable, de manière à garantir la confidentialité et l’intégrité des fichiers confiés. »

En obtenant la certification ISO 27001-HDS, DropCloud donne le meilleur gage de qualité à son offre Santé, qui s’adresse à tous les professionnels du secteur et leur propose une offre en adéquation avec leurs obligations légales.

Neobe santé, une sauvegarde en ligne sécurisée

Une fois votre stratégie de sauvegarde en ligne décidée, il ne vous reste plus qu’à choisir un hébergeur pour vos données pour vos dossiers médicaux. Là encore, toutes les offres ne se valent pas. Il vous faut prendre en compte de nombreux paramètres : efficacité, ergonomie, volume de stockage, et bien sûr sécurité. Pour ce dernier critère, vous devez vous fier à la certification ISO 27001-HDS, propre aux hébergeurs de données de santé.

NeoBe Santé vous offre toutes ces garanties.

Certifié ISO 27001-HDS, il vous garantit donc une sauvegarde locale et une sauvegarde en ligne sur des serveurs implantés en France.

Notre application s’adapte à tout environnement matériel et logiciel, et vous garantit une restauration accessible 24 h sur 24. Les sauvegardes sont automatisées selon le rythme que vous aurez défini. Les fichiers modifiés sont identifiés, les différentes versions accessibles. Chaque sauvegarde fait l’objet d’un bilan que vous pouvez consulter à tout moment. Avec NeoBe Santé, vos précieuses données sont entre de bonnes mains. De ce fait, vous pouvez désormais vous consacrer à l’essentiel : vos patients.

L’article Sensibiliser les professionnels de santé et les collaborateurs du secteur médical à la cybersécurité est apparu en premier sur DropCloud Santé.

La sécurité du transfert des données de santé

En effet, le Code de la santé publique dispose que « toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant » (art. L.1110-4). Les professionnels de santé ont l’obligation de tout mettre en œuvre pour assurer ce secret. Ils doivent aussi empêcher l’effacement, la modification ou la divulgation de ces données. Si les mesures de sécurité physiques et informatiques d’accès aux serveurs sont indispensables, elles ne peuvent néanmoins suffire avec le développement du partage via le cloud.

Par ailleurs, nombre d’établissements de santé choisissent d’externaliser le traitement ou le stockage des données de leurs patients. Cependant, ils restent responsables de la sécurité de ces données et doivent s’assurer que le sous-traitant respecte les normes légales de confidentialité. En cas d’externalisation de l’hébergement, le professionnel de santé doit s’assurer que l’hébergeur choisi a reçu l’agrément du ministère chargé de la santé (articles L.1111-8 et R.1111-9 du Code de la santé publique).

L’hébergeur doit notamment assurer la confidentialité, la sécurité, l’intégrité et la disponibilité des données. C’est cette capacité que garantit la certification HDS (Hébergeur de données de santé). En vertu de la loi de modernisation du système de santé du 26 janvier 2016. « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. » La certification délivrée par l’Agence du numérique en santé repose sur une double certification ISO27001/HDS.

Tests, vaccins et traitement massif de données ; une numérisation indispensable mais délicate

Mais cette législation est-elle toujours bien appliquée ? En juin dernier, l’entreprise de cybersécurité Vectra a publié un rapport préoccupant sur la sécurité des données de santé. La pandémie de Covid-19 a en effet contraint les acteurs de la santé à pratiquer un traitement massif de données de santé. Ils ont disposé de délais très courts pour s’adapter à ces nouvelles pratiques. Dès lors, ces professionnels ont mis en place des solutions de partage, parfois à la hâte et sans les garanties exigées. De plus, l’usage massif du télétravail s’est avéré délicat dans ce domaine. Certains employés ont travaillé via des accès à distance non sécurisés. Parfois même avec leur propre matériel informatique.

Cette situation a considérablement fragilisé la sécurité du transfert de données de santé. Et ainsi, a favorisé une hausse massive des actes malveillants. Ceux-ci auraient augmenté de 38 % par rapport à la période avant Covid. Mais dans quel but, pirater des données de santé ? Tout simplement pour réclamer une rançon. Comme l’hôpital de Villefranche-sur-Saône en a fait très récemment l’amère expérience. Les pirates sont conscients que l’urgence liée à la situation joue en leur faveur.

Outre la pression sur le milieu hospitalier, la crise du coronavirus a mis sous tension les laboratoires d’analyse et les structures dédiées à la vaccination. Tester et vacciner sont en effet deux actions qui impliquent des traitements massifs de données. Or, l’urgence de la crise n’autorise pas à sacrifier la confidentialité de ces dernières. Ainsi, le suivi de la campagne de vaccination a impliqué la mise en place d’un système de traitement de données spécifique, sous l’œil attentif de la CNIL. Ce « SI Vaccin Covid » traite des données personnelles et des données de santé des personnes vaccinées et de celles invitées à l’être. Elles peuvent être accessibles au personnel chargé de la vaccination, au médecin traitant et à certains organismes publics.

Côté tests, antigéniques ou PCR, les centres de dépistage doivent également prendre en charge la gestion de ces données sensibles.

La solution WeSend, transferts sécurisés

Outre le défi médical et de santé publique, la crise du coronavirus fait donc peser de lourdes responsabilités sur les épaules de professionnels de santé. Ils ont tout intérêt à déléguer le stockage de leurs données à un hébergeur qualifié. Cela leur garantira le secret et la confidentialité de leurs données de santé. C’est ce que propose DropCloud Santé et WeSend santé, services dédiés aux professionnels de santé. Ces services permettent l’envoi et le stockage de fichiers volumineux en toute sécurité.

  DropCloud est une entreprise certifiée ISO27001/HDS depuis 2019. Elle offre aux professionnels de santé une sécurité optimale pour leurs données sensibles. Chez DropCloud, les fichiers et bases de données de santé sont stockés sur des serveurs sécurisés situés exclusivement en France. Les données sont cryptées sur toute la durée du processus de transfert, et la connexion aux services de DropCloud, NeoBe Santé, WeDrop Santé, WeSend Santé, se fait grâce à un système d’authentification forte. En se connectant, l’utilisateur reçoit en effet un SMS ou un mail de vérification. Face à la crise de la Covid-19, les professionnels de santé peuvent en toute sécurité déléguer le stockage et la protection de leurs données sensibles à DropCloud. Ainsi, ils se consacrent à la santé des Français.

L’article Covid-19 : Comment assurer la sécurité des transferts de données de santé ? est apparu en premier sur DropCloud Santé.

Une politique de transfert des données permet de pallier les dangers issus de certaines pratiques, tels le ShadowIT et le BYOD. La première désigne l’usage de logiciels non choisis par l’entreprise, qui peuvent présenter des failles. La seconde, le BYOD ou bring your own device, se résume à l’usage de smartphones ou ordinateurs personnels à des fins professionnelles. Elle expose les données stockées sur ces appareils en cas de perte ou de casse.

WeSend santé, solution sécurisée d’envoi de fichier volumineux (jusqu’à 10 go) par Dropcloud santé, permet de réduire ces pratiques. Contrairement à bien des logiciels gratuits, il propose un niveau de sécurité élevé pour vos données. Fini les dossiers égarés et les partages hasardeux !

WeSend santé permet-il de contrôler la durée de vie de mes fichiers santé ?

WeSend santé propose plusieurs options de suppression des fichiers une fois que ceux-ci ont été téléchargés par le destinataire. Ainsi, plus de dossier qui traîne ! L’utilisateur choisit la durée de vie du fichier transféré, de 1 jour à deux mois. L’interface Administrateur permet même de forcer sa suppression, une fois que l’utilisateur l’a supprimé.

Comment savoir si mes interlocuteurs reçoivent et téléchargent mes fichiers ?

WeSend santé dispose d’un outil de suivi en temps réel, qui garantit la traçabilité de vos envois. L’administrateur et l’émetteur peuvent surveiller l’état d’avancement d’un envoi. Un horodatage s’effectue en effet à l’envoi et à la réception. WeSend notifie la délivrabilité et l’ouverture des emails de notification, ainsi que le nombre de téléchargements effectués.

Comment savoir qui télécharge mes dossiers ?

Vos dossiers santé ne doivent pas tomber entre n’importe quelles mains ! Sur WeSend, vous pouvez activer une option obligeant le destinataire à s’authentifier avant de télécharger vos dossiers. Lorsque vous envoyez ces fichiers, il reçoit un lien de téléchargement par mail. Ce lien le renvoie vers une page Internet personnalisée. Il doit alors s’inscrire gratuitement pour avoir accès au téléchargement des fichiers.

L’article La sécurité des transferts de fichiers pour les professionnels de santé en trois questions est apparu en premier sur DropCloud Santé.

Or ces données sont appelées à être partagées, avec le patient, les médecins, l’organisme de sécurité sociale… Dès lors, il importe de s’assurer de l’identité des personnes avec qui s’opère l’échange d’information. Les protocoles classiques n’étant pas suffisants, DropCloud propose aux professionnels de santé une authentification forte pour protéger leurs données. La réglementation leur impose en effet des précautions particulières.

Qu’est-ce que l’authentification forte ? Sur quoi repose-t-elle ?

Dans la plupart des cas, nous nous authentifions grâce à un identifiant et un mot de passe. Il s’agit d’une identification faible, car ces données sont toujours les mêmes pour un même site. Nous avons même tendance à utiliser le même mot de passe pour accéder à plusieurs services : banque, téléphonie, compte mail… Or il existe des logiciels malveillants permettant de pirater facilement un mot de passe. Les keyloggers, par exemple, enregistrent les mots de passe lors de la frappe.

L’authentification faible revient finalement à déverrouiller une porte qui ne comporte qu’une serrure : le mot de passe. Pour obtenir une authentification forte, il faut en quelque sorte rajouter un verrou. Autrement dit, il faut exiger une seconde identification, reposant sur une méthode différente. L’authentification forte combine ainsi deux méthodes, reposant chacune sur un principe distinct. Ceux-ci peuvent s’appuyer sur :

• Le mot de passe, ce que nous seuls savons
• Notre téléphone, ce que nous seuls possédons
• Une empreinte digitale, ce qui nous rend uniques.

Il existe également des possibilités moins courantes. La géolocalisation, l’analyse comportementale ou les réseaux sociaux…

Le One-Time Password

Comment mettre en œuvre un tel processus ? En effet, les solutions biométriques reposent sur l’identification par la voix, les empreintes digitales, l’iris de l’œil ou le visage. Elles sont encore peu courantes dans les utilisations grand public, même si le smartphone en facilite la mise en œuvre. Une autorité de certification reconnue délivre des certificats logiciels, qui reposent sur un chiffrement. La méthode la plus simple reste cependant l’usage d’un OTP ou One-Time Password, que nous avons déjà tous expérimentée. On utilise souvent cette méthode pour les transactions bancaires.

Le logiciel bancaire génère alors un mot de passe à usage unique. Il est généralement envoyé par sms ou par mail, ou via l’application bancaire. Il est valable pour un temps très court et pour une transaction donnée uniquement. Dès lors, comment choisir entre ces différentes méthodes ? Les professionnels de santé doivent prendre en compte le coût de la protection des données. Puis, la simplicité d’usage de la méthode d’authentification. Ils doivent également s’appliquer à répondre aux exigences de la loi.

L’authentification forte, une obligation légale pour les professionnels de santé

La législation HDS (Hébergeur des données de santés) oblige les professionnels de santé à sécuriser leurs données de santé lorsqu’elles sont hébergées à l’extérieur, notamment sur le cloud. Or, l’usage du cloud est aujourd’hui incontournable pour ces professionnels. Ils partagent en effet régulièrement des fichiers volumineux, avec les patients, les médecins, les organismes de santé. Ils utilisent très souvent des serveurs distants, car cette solution est plus sûre. Elle permet de plus le stockage de très gros volumes et externalise les problématiques de maintenance et de sécurité.

Pour autant, les professionnels de santé ne peuvent pas confier leurs données à n’importe quel hébergeur. Celui-ci doit détenir une certification HDS, en vertu de la loi de modernisation du système de santé du 26 janvier 2016.

« Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel. Recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu’en soit le support, papier ou informatique, ne peut avoir lieu qu’avec le consentement exprès de la personne concernée. », stipule le Code de la Santé publique.

Pour l’Agence du numérique en santé ou ASIP-Santé, cette réglementation s’impose à tout responsable de traitement qui externalise l’hébergement des données de santé à caractère personnel qu’il traite. Cela concerne également les mutuelles et assurances. La certification délivrée par l’ASIP Santé est accordée en fonction des caractéristiques techniques, juridiques et économiques de la prestation d’hébergement. Elle repose sur une double certification ISO27001/HDS.

Dropcloud santé, une solution certifiée reposant sur une authentification forte

DropCloud santé propose des solutions d’hébergement, de partage et d’envoi de fichiers volumineux pour les professionnels de santé. L’entreprise a obtenu la certification ISO27001/HDS en 2019. Cette certification est obligatoire pour les hébergeurs et les infogéreurs de données de santé. Elle garantit aux professionnels de santé une sécurité optimale, dans le respect de la législation en vigueur. Avec DropCloud, vos fichiers et vos bases de données sont stockés sur des serveurs sécurisés implantés exclusivement en France.

La connexion aux différents services de DropCloud, NeoBe Santé, WeDrop Santé, WeSend Santé repose sur un système d’authentification forte. L’utilisateur reçoit, à chaque connexion, un sms ou un mail de vérification. Cette méthode se révèle à la fois simple à mettre en œuvre et accessible à tout utilisateur. Elle est de plus extrêmement sûre. Avec Dropcloud, les professionnels de santé assurent la sécurité des données confidentielles de leurs patients dans le plus strict respect de la réglementation en vigueur.

L’article Les solutions d’authentification forte pour les professionnels de santé, explications avec DropCloud est apparu en premier sur DropCloud Santé.

Il concerne entre autres les professionnels de santé, qui détiennent des données personnelles particulièrement sensibles.

Que sont les données personnelles ?

Les données personnelles correspondent à « toute information se rapportant à une personne physique identifiée ou identifiable ». Nom, prénom, date de naissance, numéro de téléphone ou de sécurité sociale, identifiant… Si les données sont anonymes mais que leur recoupement permet d’identifier une personne, elles seront considérées comme données personnelles. Seules les données des personnes physiques, et donc de vos patients, entrent dans le champ d’application du RGPD.

Qu’est-ce qu’un DPO ?

Le DPO, en anglais Data Protection Officer, est le délégué à la protection des données. C’est la personne chargée du traitement des données personnelles au sein d’un organisme. Les articles 37 à 39 du RGPD prévoient sa nomination au sein des organismes concernés. Elle est même obligatoire pour les organismes publics. Ceux dont les activités de base imposent un « suivi régulier et systématique des personnes », et ceux traitant de données dites sensibles (religion, santé, condamnations pénales…) Les professionnels de santé entrent donc dans cette catégorie.

Les missions du DPO sont diverses. Chargé de la veille juridique, il conseille et informe le professionnel de santé et ses collaborateurs. Il s’assure également de la conformité des pratiques de la structure de santé avec les exigences du RGPD. Le lien avec l’organisme de contrôle, la Commission nationale de l’informatique et des libertés, fait également partie de son périmètre d’action.

DropCloud, un atout pour le DPO

Les solutions DropCloud représentent une aide appréciable pour le DPO et les professionnels qu’il conseille. Elles permettent en effet de rendre leurs systèmes de données plus sûrs et plus accessibles. Les outils de sauvegarde, de partage et de transfert de données NeoBe Santé, WeDrop Santé et WeSend Santé offrent de nombreux avantages. Ils sont conformes aux obligations du RGPD, et respectueux du secret médical dû à vos patients. Les fonctionnalités de sauvegarde en ligne de NeoBe offrent notamment des options de paramétrage et de sécurisation conformes à certains des objectifs du RGPD.

L’utilisation du logiciel NeoBe+ garantit ainsi le droit à l’effacement des données, au cœur du RGPD. Vous pouvez configurer, comme il vous convient les fonctionnalités de versionning et de synchronisation. Elles garantissent à tout moment la conformité des sauvegardes effectuées aux exigences des patients concernés. Par ailleurs, NeoBe permet une récupération rapide et facile des informations collectées. Ainsi on assure leur portabilité pour transfert ou restitution.

Le droit de rectification, également très important, est garanti par l’utilisation de nos solutions DropCloud. En effet, toute modification effectuée est répercutée dans les différentes sauvegardes de NeoBe. WeDrop et WeSend facilitent quant à eux la modification ou la suppression de toute donnée ou fichier par son auteur.

Sécurité des données

Par ailleurs, le processus de sauvegarde de NeoBe représente également une excellente garantie de sauvegarde. Le logiciel chiffre les données en AES 256. Puis, les fait transiter en https. Le serveur de sauvegarde les stockes et les cryptes. Sans la clef de chiffrement que vous détenez en tant qu’utilisateur, elles ne sont pas accessibles. De plus, vous pouvez à tout moment consulter l’historique du traitement des données : modifications, sauvegardes, restauration, etc. Enfin, vous pouvez paramétrer différents niveaux d’autorisation pour l’accès à vos données. Cela assure une sécurité optimale pour les données de vos patients et celles de votre structure.

L’article Le DPO (Data Protection Officer), son rôle dans le RGPD pour les professionnels de santé est apparu en premier sur DropCloud Santé.

De plus en plus d’entreprises, quel que soit leur domaine, se tournent vers les solutions de travail en ligne. Celui-ci est particulièrement intéressant pour les professionnels de santé, tant la traçabilité et la sécurisation des dossiers médicaux sont importantes. De plus, les solutions en ligne permettent également une gestion administrative simple et efficace. Tous ces avantages revêtent une grande importance tant pour le patient que pour le praticien. Il n’est cependant pas simple, pour le professionnel, de faire la part de choses dans les différentes offres disponibles sur le marché. Le choix se complique singulièrement à mesure que le vocabulaire se complexifie : Cloud, IaaS, SaaS, comment s’y retrouver ?

Le Cloud ou l’informatique dans le nuage

Tout le monde parle du Cloud, mais qui sait à quoi il correspond ? Ce mot provient de l’expression Cloud computing, qui désigne plusieurs pratiques visant à externaliser l’informatique d’une entreprise. En premier lieu, il s’agit d’externaliser les infrastructures matérielles et tout particulièrement les serveurs. Cette pratique est nommée IaaS ou Infrastructure as a Service. Le service est proposé par un hébergeur Cloud, qui fournit la bande passante, des serveurs et un espace de stockage distants. L’hébergeur possède un ou plusieurs data center, qui regroupent les serveurs mis à la disposition de ses clients. L’entreprise cliente accède à ses serveurs grâce à internet. Le Cloud computing est une solution technique très intéressante pour les entreprises. Il offre des capacités de stockage comme de bande passante illimitées, et met en œuvre une certaine mutualisation des ressources. Dès lors, votre entreprise peut réaliser d’importantes économies sur ses infrastructures informatiques, et s’épargner les coûts de stockage et de maintenance. De plus, le Cloud computing est rapide à mettre en place, et permet de protéger vos données de tout incident matériel qui surviendrait dans vos locaux.

La solution SaaS, un pas de plus dans le nuage

Le Saas est l’une des solutions qui s’offrent aux entreprises désireuses d’aller encore plus loin dans l’externalisation de leurs structures informatiques. Le SaaS, ou Software as a Service, est en effet l’une des nombreuses facettes du Cloud. Il consiste à externaliser non plus seulement la partie matérielle de votre infrastructure, mais aussi la partie logicielle. En effet, vous pouvez utiliser les logiciels SaaS sans rien avoir à installer sur vos différents appareils. Les logiciels ou applications SaaS sont des solutions cent pour cent en ligne, comme Facebook ou Gmail. Lorsque vous ouvrez une page Gmail, vous utilisez en fait un logiciel de messagerie SaaS. Il vous suffit de vous connecter grâce à votre mot de passe et à votre identifiant pour gérer vos messages. L’application stocke, reçoit et envoie votre courrier en ligne, sans que vous ayez besoin de télécharger quoi que ce soit. C’est le principe de base de toute application SaaS. Les applications professionnelles sont néanmoins payantes pour la plupart. Mais la solution SaaS requiert un simple abonnement et non l’achat d’un logiciel.

Les nombreux atouts du SaaS

Le SaaS, qui représente un pas de plus dans l’externalisation de votre gestion informatique, présente de nombreux avantages. En effet, vous n’avez plus à vous préoccuper de vos serveurs ni de vos logiciels. Votre prestataire les prend entièrement en charge, et opère la mise à jour des applications sans que vous ayez besoin d’intervenir. De plus, il n’y a aucune manipulation à faire sur vos ordinateurs professionnels. Vos données sont stockées de façon sécurisée sur des serveurs distants, à l’abri de tout incident technique. Car les solutions SaaS offrent généralement un niveau de sécurité élevé, élément crucial pour les professionnels de santé. La confidentialité des dossiers est en effet primordiale. Enfin, vos dossiers demeurent accessibles à tout moment, depuis n’importe quel appareil ; il suffit de vous connecter à votre application SaaS. Et en quelques clics, vous pouvez créer ou supprimer de nouveaux comptes utilisateurs ou visiteurs. Simple, sécurisée et économique, la solution SaaS est un réel atout pour les professionnels de santé.

WeSend et WeDrop, les applications SaaS de DropCloud

Vous êtes tentés par une application SaaS ? DropCloud vous propose deux solutions cent pour cent Cloud ; WeSend et WeDrop. WeDrop est une plateforme de partage de fichiers et de travail collaboratif. Elle permet à vos collaborateurs d’accéder à tous les dossiers déposés sur la plateforme à partir de n’importe quel poste de travail connecté à internet. Ainsi, qu’ils soient au bureau ou en déplacement, ils peuvent consulter n’importe quel document depuis leur téléphone ou leur ordinateur grâce à leur compte WeDrop. En toutes circonstances, tous les documents sont disponibles, assurant à chacun efficacité et tranquillité d’esprit. WeDrop permet également d’accorder des autorisations restreintes et de créer des comptes visiteurs, afin que vos patients puissent consulter leurs différents documents.
WeSend est une application vous permettant d’envoyer des fichiers très volumineux. Avec les messageries classiques, ce n’est en effet pas toujours possible, car la taille et le nombre des pièces jointes sont généralement limités. Or certains fichiers médicaux, notamment dans le domaine de l’imagerie, peuvent être particulièrement lourds. Grâce à WeSend, vous pouvez envoyer et recevoir vos fichiers volumineux. Vos interlocuteurs pourront en effet vous faire parvenir des documents sur votre plateforme WeSend, sur simple invitation de votre part. De plus, WeSend conserve les dossiers déposés aussi longtemps que nécessaire.
WeDrop et WeSend représentent donc des solutions SaaS simples, sécurisées et efficaces de travail en ligne. Elles offrent une traçabilité totale des différentes actions et sont aisément pilotables grâce à l’interface administrateur.

L’article SaaS et Cloud, quels avantages pour les professionnels de santé ? est apparu en premier sur DropCloud Santé.