Comment passe-t-on du hameçonnage d’un professionnel de santé à l’exfiltration des données de 33 millions de personnes ? Ni Viamedis, ni Almerys n’a officiellement répondu à cette question.
Les deux entreprises, gestionnaires majeurs de tiers payant, ont subi les cyberattaques que l’on sait. Elles en ont reconnu le vecteur initial, mais n’ont pas détaillé le mode opératoire qui a permis l’accès a de tels volumes d’informations.
Coïncidence ? C’est dans ce contexte que la CNIL annonce avoir mis en demeure plusieurs établissements de santé. Elle leur demande de mettre en place trois types de protections pour les DPI (dossiers patients informatisés) :
– Une politique d’authentification robuste
– Une journalisation des accès
– Des habilitations spécifiques, selon deux critères
D’une part, le métier exercé : un agent d’accueil, par exemple, ne doit accéder qu’aux dossiers administratifs ; pas aux données médicales.
De l’autre, la notion d’équipe de soins : seuls les professionnels de santé effectivement impliqués dans la prise en charge d’un patient ou les soins qui lui sont prodigués peuvent avoir accès aux informations couvertes par le secret médical.
On agrémentera éventuellement ces habilitations d’un mode « bris de glace ». Celui-ci permettra des accès d’urgence pour les agents administratifs et les professionnels de santé.
La CNIL conseille également des mesures de confidentialité renforcées pour des dossiers particuliers. Par exemple, ceux de patients provenant d’établissements pénitentiaires.
La commission affirme prévoir des « mesures correctrices » contre d’autres établissements en 2024.
À consulter en complément :
Pourquoi la CNIL a autorisé le Health Data Hub à héberger des données de santé chez Microsoft
Santé, edtech, IA… Où en sont les « bacs à sable » de la CNIL ?
Les « sanctions RGPD » que la CNIL a prononcées en 2023
Du service interne au plan d’action : l’IA infuse à la CNIL
Illustration © Arunas Gabalis – Shutterstock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…