La cybersécurité dans le cadre de notre activité libérale

Description

Cybersécurité, piratage, rançonnage... les médecins sont en première ligne dans la gestion des données de santé. Leur digitalisation présente à la fois des avantages dans le suivi médical, mais un vrai risque dans le maintien de la confidentialité. Quelle est l'ampleur du risque cyber pour les médecins libéraux ? Quel type de menace et quelle conséquence en cas d'attaque ? Quels sont les outils dont ils disposent pour prévenir le risque cyber et quelle est leur responsabilité ?

On en parle avec :

- Olivier Ruet-Cros, analyste sur incidents au CERT Santé
- Dr Eric Tanneau, psychiatre et secrétaire général adjoint de l'URPS médecins.

Le débat est animé par la journaliste Sidonie Watrigant.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Si je ne peux pas vous entraîner,
Speaker #1
c'est une urgence ! Une urgence !
Speaker #2
Vous êtes médecin libéral ? Tout va bien ? Vous êtes au bon endroit ? Bienvenue sur La Voix des Libéraux, le podcast sans tabou des médecins libéraux, produit par l'URPS Médecins Libéraux Île-de-France. L'URPS Médecins Libéraux Île-de-France, c'est l'union professionnelle qui représente et accompagne les médecins franciliens exerçant en libéral. Ce podcast est animé par la journaliste Sidonie Wattrigan.
Speaker #3
Bonjour à tous, merci d'être avec nous pour ce 15e épisode de La Voix des Libéraux, un podcast proposé par l'URPS. Notre souhait, notre objectif, vous le savez maintenant, c'est répondre sans langue de bois à toutes vos interrogations, vous médecins d'Ile-de-France, sur un sujet précis. Et aujourd'hui, on va parler cybersécurité. Et oui, car les médecins libéraux sont en première ligne dans la gestion des données de santé. Et leur digitalisation présente à la fois des avantages dans le suivi médical, mais un vrai risque dans le maintien de la confidentialité. D'où une attention particulière apportée à la cybersécurité de chaque praticien. C'est donc l'objet de notre discussion du jour avec quelques questions auxquelles on va essayer de répondre. Quelle est l'ampleur du risque cyber pour les médecins libéraux ? Quel type de menace et quelles conséquences en cas d'attaque ? Quels sont les outils dont ils disposent pour prévenir le risque cyber ? Et quel est le rôle et le champ d'action du CERT Santé ? Pour répondre à toutes ces questions, on accueille justement Olivier Ruet-Croce, bonjour. Bonjour. Vous êtes analyste en réponse sur l'incident au CERD Santé et le docteur Éric Tannot, bonjour. Bonjour. Vous êtes secrétaire général adjoint du RPS médecins et psychiatres à Paris. Alors la première question est toute simple et elle est pour vous, Olivier. Le CERD Santé, c'est quoi ? Quel est son périmètre d'action ?
Speaker #0
Donc le CERD Santé, c'est une entité publique qui est rattachée au ministère de la Santé. et dont le rôle, c'est d'intervenir sur les incidents de sécurité de l'ensemble des établissements de santé et l'ensemble des établissements médico-sociaux de France.
Speaker #3
Donc, médecins libéraux y compris ou pas ?
Speaker #0
Non, de base, les libéraux ne sont pas dans notre périmètre. Ce n'est pas une volonté de les tenir à l'écart. En fait, c'est pour correspondre à la réalité opérationnelle. C'est-à-dire que le CERF Santé est équipé plutôt pour faire de la gestion de crise sur des grosses structures. Et pour les petites structures et les micro-établissements ou les libéraux... On redirige en général vers d'autres services dédiés, le plus connu c'est Cyberméveillance.
Speaker #3
Et pourtant Eric Tannot, c'est pas parce qu'on est petit que le risque n'existe pas ?
Speaker #1
Non, le risque existe, dès l'instant où on a un ordinateur et même dès l'instant où on a un cabinet et qu'on ne ferme pas sa porte à clé, on peut être cambriolé tout simplement.
Speaker #3
Et donc finalement, les failles que vous traitez à grande échelle, donc on pense aux hôpitaux et on connaît... les actes de malveillance récurrents qui ont lieu sur les hôpitaux, ces failles-là, on ne peut pas les traiter à l'échelle plus petite, pratique, classique ?
Speaker #0
Tout à fait. On peut totalement descendre à une plus petite échelle. C'est juste que très souvent, sur des toutes petites échelles, il y a une nécessité de diminuer le nombre d'acteurs, de diminuer le nombre d'interlocuteurs. Il y a beaucoup plus une nécessité de remplacer le matériel directement ou agir au contact, donc avec des prestataires locaux. Là où des hôpitaux ou des centres médico-sociaux ont beaucoup plus une nécessité de coordination de crise dont les libéraux n'ont pas forcément la nécessité. C'est pour ça qu'on fait la distinction.
Speaker #3
Je vais aller un peu loin dans la question poil à gratter, mais en gros, est-ce que c'est aussi parce que vous n'avez pas les moyens finalement d'être aussi fin dans le maillage ? C'est-à-dire que vous priorisez les plus gros, quoi.
Speaker #0
Alors, il y a une priorisation qui est faite, c'est vrai, pour la limite des capacités à faire des différents services de l'État qui font ça. mais aujourd'hui, non, c'est pas possible. pour ça, c'est pas pour une question de capacité à faire qu'on limite le périmètre. Au contraire, en réalité. C'est plus pour des questions de dépendance et de mettre le bon opérateur en face de chaque victime.
Speaker #3
Côté médecins libéraux, est-ce qu'il y a une conscience, Eric Tannand, une vraie conscience du risque, mais même du risque pénal encouru lorsqu'on est mal armé contre le risque cyber ?
Speaker #1
Conscience, oui, en tant que citoyen, mais ça s'applique toujours aux autres. C'est bien le problème. On est conscient, mais on ne prend pas les mesures de prévention. Et pourtant, les médecins font à la fois du soin, mais à la fois aussi de la prévention. Et puis le risque, il est largement plus large, puisqu'il peut concerner le pénal, secret professionnel, le civil, la réparation du préjudice. Il peut concerner une plainte ordinale avec une condamnation par l'ordre. Et puis aussi une atteinte réputationnelle. Et donc quand on a tout ça, qu'on est tout seul pour gérer la crise parce qu'on s'est fait hacker, et qu'en plus il faut faire face à tous ces aspects juridiques, ça fait beaucoup. Et donc la prévention, c'est vraiment une chose très importante en médecine et aussi pour l'informatique des médecins.
Speaker #3
Juste pour brosser un peu le tableau, en gros, quelles sont les attaques les plus fréquentes auxquelles s'exposent les médecins libéraux ? Quelques exemples que vous auriez en tête.
Speaker #0
Le plus classique, c'est le vol de matériel, le sabotage et l'extorsion de données par le vol. Donc typiquement, on récupère une machine et on va collecter le disque dur, les clés USB qui étaient connectées dessus. C'est les menaces les plus courantes qu'on observe sur les ordinateurs personnels de Liban.
Speaker #3
Et sur lesquels on demande contrepartie financière pour une institution ou c'est pas du tout le...
Speaker #0
Très souvent, c'est plutôt pour un usage, alors soit pour un usage personnel, tout simplement, récupérer le matériel, soit pour un usage de récupérer, par exemple, des données patients pour obtenir des données personnelles et pourquoi pas faire du démarchage commercial agressif, ce genre de choses.
Speaker #3
Éric Tannot, sur les attaques et malveillances qui vous remontent...
Speaker #1
Oui, il y a aussi ce qu'on appelle dans les entreprises des attaques aux présidences. On appelle un médecin, on se fait passer pour je ne sais qui, on lui demande des infos, sa carte bleue. Et puis, comme le médecin est pressé, on lui propose de venir chercher la carte bleue directement. Mais il faut qu'il donne son code. Et du coup, le médecin, en toute honnêteté, il joue le jeu. Il pense que c'est vraiment la banque ou c'est vraiment... Et il donne toutes ces infos. Donc, c'est un risque qui existe dans les entreprises, mais pour chaque citoyen, finalement.
Speaker #3
Vous parliez de la nécessité de la... Prévention, très concrètement, ça se matérialise comment ?
Speaker #0
Alors, dans le cadre du CERD Santé, typiquement, on fait de la publication de ressources documentaires, genre des mémentos d'hygiène de base de la cybersécurité. Voilà, on fait régulièrement des interventions justement sur toutes les bonnes pratiques et tous les bons réflexes à avoir, que ce soit avant, pendant et après un incident.
Speaker #3
Mais ça, c'est à la limite valable pour l'ensemble des citoyens. Il n'y a pas un truc particulier qui est lié à la manipulation des données santé qui sont quand même hypersensibles ?
Speaker #0
il y a justement des encarts spécifiques sur... Qu'est-ce que c'est qu'une donnée de santé ? Qu'est-ce que ça a de spécifique ? De quoi ça a besoin en termes de vigilance et de protection ? Et ainsi de suite.
Speaker #3
Vous avez quel taux d'accueil de la part des praticiens ? Alors, je sais que votre terrain de jeu, c'est plutôt les hôpitaux, établissements de santé. Mais est-ce que c'est bien accueilli ? Parce que je sais que ça fait quelque temps que je fais ce podcast déjà et que très souvent, les médecins rétorquent qu'on leur met de plus en plus de contraintes administratives, logistiques et compagnie et qu'ils n'ont pas le temps de s'occuper de ça. Est-ce qu'il y a un... Bon accueil sur la question de la cybersécurité, qui semble très loin, finalement, de l'enjeu médical.
Speaker #0
Pour être tout à fait honnête, c'est extrêmement hétérogène. Donc, on a les libéraux avec lesquels on traite ou on échange, on en a qui sont très réceptifs, voire des fois très matures dans leur pratique, parfois presque un peu trop. Et à l'inverse, effectivement, on a des libéraux chez qui le risque numérique, c'est quelque chose de complètement nébuleux. Donc, c'est très, très hétérogène.
Speaker #3
Éric Tannot, là-dessus, effectivement, qu'est-ce que vous avez comme retour, vu vous, d'expérience ou de vécu par rapport aux praticiens que vous côtoyez ?
Speaker #1
L'hétérogénéité, sans doute, mais il y a quand même une mesure qui s'impose, c'est la mise en conformité au RGPD depuis 2016. Donc ça fait quelques temps maintenant. Et logiquement, le médecin qui est aussi responsable de traitement doit s'assurer de la mise en conformité au RGPD, de son cabinet, de son matériel. Et dans le RGPD, il y a un article qui s'intéresse à la sécurité et qui dit qu'il doit mettre en place les mesures techniques et organisationnelles pour protéger ces données et celles de ses patients.
Speaker #3
Donc on va juste faire un point pour ce peut-être qui ne saurait pas, mais RGPD, donc Règlement Européen de Protection des Données, qui oblige à un certain nombre de critères, et notamment trois critères principaux, je crois, notamment pour les médecins, que vous allez nous rappeler, parce que peut-être qu'ils ne sont pas au courant.
Speaker #1
Alors les données sont similes, la médecine en fait partie, les données de santé. Il y a les populations fragiles, en médecine on a les jeunes et les vieux.
Speaker #3
Donc deuxième critère.
Speaker #1
Et les durées de conservation longues, et en médecine c'est au moins 20 ans. Donc on a trois critères qui imposeraient théoriquement que chaque cabinet soit conforme au RGPD et puisse le justifier. Parce qu'en cas de plainte, comme je le rappelais tout à l'heure, le juge lui regardera, qu'est-ce que vous avez fait docteur ? pour protéger les données. Si on n'a rien fait, ça va être un peu compliqué de l'expliquer. Et puis si on a fait, on ne peut pas forcément avoir un risque zéro. Ça n'existe pas nulle part et pour personne. Mais au moins, pouvoir prouver qu'on a fait ce qu'on pouvait.
Speaker #3
Mise en conformité, vous l'avez bien dit, théorique, ça veut dire qu'on est très loin du compte. Vous avez un pourcentage, par exemple, du nombre de...
Speaker #1
Non, mais on est très loin du compte. Et ça ne concerne pas que la médecine, parce que toutes les structures publiques... Les mairies et compagnies sont aussi très bien du compte. Donc on a un gros effort à faire. À un moment où on a bien vu, et dans la santé, c'est écriant ces dernières années, le risque augmente largement et est inflationniste.
Speaker #3
Mais ça veut dire que le législateur finalement donne le temps, ou même l'appareil judiciaire est assez cool dans l'application de la mise en conformité.
Speaker #1
A donner le temps, puisque c'était 2016 avec application en 2018. Et le temps pèse vite, on est en 2024 et... Et il y a encore des tas de structures qui sont aux prémices.
Speaker #3
Oui, mais en préparant cette émission, finalement, j'ai regardé quand même sur Internet pour savoir s'il y avait eu des affaires ou des médecins ou praticiens qui avaient été condamnés dans le cadre de fuites de données et tout ça. Je n'ai rien trouvé. Donc finalement, pour l'instant, ou sinon que c'est avec des matières chèques ?
Speaker #1
On ne communique peut-être pas dessus. Ou les médecins ou professionnels de santé payent peut-être des rançons, mais ne s'en vendent pas. Si vous arrivez le matin et que vous ne savez plus qui vous voyez parce que vous n'avez plus d'agenda, que vous n'avez plus de dossier médical parce que tout est bloqué, etc., si la somme vous paraît en valoir le coup, vous dites « je tente de récupérer mes données » .
Speaker #3
Paiement de rançon,
Speaker #1
degré à gré ? Paiement de rançon, alors degré à gré, c'est généralement des cryptos, etc. Mais on tente pour pouvoir récupérer ses données. Je ne sais pas si derrière... Les hackers jouent le jeu aussi en disant « c'est la santé, mais... »
Speaker #0
Mathieu, je peux vous donner une réponse ?
Speaker #1
Je ne crois pas, ouais.
Speaker #0
Le taux de récupération est extrêmement faible, pour ne pas dire nul. Non, non, payer la rançon, bien sûr qu'on le sait, il y a plein de moments où c'est un réflexe, mais c'est jamais, jamais, jamais une bonne idée.
Speaker #1
C'est pour ça que le jeu en vaut la chandelle de faire l'effort préventif de se protéger au maximum et d'éviter autant que faire se peut le risque. Tout à fait.
Speaker #3
Vous avez des exemples de gens ou de praticiens qui auraient été condamnés suite à des fuites de données ?
Speaker #1
Non, je ne pourrais pas vous les citer, mais je crois que les 30 millions de données de patients qui ont fuité, c'est au départ un médecin chez qui on a pu rentrer dans le système informatique, puis on est remonté dans un second temps au tiers payant, et c'est donc par un médecin. qui lui est le premier fautif, on va dire, que 30 millions de personnes ont vu leur donnée exposée.
Speaker #3
Donc ça veut dire que c'est ce médecin qui est en première ligne et qui porte le risque ?
Speaker #1
C'est un grand classique.
Speaker #3
Ça veut dire que c'est lui qui pénalement serait responsable ?
Speaker #1
Si le juge en décide ainsi, mais oui.
Speaker #0
C'est un grand classique. Nous, les libéraux qui rentrent dans notre périmètre, souvent c'est les libéraux qui interviennent partiellement dans les centres de santé ou dans les hôpitaux. Et c'est effectivement des surfaces d'exposition à risque, parce que justement, ils ne sont pas forcément conformes aux normes de sécurité du SI demandées par l'hôpital, ils ne sont pas forcément conformes aux réglementations en vigueur, etc. Et oui, on le sait que c'est des surfaces de vulnérabilité très fortes.
Speaker #1
C'est aussi le gros problème pour les CPTS, puisque l'ARS, l'assurance maladie et la CPTS signent un contrat, sans vérifier que la CPTS est bien conforme au RGPD. Or, il ne suffit qu'un des maillons. un des membres de la CPTS soit contaminé, il contamine toute la CPTS, et parfois la CPTS, c'est la moitié du département.
Speaker #3
Parce qu'il y a mise en commun des données médicales ?
Speaker #1
Potentiellement.
Speaker #3
Valérie Briolle.
Speaker #4
Merci, docteur Briolle. La question que je pose, est-ce que dans ce cadre-là, où il y a eu les 30 millions, est-ce que le médecin était conforme ou pas ? Et s'il avait été conforme, est-ce que ça empêche des hackers ? de venir hacker son système. Parce que tous les hôpitaux qui sont conformes, ils se sont bien fait hacker gentiment, alors qu'ils répondent aux exigences du RGPD.
Speaker #1
Je ne sais pas qui c'est, donc je ne sais pas s'il était conforme, mais s'il n'était pas, son assurance ne va pas le protéger. Et quand on est un pauvre petit médecin libéral versus un hôpital, ce n'est pas le même risque. Le risque, il n'est jamais zéro de toute manière, mais ce n'est pas la même chose de pouvoir... prouver qu'on a fait l'effort de...
Speaker #4
Donc c'est juste l'histoire de l'assurance qui va modifier les suites situées en conformité ou pas ?
Speaker #1
L'assurance joue sur les aspects financiers, mais le côté pénal, le côté réputationnel, l'assurance ne va pas pouvoir faire grand-chose.
Speaker #3
En fait, la mise en conformité RGPD ne prévient pas du risque, ou en tout cas ne protège pas, mais si on peut montrer qu'on est conforme, on n'est pas pénalement responsable.
Speaker #0
Derrière le RGPD, il y a deux choses. Il y a un volet effectivement mettre en place une série de mesures techniques et opérationnelles pour se protéger des éventuels incidents, des éventuelles attaques. Mais une grosse partie du RGPD, c'est beaucoup plus cadrer, cartographier et structurer les usages légitimes qui sont faits des données qui sont en possession des praticiens. Donc typiquement, déjà avoir conscience qu'elles sont là, avoir conscience que leur usage commercial est réglementé et qu'on ne peut pas en faire n'importe quoi, etc. Et en fait, en réalité, le RGPD a avant tout beaucoup plus une ambition de cadrer ces aspects-là, avant de cadrer les aspects vraiment purement sécurité de... Qu'est-ce qui se passe s'il y a des accès illégitimes à ces données qui sont faits par des attaquants ou des tirs extérieurs ?
Speaker #3
Oui, alors qu'on la réduit finalement qu'à cette seule et dernière fonction.
Speaker #0
En réalité, c'est une toute petite portion, qui est pertinente, mais c'est une toute petite portion du texte.
Speaker #3
Donc il a été très mal vendu le RGPD finalement, parce qu'on le voit comme une contrainte et un cadre hyper violent auquel on doit se conformer tous. Mais finalement, c'est censé plutôt donner conscience. de la valeur des choses et cadrer les choses, c'est ça ?
Speaker #0
C'est ça, c'est-à-dire qu'il y a vraiment une volonté de mise en conscience de « Ah bah déjà, je suis praticien et sur mon ordinateur ou sur mon SI, j'ai tout ça. Est-ce que j'ai besoin de tout ce que j'ai ? Est-ce qu'il n'y a pas des données que j'ai par hasard ? » Et vous serez surpris de la quantité de fois où c'est le cas. Et avoir des listes de coordonnées sur… Le plus classique, c'est le dépassement des délais ou des listes de données bancaires. Ou parce qu'à un moment, il y a eu un outil qui en a eu besoin et où en fait les données sont restées là, alors que parfois l'outil a disparu.
Speaker #1
De ne pas échanger sur les messageries non sécurisées. Maintenant, on a ça depuis quelques années. De ne pas donner sa carte de professionnel de santé à quelqu'un d'autre. De ne pas afficher son code sur un papier post-it.
Speaker #3
De ne plus rien faire.
Speaker #1
Bah si, si, mais avec sécurité. C'est-à-dire ce qu'on fait physiquement, on ferme la clé de son cabinet en partant. Normalement, sur l'ordinateur, ce n'est pas toujours le cas.
Speaker #3
Il y a un élément que vous mettiez en avant aussi, docteur Tannot, c'était la nécessité, pour un praticien aujourd'hui, de se rattacher à un délégué de protection des données, le fameux DPO.
Speaker #1
Alors, ce n'est pas une nécessité, c'est une potentialité, de la même façon qu'on doit déclarer et payer ses impôts, mais on n'est pas obligé de faire appel à un expert comptable. Donc on peut faire appel à un délégué à la protection des données ou faire la démarche seul. C'est une question de choix et de possibilités.
Speaker #3
Alors c'est quel type de personne ? C'est un spécialiste ESI je suppose ? Non, non,
Speaker #1
non,
Speaker #0
c'est pas un spécialiste ESI.
Speaker #1
C'est un public hétérogène, il y a des informaticiens, il y a des juristes, il y a quelques médecins. Mais il faut connaître un peu ces trois thématiques-là. Donc après c'est souvent des moutons à cinq pattes qui s'intéressent à tout ça. Mais maintenant, ça devient un vrai métier avec, au départ, une formation de base qui est hétérogène.
Speaker #3
Donc, comme on prendrait un expert comptable aujourd'hui pour faire ses comptes, on conseillerait de prendre pour le même tarif quelqu'un qui gère la protection de nos données.
Speaker #1
Ça me paraît une démarche raisonnable.
Speaker #3
Je ne connaissais pas du tout ce métier.
Speaker #1
C'est depuis le RGPD.
Speaker #0
D'accord. C'est tout à fait la création du GPO. C'est une des mesures du RGPD, oui.
Speaker #3
Qui existe dans les hôpitaux, puisque vous, c'est...
Speaker #0
En France, c'est... Alors, si je ne m'abuse, en France, c'est obligatoire à partir du moment où on fait au moins une taille de 50 personnes en termes de nombre d'employés. D'accord. C'est pour ça que typiquement, chez les praticiens, ce n'est pas systématique. Par contre, dans les hôpitaux, dans les gros centres médico-sociaux, c'est systématique. C'est obligatoire.
Speaker #3
Qu'est-ce qui endosse ce job aujourd'hui dans les hôpitaux ? Est-ce que c'est des praticiens à la base, chefs de service et tout ça, ou est-ce que c'est des gens qu'on a recrutés exactement pour faire ce job ?
Speaker #0
Très honnêtement, il y a les deux et je rejoins le constat que les profils sont très hétérogènes. C'est-à-dire qu'on peut avoir des profils qui viennent du monde de l'informatique, sans forcément venir du monde de la sécurité d'ailleurs, parce que ce n'est pas tant que ça un métier fléché qu'est la sécurité finalement. Donc voilà, soit on a des profils très informaticiens, soit effectivement nous on rencontre beaucoup de profils qui sont des juristes en fait.
Speaker #3
Si vous avez réussi à convaincre, pendant cette discussion, un médecin libéral qui nous écoute à se mettre en conformité avec le RGPD, éventuellement à aller recruter un DPO, qu'est-ce qu'il doit faire ?
Speaker #1
Il appelle l'URPX et on se remettra en rapport avec lui.
Speaker #3
Très concrètement, c'est uniquement ça ?
Speaker #0
C'est commencer par un état des lieux, en fait.
Speaker #1
C'est un audit au départ pour voir où on en est.
Speaker #0
Et très souvent, surtout chez des libéraux, l'état des lieux initial a déjà énormément de valeur, parce qu'il y a vraiment tout simplement une prise de conscience de « Ah, en fait, j'ai tout ça » . peut-être qu'il y a plein d'éléments sur lesquels je peux littéralement m'en passer, ou alors j'ai juste besoin d'installer un outil tiers pour protéger les données dont je n'avais pas conscience de l'existence. C'est beaucoup de petites choses comme ça. Oui,
Speaker #1
c'est des choses de base. Déjà, mettre à jour la dernière version de son système d'exploitation, où souvent c'est pour colmater des failles. Si on ne l'a pas fait depuis dix ans, c'est sûr que les failles, il y en a partout.
Speaker #3
Est-ce qu'il y a une différence dans l'approche de la gestion des données entre la vieille génération ? Et les jeunes médecins, est-ce qu'il y a une sensibilisation plus forte des jeunes médecins, jeunes diplômés à ce risque cyber ou pas du tout ?
Speaker #0
Il faut voir que l'enjeu de la protection des données et l'enjeu de la sécurité sont différents. Très souvent, ils sont gérés par des personnes différentes, puisqu'on a le DPO d'un côté et le RSSI de l'autre. C'est tellement pointu qu'en fait, nous, on ne constate pas vraiment d'écart générationnel. Ce n'est pas tant que ça lié à la sensibilisation aux usages numériques. C'est globalement plus lié à la prise en compte des enjeux de sécurité et de cybersécurité. et ça c'est... entre guillemets, une découverte et une nouveauté pour tout le monde.
Speaker #3
Et la dernière question est plus générale et elle concerne tout le monde. Est-ce qu'il n'y a pas aussi un problème dans l'approche et la pédagogie qu'on fait autour de cette cybersécurité qui est tellement complexe que finalement, on préfère, nous, citoyens, mettre ce truc de côté en se disant « bon, le jour où ça nous arrivera, on gérera, mais on ne va pas anticiper » . Il y a quand même une nébuleuse autour de cette question de la cybersécurité qui fait que c'est réservé, entre guillemets, à un public de geeks. connaisseurs et personne ne doit s'y mettre. Il n'y a pas un défaut de pédagogie.
Speaker #0
Si totalement, c'est pour ça que de plus en plus il y a des opérations, il y a des ambitions de sensibilisation qui sont faites, alors que ce soit par l'ANS, que ce soit par l'ANSI, que ce soit par d'autres entités publiques et qui fonctionnent oui, à différents degrés, mais oui très honnêtement qui fonctionnent avec des supports, avec des interventions, des conférences, des spots publicitaires.
Speaker #3
Et à l'échelle purement médicale, même chose ? Ça fonctionne quand vous les interpellez ?
Speaker #1
C'est mieux, c'est-à-dire que quand on a eu la loi sur la mise en conformité des cabinets pour les patients handicapés, on a eu des journées entières de formation, des webinaires, des tas de choses. Et là, pour la cybersécurité qui concerne tout le monde finalement, et pas uniquement le médecin, mais tous les citoyens, on a l'impression que dans le cadre médical, il ne se passe pas grand-chose. J'attends désespérément que l'ARS nous fasse une journée spéciale pour les libéraux sur cette thématique-là. Il y a eu une journée, mais on n'a parlé que de l'hôpital. Pourquoi pas en soi, mais l'ARS s'intéresse normalement aussi aux libéraux.
Speaker #3
Bon, l'appel est lancé pour l'ARS. Merci beaucoup, Éric Tannot. Et puis, merci à vous aussi, Olivier Rubécros. pour tous ces éclairages. Donc on a compris que si un médecin libéral veut avoir un DPO ou se mettre en conformité avec le RGPD, il faut appeler l'URPS Île-de-France. A très bientôt !

Description

On en parle avec :

- Olivier Ruet-Cros, analyste sur incidents au CERT Santé
- Dr Eric Tanneau, psychiatre et secrétaire général adjoint de l'URPS médecins.

Le débat est animé par la journaliste Sidonie Watrigant.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Si je ne peux pas vous entraîner,
Speaker #1
c'est une urgence ! Une urgence !
Speaker #2
Vous êtes médecin libéral ? Tout va bien ? Vous êtes au bon endroit ? Bienvenue sur La Voix des Libéraux, le podcast sans tabou des médecins libéraux, produit par l'URPS Médecins Libéraux Île-de-France. L'URPS Médecins Libéraux Île-de-France, c'est l'union professionnelle qui représente et accompagne les médecins franciliens exerçant en libéral. Ce podcast est animé par la journaliste Sidonie Wattrigan.
Speaker #3
Bonjour à tous, merci d'être avec nous pour ce 15e épisode de La Voix des Libéraux, un podcast proposé par l'URPS. Notre souhait, notre objectif, vous le savez maintenant, c'est répondre sans langue de bois à toutes vos interrogations, vous médecins d'Ile-de-France, sur un sujet précis. Et aujourd'hui, on va parler cybersécurité. Et oui, car les médecins libéraux sont en première ligne dans la gestion des données de santé. Et leur digitalisation présente à la fois des avantages dans le suivi médical, mais un vrai risque dans le maintien de la confidentialité. D'où une attention particulière apportée à la cybersécurité de chaque praticien. C'est donc l'objet de notre discussion du jour avec quelques questions auxquelles on va essayer de répondre. Quelle est l'ampleur du risque cyber pour les médecins libéraux ? Quel type de menace et quelles conséquences en cas d'attaque ? Quels sont les outils dont ils disposent pour prévenir le risque cyber ? Et quel est le rôle et le champ d'action du CERT Santé ? Pour répondre à toutes ces questions, on accueille justement Olivier Ruet-Croce, bonjour. Bonjour. Vous êtes analyste en réponse sur l'incident au CERD Santé et le docteur Éric Tannot, bonjour. Bonjour. Vous êtes secrétaire général adjoint du RPS médecins et psychiatres à Paris. Alors la première question est toute simple et elle est pour vous, Olivier. Le CERD Santé, c'est quoi ? Quel est son périmètre d'action ?
Speaker #0
Donc le CERD Santé, c'est une entité publique qui est rattachée au ministère de la Santé. et dont le rôle, c'est d'intervenir sur les incidents de sécurité de l'ensemble des établissements de santé et l'ensemble des établissements médico-sociaux de France.
Speaker #3
Donc, médecins libéraux y compris ou pas ?
Speaker #0
Non, de base, les libéraux ne sont pas dans notre périmètre. Ce n'est pas une volonté de les tenir à l'écart. En fait, c'est pour correspondre à la réalité opérationnelle. C'est-à-dire que le CERF Santé est équipé plutôt pour faire de la gestion de crise sur des grosses structures. Et pour les petites structures et les micro-établissements ou les libéraux... On redirige en général vers d'autres services dédiés, le plus connu c'est Cyberméveillance.
Speaker #3
Et pourtant Eric Tannot, c'est pas parce qu'on est petit que le risque n'existe pas ?
Speaker #1
Non, le risque existe, dès l'instant où on a un ordinateur et même dès l'instant où on a un cabinet et qu'on ne ferme pas sa porte à clé, on peut être cambriolé tout simplement.
Speaker #3
Et donc finalement, les failles que vous traitez à grande échelle, donc on pense aux hôpitaux et on connaît... les actes de malveillance récurrents qui ont lieu sur les hôpitaux, ces failles-là, on ne peut pas les traiter à l'échelle plus petite, pratique, classique ?
Speaker #0
Tout à fait. On peut totalement descendre à une plus petite échelle. C'est juste que très souvent, sur des toutes petites échelles, il y a une nécessité de diminuer le nombre d'acteurs, de diminuer le nombre d'interlocuteurs. Il y a beaucoup plus une nécessité de remplacer le matériel directement ou agir au contact, donc avec des prestataires locaux. Là où des hôpitaux ou des centres médico-sociaux ont beaucoup plus une nécessité de coordination de crise dont les libéraux n'ont pas forcément la nécessité. C'est pour ça qu'on fait la distinction.
Speaker #3
Je vais aller un peu loin dans la question poil à gratter, mais en gros, est-ce que c'est aussi parce que vous n'avez pas les moyens finalement d'être aussi fin dans le maillage ? C'est-à-dire que vous priorisez les plus gros, quoi.
Speaker #0
Alors, il y a une priorisation qui est faite, c'est vrai, pour la limite des capacités à faire des différents services de l'État qui font ça. mais aujourd'hui, non, c'est pas possible. pour ça, c'est pas pour une question de capacité à faire qu'on limite le périmètre. Au contraire, en réalité. C'est plus pour des questions de dépendance et de mettre le bon opérateur en face de chaque victime.
Speaker #3
Côté médecins libéraux, est-ce qu'il y a une conscience, Eric Tannand, une vraie conscience du risque, mais même du risque pénal encouru lorsqu'on est mal armé contre le risque cyber ?
Speaker #1
Conscience, oui, en tant que citoyen, mais ça s'applique toujours aux autres. C'est bien le problème. On est conscient, mais on ne prend pas les mesures de prévention. Et pourtant, les médecins font à la fois du soin, mais à la fois aussi de la prévention. Et puis le risque, il est largement plus large, puisqu'il peut concerner le pénal, secret professionnel, le civil, la réparation du préjudice. Il peut concerner une plainte ordinale avec une condamnation par l'ordre. Et puis aussi une atteinte réputationnelle. Et donc quand on a tout ça, qu'on est tout seul pour gérer la crise parce qu'on s'est fait hacker, et qu'en plus il faut faire face à tous ces aspects juridiques, ça fait beaucoup. Et donc la prévention, c'est vraiment une chose très importante en médecine et aussi pour l'informatique des médecins.
Speaker #3
Juste pour brosser un peu le tableau, en gros, quelles sont les attaques les plus fréquentes auxquelles s'exposent les médecins libéraux ? Quelques exemples que vous auriez en tête.
Speaker #0
Le plus classique, c'est le vol de matériel, le sabotage et l'extorsion de données par le vol. Donc typiquement, on récupère une machine et on va collecter le disque dur, les clés USB qui étaient connectées dessus. C'est les menaces les plus courantes qu'on observe sur les ordinateurs personnels de Liban.
Speaker #3
Et sur lesquels on demande contrepartie financière pour une institution ou c'est pas du tout le...
Speaker #0
Très souvent, c'est plutôt pour un usage, alors soit pour un usage personnel, tout simplement, récupérer le matériel, soit pour un usage de récupérer, par exemple, des données patients pour obtenir des données personnelles et pourquoi pas faire du démarchage commercial agressif, ce genre de choses.
Speaker #3
Éric Tannot, sur les attaques et malveillances qui vous remontent...
Speaker #1
Oui, il y a aussi ce qu'on appelle dans les entreprises des attaques aux présidences. On appelle un médecin, on se fait passer pour je ne sais qui, on lui demande des infos, sa carte bleue. Et puis, comme le médecin est pressé, on lui propose de venir chercher la carte bleue directement. Mais il faut qu'il donne son code. Et du coup, le médecin, en toute honnêteté, il joue le jeu. Il pense que c'est vraiment la banque ou c'est vraiment... Et il donne toutes ces infos. Donc, c'est un risque qui existe dans les entreprises, mais pour chaque citoyen, finalement.
Speaker #3
Vous parliez de la nécessité de la... Prévention, très concrètement, ça se matérialise comment ?
Speaker #0
Alors, dans le cadre du CERD Santé, typiquement, on fait de la publication de ressources documentaires, genre des mémentos d'hygiène de base de la cybersécurité. Voilà, on fait régulièrement des interventions justement sur toutes les bonnes pratiques et tous les bons réflexes à avoir, que ce soit avant, pendant et après un incident.
Speaker #3
Mais ça, c'est à la limite valable pour l'ensemble des citoyens. Il n'y a pas un truc particulier qui est lié à la manipulation des données santé qui sont quand même hypersensibles ?
Speaker #0
il y a justement des encarts spécifiques sur... Qu'est-ce que c'est qu'une donnée de santé ? Qu'est-ce que ça a de spécifique ? De quoi ça a besoin en termes de vigilance et de protection ? Et ainsi de suite.
Speaker #3
Vous avez quel taux d'accueil de la part des praticiens ? Alors, je sais que votre terrain de jeu, c'est plutôt les hôpitaux, établissements de santé. Mais est-ce que c'est bien accueilli ? Parce que je sais que ça fait quelque temps que je fais ce podcast déjà et que très souvent, les médecins rétorquent qu'on leur met de plus en plus de contraintes administratives, logistiques et compagnie et qu'ils n'ont pas le temps de s'occuper de ça. Est-ce qu'il y a un... Bon accueil sur la question de la cybersécurité, qui semble très loin, finalement, de l'enjeu médical.
Speaker #0
Pour être tout à fait honnête, c'est extrêmement hétérogène. Donc, on a les libéraux avec lesquels on traite ou on échange, on en a qui sont très réceptifs, voire des fois très matures dans leur pratique, parfois presque un peu trop. Et à l'inverse, effectivement, on a des libéraux chez qui le risque numérique, c'est quelque chose de complètement nébuleux. Donc, c'est très, très hétérogène.
Speaker #3
Éric Tannot, là-dessus, effectivement, qu'est-ce que vous avez comme retour, vu vous, d'expérience ou de vécu par rapport aux praticiens que vous côtoyez ?
Speaker #1
L'hétérogénéité, sans doute, mais il y a quand même une mesure qui s'impose, c'est la mise en conformité au RGPD depuis 2016. Donc ça fait quelques temps maintenant. Et logiquement, le médecin qui est aussi responsable de traitement doit s'assurer de la mise en conformité au RGPD, de son cabinet, de son matériel. Et dans le RGPD, il y a un article qui s'intéresse à la sécurité et qui dit qu'il doit mettre en place les mesures techniques et organisationnelles pour protéger ces données et celles de ses patients.
Speaker #3
Donc on va juste faire un point pour ce peut-être qui ne saurait pas, mais RGPD, donc Règlement Européen de Protection des Données, qui oblige à un certain nombre de critères, et notamment trois critères principaux, je crois, notamment pour les médecins, que vous allez nous rappeler, parce que peut-être qu'ils ne sont pas au courant.
Speaker #1
Alors les données sont similes, la médecine en fait partie, les données de santé. Il y a les populations fragiles, en médecine on a les jeunes et les vieux.
Speaker #3
Donc deuxième critère.
Speaker #1
Et les durées de conservation longues, et en médecine c'est au moins 20 ans. Donc on a trois critères qui imposeraient théoriquement que chaque cabinet soit conforme au RGPD et puisse le justifier. Parce qu'en cas de plainte, comme je le rappelais tout à l'heure, le juge lui regardera, qu'est-ce que vous avez fait docteur ? pour protéger les données. Si on n'a rien fait, ça va être un peu compliqué de l'expliquer. Et puis si on a fait, on ne peut pas forcément avoir un risque zéro. Ça n'existe pas nulle part et pour personne. Mais au moins, pouvoir prouver qu'on a fait ce qu'on pouvait.
Speaker #3
Mise en conformité, vous l'avez bien dit, théorique, ça veut dire qu'on est très loin du compte. Vous avez un pourcentage, par exemple, du nombre de...
Speaker #1
Non, mais on est très loin du compte. Et ça ne concerne pas que la médecine, parce que toutes les structures publiques... Les mairies et compagnies sont aussi très bien du compte. Donc on a un gros effort à faire. À un moment où on a bien vu, et dans la santé, c'est écriant ces dernières années, le risque augmente largement et est inflationniste.
Speaker #3
Mais ça veut dire que le législateur finalement donne le temps, ou même l'appareil judiciaire est assez cool dans l'application de la mise en conformité.
Speaker #1
A donner le temps, puisque c'était 2016 avec application en 2018. Et le temps pèse vite, on est en 2024 et... Et il y a encore des tas de structures qui sont aux prémices.
Speaker #3
Oui, mais en préparant cette émission, finalement, j'ai regardé quand même sur Internet pour savoir s'il y avait eu des affaires ou des médecins ou praticiens qui avaient été condamnés dans le cadre de fuites de données et tout ça. Je n'ai rien trouvé. Donc finalement, pour l'instant, ou sinon que c'est avec des matières chèques ?
Speaker #1
On ne communique peut-être pas dessus. Ou les médecins ou professionnels de santé payent peut-être des rançons, mais ne s'en vendent pas. Si vous arrivez le matin et que vous ne savez plus qui vous voyez parce que vous n'avez plus d'agenda, que vous n'avez plus de dossier médical parce que tout est bloqué, etc., si la somme vous paraît en valoir le coup, vous dites « je tente de récupérer mes données » .
Speaker #3
Paiement de rançon,
Speaker #1
degré à gré ? Paiement de rançon, alors degré à gré, c'est généralement des cryptos, etc. Mais on tente pour pouvoir récupérer ses données. Je ne sais pas si derrière... Les hackers jouent le jeu aussi en disant « c'est la santé, mais... »
Speaker #0
Mathieu, je peux vous donner une réponse ?
Speaker #1
Je ne crois pas, ouais.
Speaker #0
Le taux de récupération est extrêmement faible, pour ne pas dire nul. Non, non, payer la rançon, bien sûr qu'on le sait, il y a plein de moments où c'est un réflexe, mais c'est jamais, jamais, jamais une bonne idée.
Speaker #1
C'est pour ça que le jeu en vaut la chandelle de faire l'effort préventif de se protéger au maximum et d'éviter autant que faire se peut le risque. Tout à fait.
Speaker #3
Vous avez des exemples de gens ou de praticiens qui auraient été condamnés suite à des fuites de données ?
Speaker #1
Non, je ne pourrais pas vous les citer, mais je crois que les 30 millions de données de patients qui ont fuité, c'est au départ un médecin chez qui on a pu rentrer dans le système informatique, puis on est remonté dans un second temps au tiers payant, et c'est donc par un médecin. qui lui est le premier fautif, on va dire, que 30 millions de personnes ont vu leur donnée exposée.
Speaker #3
Donc ça veut dire que c'est ce médecin qui est en première ligne et qui porte le risque ?
Speaker #1
C'est un grand classique.
Speaker #3
Ça veut dire que c'est lui qui pénalement serait responsable ?
Speaker #1
Si le juge en décide ainsi, mais oui.
Speaker #0
C'est un grand classique. Nous, les libéraux qui rentrent dans notre périmètre, souvent c'est les libéraux qui interviennent partiellement dans les centres de santé ou dans les hôpitaux. Et c'est effectivement des surfaces d'exposition à risque, parce que justement, ils ne sont pas forcément conformes aux normes de sécurité du SI demandées par l'hôpital, ils ne sont pas forcément conformes aux réglementations en vigueur, etc. Et oui, on le sait que c'est des surfaces de vulnérabilité très fortes.
Speaker #1
C'est aussi le gros problème pour les CPTS, puisque l'ARS, l'assurance maladie et la CPTS signent un contrat, sans vérifier que la CPTS est bien conforme au RGPD. Or, il ne suffit qu'un des maillons. un des membres de la CPTS soit contaminé, il contamine toute la CPTS, et parfois la CPTS, c'est la moitié du département.
Speaker #3
Parce qu'il y a mise en commun des données médicales ?
Speaker #1
Potentiellement.
Speaker #3
Valérie Briolle.
Speaker #4
Merci, docteur Briolle. La question que je pose, est-ce que dans ce cadre-là, où il y a eu les 30 millions, est-ce que le médecin était conforme ou pas ? Et s'il avait été conforme, est-ce que ça empêche des hackers ? de venir hacker son système. Parce que tous les hôpitaux qui sont conformes, ils se sont bien fait hacker gentiment, alors qu'ils répondent aux exigences du RGPD.
Speaker #1
Je ne sais pas qui c'est, donc je ne sais pas s'il était conforme, mais s'il n'était pas, son assurance ne va pas le protéger. Et quand on est un pauvre petit médecin libéral versus un hôpital, ce n'est pas le même risque. Le risque, il n'est jamais zéro de toute manière, mais ce n'est pas la même chose de pouvoir... prouver qu'on a fait l'effort de...
Speaker #4
Donc c'est juste l'histoire de l'assurance qui va modifier les suites situées en conformité ou pas ?
Speaker #1
L'assurance joue sur les aspects financiers, mais le côté pénal, le côté réputationnel, l'assurance ne va pas pouvoir faire grand-chose.
Speaker #3
En fait, la mise en conformité RGPD ne prévient pas du risque, ou en tout cas ne protège pas, mais si on peut montrer qu'on est conforme, on n'est pas pénalement responsable.
Speaker #0
Derrière le RGPD, il y a deux choses. Il y a un volet effectivement mettre en place une série de mesures techniques et opérationnelles pour se protéger des éventuels incidents, des éventuelles attaques. Mais une grosse partie du RGPD, c'est beaucoup plus cadrer, cartographier et structurer les usages légitimes qui sont faits des données qui sont en possession des praticiens. Donc typiquement, déjà avoir conscience qu'elles sont là, avoir conscience que leur usage commercial est réglementé et qu'on ne peut pas en faire n'importe quoi, etc. Et en fait, en réalité, le RGPD a avant tout beaucoup plus une ambition de cadrer ces aspects-là, avant de cadrer les aspects vraiment purement sécurité de... Qu'est-ce qui se passe s'il y a des accès illégitimes à ces données qui sont faits par des attaquants ou des tirs extérieurs ?
Speaker #3
Oui, alors qu'on la réduit finalement qu'à cette seule et dernière fonction.
Speaker #0
En réalité, c'est une toute petite portion, qui est pertinente, mais c'est une toute petite portion du texte.
Speaker #3
Donc il a été très mal vendu le RGPD finalement, parce qu'on le voit comme une contrainte et un cadre hyper violent auquel on doit se conformer tous. Mais finalement, c'est censé plutôt donner conscience. de la valeur des choses et cadrer les choses, c'est ça ?
Speaker #0
C'est ça, c'est-à-dire qu'il y a vraiment une volonté de mise en conscience de « Ah bah déjà, je suis praticien et sur mon ordinateur ou sur mon SI, j'ai tout ça. Est-ce que j'ai besoin de tout ce que j'ai ? Est-ce qu'il n'y a pas des données que j'ai par hasard ? » Et vous serez surpris de la quantité de fois où c'est le cas. Et avoir des listes de coordonnées sur… Le plus classique, c'est le dépassement des délais ou des listes de données bancaires. Ou parce qu'à un moment, il y a eu un outil qui en a eu besoin et où en fait les données sont restées là, alors que parfois l'outil a disparu.
Speaker #1
De ne pas échanger sur les messageries non sécurisées. Maintenant, on a ça depuis quelques années. De ne pas donner sa carte de professionnel de santé à quelqu'un d'autre. De ne pas afficher son code sur un papier post-it.
Speaker #3
De ne plus rien faire.
Speaker #1
Bah si, si, mais avec sécurité. C'est-à-dire ce qu'on fait physiquement, on ferme la clé de son cabinet en partant. Normalement, sur l'ordinateur, ce n'est pas toujours le cas.
Speaker #3
Il y a un élément que vous mettiez en avant aussi, docteur Tannot, c'était la nécessité, pour un praticien aujourd'hui, de se rattacher à un délégué de protection des données, le fameux DPO.
Speaker #1
Alors, ce n'est pas une nécessité, c'est une potentialité, de la même façon qu'on doit déclarer et payer ses impôts, mais on n'est pas obligé de faire appel à un expert comptable. Donc on peut faire appel à un délégué à la protection des données ou faire la démarche seul. C'est une question de choix et de possibilités.
Speaker #3
Alors c'est quel type de personne ? C'est un spécialiste ESI je suppose ? Non, non,
Speaker #1
non,
Speaker #0
c'est pas un spécialiste ESI.
Speaker #1
C'est un public hétérogène, il y a des informaticiens, il y a des juristes, il y a quelques médecins. Mais il faut connaître un peu ces trois thématiques-là. Donc après c'est souvent des moutons à cinq pattes qui s'intéressent à tout ça. Mais maintenant, ça devient un vrai métier avec, au départ, une formation de base qui est hétérogène.
Speaker #3
Donc, comme on prendrait un expert comptable aujourd'hui pour faire ses comptes, on conseillerait de prendre pour le même tarif quelqu'un qui gère la protection de nos données.
Speaker #1
Ça me paraît une démarche raisonnable.
Speaker #3
Je ne connaissais pas du tout ce métier.
Speaker #1
C'est depuis le RGPD.
Speaker #0
D'accord. C'est tout à fait la création du GPO. C'est une des mesures du RGPD, oui.
Speaker #3
Qui existe dans les hôpitaux, puisque vous, c'est...
Speaker #0
En France, c'est... Alors, si je ne m'abuse, en France, c'est obligatoire à partir du moment où on fait au moins une taille de 50 personnes en termes de nombre d'employés. D'accord. C'est pour ça que typiquement, chez les praticiens, ce n'est pas systématique. Par contre, dans les hôpitaux, dans les gros centres médico-sociaux, c'est systématique. C'est obligatoire.
Speaker #3
Qu'est-ce qui endosse ce job aujourd'hui dans les hôpitaux ? Est-ce que c'est des praticiens à la base, chefs de service et tout ça, ou est-ce que c'est des gens qu'on a recrutés exactement pour faire ce job ?
Speaker #0
Très honnêtement, il y a les deux et je rejoins le constat que les profils sont très hétérogènes. C'est-à-dire qu'on peut avoir des profils qui viennent du monde de l'informatique, sans forcément venir du monde de la sécurité d'ailleurs, parce que ce n'est pas tant que ça un métier fléché qu'est la sécurité finalement. Donc voilà, soit on a des profils très informaticiens, soit effectivement nous on rencontre beaucoup de profils qui sont des juristes en fait.
Speaker #3
Si vous avez réussi à convaincre, pendant cette discussion, un médecin libéral qui nous écoute à se mettre en conformité avec le RGPD, éventuellement à aller recruter un DPO, qu'est-ce qu'il doit faire ?
Speaker #1
Il appelle l'URPX et on se remettra en rapport avec lui.
Speaker #3
Très concrètement, c'est uniquement ça ?
Speaker #0
C'est commencer par un état des lieux, en fait.
Speaker #1
C'est un audit au départ pour voir où on en est.
Speaker #0
Et très souvent, surtout chez des libéraux, l'état des lieux initial a déjà énormément de valeur, parce qu'il y a vraiment tout simplement une prise de conscience de « Ah, en fait, j'ai tout ça » . peut-être qu'il y a plein d'éléments sur lesquels je peux littéralement m'en passer, ou alors j'ai juste besoin d'installer un outil tiers pour protéger les données dont je n'avais pas conscience de l'existence. C'est beaucoup de petites choses comme ça. Oui,
Speaker #1
c'est des choses de base. Déjà, mettre à jour la dernière version de son système d'exploitation, où souvent c'est pour colmater des failles. Si on ne l'a pas fait depuis dix ans, c'est sûr que les failles, il y en a partout.
Speaker #3
Est-ce qu'il y a une différence dans l'approche de la gestion des données entre la vieille génération ? Et les jeunes médecins, est-ce qu'il y a une sensibilisation plus forte des jeunes médecins, jeunes diplômés à ce risque cyber ou pas du tout ?
Speaker #0
Il faut voir que l'enjeu de la protection des données et l'enjeu de la sécurité sont différents. Très souvent, ils sont gérés par des personnes différentes, puisqu'on a le DPO d'un côté et le RSSI de l'autre. C'est tellement pointu qu'en fait, nous, on ne constate pas vraiment d'écart générationnel. Ce n'est pas tant que ça lié à la sensibilisation aux usages numériques. C'est globalement plus lié à la prise en compte des enjeux de sécurité et de cybersécurité. et ça c'est... entre guillemets, une découverte et une nouveauté pour tout le monde.
Speaker #3
Et la dernière question est plus générale et elle concerne tout le monde. Est-ce qu'il n'y a pas aussi un problème dans l'approche et la pédagogie qu'on fait autour de cette cybersécurité qui est tellement complexe que finalement, on préfère, nous, citoyens, mettre ce truc de côté en se disant « bon, le jour où ça nous arrivera, on gérera, mais on ne va pas anticiper » . Il y a quand même une nébuleuse autour de cette question de la cybersécurité qui fait que c'est réservé, entre guillemets, à un public de geeks. connaisseurs et personne ne doit s'y mettre. Il n'y a pas un défaut de pédagogie.
Speaker #0
Si totalement, c'est pour ça que de plus en plus il y a des opérations, il y a des ambitions de sensibilisation qui sont faites, alors que ce soit par l'ANS, que ce soit par l'ANSI, que ce soit par d'autres entités publiques et qui fonctionnent oui, à différents degrés, mais oui très honnêtement qui fonctionnent avec des supports, avec des interventions, des conférences, des spots publicitaires.
Speaker #3
Et à l'échelle purement médicale, même chose ? Ça fonctionne quand vous les interpellez ?
Speaker #1
C'est mieux, c'est-à-dire que quand on a eu la loi sur la mise en conformité des cabinets pour les patients handicapés, on a eu des journées entières de formation, des webinaires, des tas de choses. Et là, pour la cybersécurité qui concerne tout le monde finalement, et pas uniquement le médecin, mais tous les citoyens, on a l'impression que dans le cadre médical, il ne se passe pas grand-chose. J'attends désespérément que l'ARS nous fasse une journée spéciale pour les libéraux sur cette thématique-là. Il y a eu une journée, mais on n'a parlé que de l'hôpital. Pourquoi pas en soi, mais l'ARS s'intéresse normalement aussi aux libéraux.
Speaker #3
Bon, l'appel est lancé pour l'ARS. Merci beaucoup, Éric Tannot. Et puis, merci à vous aussi, Olivier Rubécros. pour tous ces éclairages. Donc on a compris que si un médecin libéral veut avoir un DPO ou se mettre en conformité avec le RGPD, il faut appeler l'URPS Île-de-France. A très bientôt !

Embed