Qu’est-ce que la souveraineté des données de santé ?
Dans le secteur de la santé, la souveraineté des données est un enjeu crucial pour la protection de la vie privée des patients. La souveraineté est le concept selon lequel les individus et les pays ont le droit de contrôler la collecte, l’utilisation et le stockage de leurs données de santé. En effet, la souveraineté n’implique pas uniquement les données stockées dans un pays désigné, mais surtout soumises aux lois du pays où elles sont stockées.
Comment différencier souveraineté et localisation des données ?
Une entreprise peut avoir ses données stockées en France sans pour autant qu’elles soient toutes soumises aux réglementations françaises. Le traitement de ses données peut être effectué à l’étranger alors que la souveraineté implique justement que ce traitement soit fait à l’intérieur des frontières françaises. Ainsi, il faut bien différencier le lieu physique des données et la réglementation ou la fiscalité auxquelles elles sont soumises.
Entres autres, cela permet de rassurer vos collaborateurs et clients sur qui a le pouvoir d’accès sur leurs données, comment elle sont utilisées et à quelles fins.
Pourquoi la souveraineté des données de santé est-elle cruciale ?
Pour les établissements de santé, garantir que la souveraineté de leurs données est plus que nécessaire et ce, pour plusieurs raisons.
- Protection de la vie privée : Les données de santé sont des informations très sensibles. Ces données sont très recherchées par les hackers pour une utilisation souvent abusive.
- Février 2021 : Hôpital de Dax victime d’un ransomware, stoppant tout son système informatique pendant plusieurs semaines.
- Septembre 2022 : Centre Hospitalier Sud-Francilien de Corbeil-Essonnes victime d’une campagne de phishing par le groupe LockBit 3.0, des cybercriminels qui ont par la suite diffusé ces données sur le dark web (ransomware-as-a-service).
- Sécurité et contrôle des données : Les fuites de données de santé ont de graves conséquences pour les patients et personnels des établissements de santé, comme par exemple l’usurpation d’identité, la fraude financière et la discrimination. Les patients doivent également pouvoir consentir ou non à la collecte, à l’utilisation de leurs données personnelles ainsi qu’à leurs accès en général en cas de besoin de correction.
- Innovation R&D : Pour les chercheurs, il est nécessaire d’avoir accès aux données de santé pour développer de nouveaux traitements et de nouvelles technologies de santé. Pour ce faire, cet accès doit être accordé dans le respect de la vie privée et de la sécurité des données.
Comment garantir la souveraineté de vos données de santé ?
Pour garantir la souveraineté des données de santé de vos patients, il est important de comprendre certaines mesures techniques et organisationnelles.
D’abord, la mise en place d’un environnement sécurisé. Pour cela, il est conseillé d’utiliser des serveurs sécurisés et un cloud souverain. Cela se traduit par :
- Serveurs dédiés : héberger ses données dans des centres de données certifiés.
- Cloud souverain : choisir des solutions souveraines qui garantissent que les données stockées respectent les lois locales.
Pour aller encore plus loin, mettre en place une sécurisation des accès et des communications, notamment pour la messagerie professionnelle.
- Authentification multi-facteurs (MFA) : Pour renforcer la sécurité des accès, à l’aide de mots de passe robustes, de tokens matériels ou logiciels, et de la biométrie.
- Gestion des identités et des accès (IAM) : Pour contrôler et surveiller qui a les accès aux données sensibles. De plus, surveiller le réseau et détecter les activités suspectes grâce à un système de détection d’intrusion (IDS).
- Chiffrement des données : Utiliser des protocoles sécurisés comme TLS/SSL pour chiffrer les communications entre les utilisateurs et les systèmes. Que les données soient en transit ou en repos, pour les protéger contre les accès non autorisés en cas de vol de matériel ou de piratage.
- Réseaux privés virtuels (VPN) : Pour garantir la sécurité des connexions à distance, notamment pour le personnel en télétravail.
Comment rassurer vos collaborateurs sur la protection des données de votre établissement ?
Pour que vos collaborateurs, ainsi que vos patients soient rassurer sur le traitement de leurs données de santé, il est important de prendre en compte les points suivants.
- Solutions anti-phishing : Utiliser des solutions de filtrage de messagerie pour bloquer les tentatives de phishing et spear-phishing. Des solutions qui puissent scanner et analyser les pièces jointes pour vérifier leurs contenus et détecter les malwares et autres menaces.
- Mise à jour régulière : Pour combler les vulnérabilités et contrer les failles zéro day.
- Réponse aux incidents : Développer des plans de réponse aux incidents pour réagir rapidement et efficacement en cas de compromission de vos données.
- Programmes de formation : Développer et mettre en œuvre des programmes de formation réguliers pour le personnel sur les bonnes pratiques de sécurité des données. Organiser des simulations d’attaques (phishing, ransomwares) pour sensibiliser le personnel aux menaces et les former à réagir correctement.
- Rédaction de politiques claires : Établir des politiques de sécurité claires et accessibles qui détaillent les procédures à suivre pour protéger les données de santé.
L’avenir des établissements de santé présente des défis, avec une combinaison de sensibilisation au phishing et de technologies avancées comme Mailsafe d’Altospam (anti-phishing, anti-spearphishing, anti-malware et anti-ransomware), les hôpitaux peuvent renforcer leur sécurité et se prémunir contre les menaces émergentes. Il est essentiel de mettre en place ces mesures techniques et organisationnelles, pour garantir ainsi la sécurité et la confidentialité des informations de santé des patients.