Cybersécurité 3: La sécurité avant tout

Il faut faire preuve d’une grande prudence lorsqu’on traite des informations sensibles en matière de vie privée, telles que des données de patients. Les pirates informatiques nous guettent, mais l’erreur humaine peut aussi causer des dommages involontaires. Et qu’en est-il de l’intelligence artificielle (IA) et de la vie privée actuellement ?

Situation alarmante
Lors de l’envoi de données sensibles, la vigilance est de mise. En effet, les chiffres de l’Autoriteit Persoonsgegevens, autorité néerlandaise de la protection des données, révèlent que 64 % des fuites de données au cours du premier semestre 2018 ont été causées par l’envoi de données à caractère personnel par e-mail à un mauvais destinataire. Un chiffre – certes en provenance des Pays-Bas – qui fait sourciller. Notre DPO, Denis Hanjoul, explique que le RGPD est néanmoins clair à ce sujet et que des données sensibles en matière de vie privée ne peuvent être transmises que via des courriels sécurisés. « Dans de tels cas, qui impliquent notamment l’utilisation de nouvelles technologies, une analyse d’impact relative à la protection des données doit être effectuée par le responsable du traitement, préalablement au traitement, en vue d’évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de la portée, du contexte et des finalités du traitement et des sources du risque. »

Phishing
Les risques ne sont pas négligeables de nos jours. Les pirates informatiques sont plus professionnels et déterminés que jamais, sachant que l’impact sur les organisations du secteur des soins peut s’avérer catastrophique. Fin de l’an dernier, l’assureur Allianz Partners a ainsi fait la une des journaux suite au vol d’informations médicales, d’adresses et de coordonnées bancaires de 160 000 clients belges. Les rançongiciels sont généralement diffusés par le biais de courriels frauduleux : le phishing. Il convient donc d’être vigilant. Faites le test ici pour découvrir si vous identifiez des messages suspects. Et lisez également ces conseils.

Mobile

Le Threat report de SophosLabs indique que la sécurisation des points d’accès est cruciale, mais qu’il en va de même pour les données contenues sur des appareils mobiles. En effet, une messagerie professionnelle sur un appareil mobile peu ou non sécurisé offre un accès très aisé aux données de l’entreprise. C’est pourquoi Denis Hanjoul conseille de protéger votre smartphone, iPad ou ordinateur portable avec un mot de passe fort ou un filtre de confidentialité. Lisez ici notre article de blog sur Siilo, application gratuite pour les professionnels de la santé.

Sécurisé

Des mots de passe forts sont donc absolument nécessaires. Trop souvent, les gens se contentent de combinaisons chiffrées trop évidentes comme 123456 ou de mots comme « azerty », « bienvenue », « password », etc. qui laissent la porte grand ouverte aux abus. Voici une liste de mots de passe à éviter. Le problème des mots de passe est cependant qu’il faut en tenir toute une liste à la longue. Un outil pratique pour pallier ce problème est le LastPass, une application de la société américaine LogMeIn. Un mot de passe génère une clé unique qui verrouille et déverrouille vos données. Notre DPO a analysé pour nous si cet outil est conforme au RGPD. Cliquez ici pour en savoir plus sur les mesures techniques et organisationnelles (MTO) prises par la société LogMeIn. Il s’agit notamment du chiffrement AES de 256 bits, de la fonction de hachage, de l’authentification multifactorielle (MFA), etc. En tant qu’utilisateur, vous pouvez également conclure un contrat de sous-traitance avec eux et vous avez la possibilité d’exporter ou de supprimer vos données. Vous trouverez de plus amples informations sur leur conformité avec le RGPD sur leur site web. Denis Hanjoul, DPO : « Une faiblesse possible réside dans le fait que – en cas de violation de la sécurité – tous vos mots de passe seront piratés, mais LastPass n’a connu qu’un seul incident au cours des 10 dernières années et les malfaiteurs n’ont eu accès qu’à des hachages cryptés. Pour plus d’explications (pour les nerds parmi nous), cliquez ici.  Bien qu’il est vrai aussi qu’ils envoient des données de l’Europe vers l’Amérique, le RGPD ne s’y oppose pas en principe. Cette opération a lieu dans le cadre du bouclier de protection des données entre l’UE et les États-Unis ».

Les informations sensibles peuvent être transmises en toute sécurité via des solutions de partage de fichiers. Dans cet article de blog, nous avons examiné de plus près WeTransfer, Telegram et Firefox Send.

Intelligence artificielle (IA) et vie privée
Pour finir, qu’en est-il des applications IA dans le domaine des soins de santé telles que la reconnaissance visuelle, l’aide à la décision clinique, l’analyse prédictive, l’assistant virtuel, etc. ? Pour l’instant, il n’existe pas de réglementation spécifique sur l’IA, mais bien des lignes directrices au niveau européen et si l’IA utilise des données personnelles, l’article 22 du RGPD est d’application. Toutefois, tant que l’IA n’est pas suffisamment développée pour être considérée comme faisant partie intégrante de soins de qualité, l’article 9, paragraphe 2, point h) du RGPD, qui stipule que le traitement des données de patients est nécessaire à la fourniture de soins de santé, ne peut pas servir de base juridique.

Il reste beaucoup à dire à ce sujet. Nous continuerons à y consacrer de l’attention depuis divers points de vue dans les semaines à venir.

Published by

Related Posts