Accès au poste de travail
Au minimum, c’est un mot de passe par poste ou par utilisateur selon le paramétrage effectué. Il doit avoir au moins six caractères et être changé régulièrement. Chez CLM (Cegedim Logiciels Médicaux), le logiciel est bloqué au bout de trois essais infructueux. « Nous recommandons de le changer tous les trois mois pour les installations en réseau ». Sur Axisanté, il faut le changer tous les deux mois, « mais les utilisateurs n’aiment pas ça ». La procédure la plus sécurisée, mais laissée au choix de l’utilisateur, est la lecture de la CPS avec saisie du code porteur. L’accès par CPS est intégré dans la plupart logiciels, excepté Hellodoc (la carte CPS ne sert que pour la messagerie sécurisée et les FSE) et MédiPratick. Elle est prévue pour XMed d’ici la fin de l’année et en 2011 pour Axisanté5.
Les droits d’accès sont gérés par tous les logiciels. Différents selon les utilisateurs, ils peuvent être paramétrés plus ou moins finement. La traçabilité (qui a fait quoi dans le logiciel) est toujours assurée mais pas toujours accessible (il faut parfois passer par l’éditeur pour retrouver les traces…)
Sauvegarde
Les éditeurs ont mis en place des procédures automatiques ou planifiées (à la demande) pour simplifier la tâche de l’utilisateur. Soit l’installateur programme systématiquement la sauvegarde qu’il fournit ou qui lui est fournie (FISI), soit le logiciel de sauvegarde est inclus (Shaman, HDBackup intégré à Hellodoc, module de sauvegarde propriétaire et paramétré chez CLM, utilitaire fourni avec MediMust, système intégré sur Axisanté paramétré pour une sauvegarde automatique). La sauvegarde journalière sur des disques durs externes en alternance (jour pair/jour impair) est recommandée par la quasi totalité des éditeurs avec, par exemple, un archivage complet de mensuel à annuel. Le support doit être de préférence amovible (une clé USB en alternance pour les petits volumes) pour le sortir du cabinet. Enfin, une sauvegarde externalisée chez un hébergeur agréé est intéressante comme solution ou en complément. Pour la sauvegarde en ligne, Axisanté et FISI relaient l’offre de Fortidata (RSS) dont l’agrément est en cours et elle est bien sûr comprise dans les offres en ligne (Acteur, IST, MedicalNet). La sauvegarde en réseau obéit à des règles différentes avec des logiciels comme Veritas Backup ou Backup Exec et des petits serveurs NAS. Le mot d’ordre : mettre en œuvre les bonnes pratiques réseaux sans les rendre inapplicables pour un cabinet libéral.
Si la sauvegarde n’est pas automatisée, le logiciel surveille en général sa périodicité. Soit il propose de la réaliser lors de la procédure de fermeture, soit il alerte si la sauvegarde n’a pas été faite depuis 4 jours (CLM). Les contrats de maintenance prévoient parfois un contrôle sur site de la sauvegarde.
Accès Internet
La configuration de l’accès Internet fait souvent partie de la prestation globale d’un installateur, avec bien sûr chargement d’un pare-feu et d’un AntiVirus selon le fournisseur choisi. « C’est impératif », souligne Shaman. « Le distributeur configure systématiquement l’accès pour la télétransmission et la réception des analyses de laboratoires et nous recommandons au minimum l’installation du pare-feu Windows et de Microsoft Security essential », rappelle Imagine. Chez CLM, les utilisateurs DocWare ont le Pare-feu Windows et l’AntiVirus Symantec Enpoint Protection (ou Microsoft Security essential). Orange propose aux professionnels de santé (100 000 abonnés), pour la télétransmission, une ou des Boîte aux lettres Santé (selon les besoins) avec ses offres d’Internet haut débit. Cette BAL ne peut pas être spammée, les virus sont filtrés ; elle est reliée au réseau SESAM-Vitale par une ligne sécurisée, supervisée et doublée et réexécute l’envoi des FSE en cas d’échec. Le Pack santé Pro ADSL du Réseau santé social (60 000 abonnés) inclut le Pack Sécurité PC avec AntiVirus, Pare-feu, Anti-Escroc et AntiSpam d’ESET Smart Security. D’une façon générale, des packs sécurité sont inclus dans les offres professionnelles des opérateurs, rarement dans les offres grand public.
Plusieurs services d’assistance d’éditeurs contrôlent l’installation des accès Internet, le plus grand danger venant du Web (voir encadré).
Les éditeurs de solution en ligne fournissent eux-mêmes la connexion (ICT) ou vérifient la configuration des accès réseaux (Acteur).
Formation
Tous les éditeurs disent alerter l’utilisateur sur les problèmes de sécurité lors de l’installation, ainsi que sur le respect de la confidentialité des données avec l’obligation de la déclaration CNIL du fichier patient informatisé. Le formulaire de déclaration est souvent remis ainsi qu’un panneau à afficher dans la salle d’attente. Un onduleur est conseillé par les revendeurs dans les zones sensibles et pour les serveurs.
Il n’y a pas de formation sécurité proprement dite mais des conseils généraux délivrés lors des formations aux fonctionnalités du logiciel.
*CompuGroup (Axisanté), Aatlantide (acteur), A10 technologie (XMed), CLM (Docware, Crossway,Eglantine, Médiclick, Medigest), Fisi (FisiMed), Imagine (Hellodoc), ICT(Chorus), Medimust (MustInfo), Sephira (Medicawin), Pratilog (MediPratick), Ouvrez-la-Boîte (Shaman). 11 réponses sur 15 questionnnaires envoyés.
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature