Avec le déploiement du dossier médical partagé (DMP), la généralisation de la prise de rendez-vous sur le web et les récents piratages essuyés par Almerys et Viamedis, la sécurité des informations médicales en ligne est un sujet brûlant. Voici comment mieux vous protéger.
- storage8633 serveurs
- language112 pays couverts
- lan10 connexions simultanées
- moodEssai gratuit 30 jours
- descriptionPas de log de données
Même si vous n’avez pas la main sur ce qui se passe en bout de chaîne, vous pouvez prendre quelques mesures qui vous permettront de renforcer la sécurité de vos données de santé. Qu’il s’agisse de petites habitudes à changer, de nouveaux réflexes à adopter, ou d’outils spéciaux à privilégier, la rédaction fait le point sur l’ensemble des pratiques à mettre en place au quotidien pour que vos informations médicales en ligne, considérées comme données sensibles par le RGPD, soient autant protégées que possibles.
Données médicales en ligne : entre sécurité théorique et risques réels
Vous le savez, la protection des données médicales en ligne relève de la plus haute importance, non seulement pour préserver la confidentialité des informations personnelles, mais aussi pour assurer l'intégrité des soins de santé. Avec la numérisation croissante du secteur de la santé, des informations extrêmement sensibles circulent désormais sur Internet. On parle ici d’antécédents médicaux, mais aussi de diagnostics, d’ordonnances, ou encore de résultats d’analyses. Leur nature délicate et personnelle les rend vulnérables à diverses menaces en ligne, en particulier aux cyberattaques et aux fuites de données, mais aussi à leur revente et à leur exploitation abusive par des tiers.
Il faut bien comprendre que les informations de santé revêtent un caractère tout particulier. En France, le RGPD les classe dans la catégorie des données sensibles, et exige des soignants, des infrastructures médicales et des fournisseurs de services spécialisés de répondre à un cahier des charges très strict pour assurer leur protection et leur confidentialité. Parmi les mesures techniques et organisationnelles imposées, on peut citer l’obligation pour les professionnels et établissements de santé de recourir à des prestataires d’hébergement certifiés HDS s’ils délèguent le traitement de leurs données médicales.
À titre d’exemple, un praticien effectuant des consultations en visio et transmettant des ordonnances en ligne doit recourir à des plateformes répondant aux normes HDS imposées par le RGPD, qui assurent la gestion minutieuse des serveurs (mises à jour, sauvegardes, chiffrement des échanges, du stockage et des connexions, protections physiques, accès à privilèges, etc.).
Plus important encore, ces obligations doivent être incluses dans les contrats signés entre prestataires de service et fournisseurs d’espace de stockage en ligne, et s’appliquent quel que soit l’emplacement de stockage des données.
Des mesures essentielles, alors que de plus en plus d’échanges de données médicales se font en ligne et que le système de santé français a officiellement déployé le DMP, sorte de carnet de santé regroupant – et recoupant – l’ensemble des informations liées aux différents parcours de soin des patients.
Données médicales en ligne : minimiser les risques en tant que patient
Malgré la législation en place et les techniques de protection les plus pointues, le risque que représentent les cyberattaques et autres violations de données existe toujours. En témoignent les récents piratages des opérateurs de tiers-payant Almerys et Viamedis. Si aucune information de santé n’a été divulguée à proprement parler, les hackers ont néanmoins pu mettre la main sur les numéros de Sécurité sociale des patients, ainsi que sur leurs garanties de contrat, leur identité civile et leur date de naissance. Soit des données suffisamment intéressantes pour permettre aux pirates de déployer des techniques d’ingénierie sociale pour soutirer aux patients des informations autrement confidentielles comme des numéros bancaires, en se faisant directement passer pour l’assurance maladie ou la complémentaire santé, par exemple.
En tant qu’internaute, vous ne pouvez malheureusement pas échapper au risque de piratage des professionnels et fournisseurs de services qui gèrent vos données de santé. Néanmoins, vous pouvez renforcer leur sécurité et votre anonymat en prenant des mesures préventives et complémentaires des obligations RGPD.
Tout d’abord, lorsque vous transmettez des informations médicales à votre médecin, ne le faites jamais par mail si votre messagerie repose sur un système de chiffrement basique. Il est impératif de passer par des services mail offrant un chiffrement de bout en bout (E2EE), ainsi que des outils garantissant la confidentialité de votre message dans le cas où le fournisseur mail de votre médecin ne serait pas compatible E2EE (protection par mot de passe, par exemple). Même consigne pour le stockage et le partage de documents en ligne.
De manière générale, il est aussi important de revoir vos habitudes de navigation et d’adopter les bons réflexes. Forcez les connexions HTTPS pour les sites HTTP, ou rabattez-vous vers des plateformes alternatives sécurisées lorsque HTTPS n’est pas disponible.
Ne créez jamais de compte patient à l’aide des méthodes simplifiées Google Connect ou Facebook Connect, au risque de partager involontairement vos informations médicales avec ces deux géants du web dont les modèles économiques reposent sur l’exploitation des données personnelles.
Ne transmettez jamais d’informations sensibles, même en HTTPS, lorsque vous êtes connecté à un réseau Wi-Fi public et/ou très fréquenté. La sécurité de ces types de hotspots laisse généralement à désirer, et les hackers ne rencontrent aucune difficulté à les pirater pour en intercepter le trafic.
Modifiez vos mots de passe compromis en prenant soin de créer des chaînes de caractères complexes et uniques pour chaque service en ligne. Si vous manquez d’inspiration ou que vous craignez de les oublier, vous pouvez utiliser un gestionnaire de mots de passe avec générateur intégré et espace de stockage chiffré.
Activez l’A2F sur tous vos comptes en ligne lorsqu’elle est disponible. Dans la mesure du possible, privilégiez les applications d’authentification spécialisées aux SMS et aux emails, surtout si vous avez des raisons de penser que votre numéro de téléphone et votre adresse mail ont fuité.
Pensez enfin à renforcer la sécurité de vos connexions à l’aide d’un VPN de confiance. Ce dispositif intermédiaire entre votre appareil et le web chiffre et isole vos connexions de manière à empêcher tiers malveillants et trop curieux d’accéder au contenu et à la destination de votre trafic. Pour trouver un VPN gratuit ou premium de confiance, il est crucial de se renseigner sur sa réputation et sa politique de confidentialité. Le fournisseur de réseau privé virtuel doit répondre à des exigences no-log strictes, utiliser des protocoles de communication fiables et stables (OpenVPN, WireGard), prendre e charge les algorithmes de chiffrement les plus solides (AES-256) et proposer des fonctionnalités de sécurité renforcée.
Proton VPN : la solution de sécurité sans faille pour protéger vos données de santé en ligne
Parmi les fournisseurs de réseau privé virtuel réunissant l’ensemble de ces critères, Proton VPN est un choix à privilégier. Domicilié en Suisse, pays aux lois encadrant strictement et favorablement le droit à la vie privée et à l’anonymat en ligne, le service administre une vaste infrastructure de plus de 3 800 serveurs dans 85 pays. Certains de ses équipements offrent des options de sécurité renforcées, à l’image de ses serveurs Tor et Secure Core, ces derniers étant hébergés dans une ancienne base militaire en Islande, un centre de données souterrain en Suède et un abri antiatomique de l’armée en Suisse. On apprécie également le chiffrement intégral de l’ensemble de l’infrastructure physique de Proton, garantissant que même l’entreprise ne peut accéder aux informations qui y circulent.
Outre la solidité et la fiabilité de son parc réseau, Proton VPN prend en charge les protocoles OpenVPN et WireGuard, compatibles AES-256. Le déploiement de son protocole maison Stealth permet de brouiller davantage les pistes puisqu’il est capable de dissimuler le trafic VPN dans du trafic HTTPS classique, et ainsi d’invisibiliser encore plus la connexion.
Afin de ne faire aucun compromis tant concernant la sécurité des données personnelles que la vitesse de navigation, Proton VPN s’évertue à développer des fonctionnalités bienvenues, à l’image de son VPN Accelerator (amélioration de la vitesse de connexion jusqu’à 400%), de son bouclier NetShield (bloqueur de publicités et de sites web malveillants) ou de son module de redirection de ports (ouverture automatique, temporaire et sécurisée de ports pour un ensemble d’IP prédéfinies, de manière à prévenir l’ouverture manuelle, pérenne et dangereuse de ports exploitables par des pirates).
Enfin, parce que Proton estime que la confidentialité doit être la norme par défaut et accessible à tous sans condition de revenus, son VPN est accessible gratuitement sans limitation de durée (1 appareil, 246 serveurs dans 7 pays) et s’intègre parfaitement dans un écosystème d’applications privées (Drive, Mail, Calendar, Pass) qui vous permettront de stocker vos données de santé, partager des documents médicaux et échanger avec vos soignants en toute sécurité.
Jusqu'au 19 mars, Proton VPN propose actuellement une belle promotion avec une réduction de 64%sur un forfait 30 mois. Le coût passe alors de 9,99€ à 3,59€/mois. Sur 15 mois, la promotion est de 60% pour un coût mensuel à 3,99€.
- storage8633 serveurs
- language112 pays couverts
- lan10 connexions simultanées
- moodEssai gratuit 30 jours
- descriptionPas de log de données
Proton VPN constitue l'un des fournisseurs VPN qui a le plus évolué au cours des derniers mois. Affichant de l'une des plus belles interfaces du marché, Proton VPN intègre désormais un accélérateur de VPN qui augmente jusqu'à 400 % les vitesses de connexion. Réputé pour son haut niveau de sécurité et de confidentialité, ce service, qui s'adressait essentiellement aux journalistes et aux dissidents par le passé, possède aujourd'hui tous les atouts pour séduire le grand public.
- Le plus haut niveau de sécurité
- Interface moderne et intuitive
- Serveurs dédiés au streaming/P2P
- Protocole Stealth (fonctionne en Russie)
- Vitesse de connexion optimisée
- Pas de profils par usages spécifiques
- Pas de possibilité d'ajouter rapidement des serveurs en favoris