Il existe plusieurs types d’hébergements de données, et il est parfois complexe de savoir lequel sera le plus avantageux pour vos structures. La mise en conformité au Règlement Général sur la Protection des Données (RGPD) met en lumière l’importance de réfléchir à cette structuration pour :

  • Garantir la continuité des accompagnements et des suivis
  • Éviter les risques de compromission des données (malveillante ou non)
  • Protéger les données sensibles des personnes que vous accompagnez mais aussi de vos salariés
  • Limiter les impacts négatifs que peuvent avoir les dysfonctionnements liés aux systèmes d’information sur la qualité de vie au travail des salariés (et des directions !)

Nous vous proposons une synthèse ici qui vous permettra de faire un choix éclairé en détaillant les spécificités des trois solutions suivantes :

Le serveur local

Avantages :

  • Facilite le partage et la sauvegarde des données.
  • Permet d’héberger les solutions logicielles (dossiers patients) qui ne sont pas sur le web.
  • Permet un accès aux données y compris en cas de panne d’internet (zones blanches …)
  • Permet un paramétrage fin pour configurer la sécurité et les contrôles d’accès

Inconvénients :

  • Encombrement
  • Prix élevé (acquisition et surtout entretien)
  • Ne permet pas le travail simultané sur le même document par plusieurs collaborateurs.
  • Demande des compétences informatiques pour le paramétrage.
  • Demande la mise en place d’un Virtual Private network (VPN) pour l’accès à distance (télétravail).

Focus sur l’hébergement des données sensibles

L’hébergement de données de santé y est possible dès lors que le serveur est chiffré (protégé par un mot de passe) – sous réserve qu’un processus de sauvegarde régulier (et sécurisé) soit prévu.

Le NAS (Network Attached Storage ou « stockage attaché en réseau ») : un boitier de stockage centralisé en réseau.

Exemple d’un NAS Synology

Avantages  :

  • Est vendu « prêt à l’emploi »
  • Moins encombrant qu’un serveur local.
  • Facilite le partage et la sauvegarde des données.
  • Permet d’héberger les bases de données de solutions logicielles fonctionnant en local (dossiers patients).
  • Permet un accès aux données y compris en cas de panne d’internet (zones blanches …)
  • Peut être ouvert sur l’extérieur et exécuter des tâches en autonomie (sauvegardes, etc.

Inconvénients :

  • Ne permet pas toujours le travail simultané sur le même document par plusieurs collaborateurs.
  • Demande la mise en place d’un Virtual Private network (VPN) pour l’accès à distance (télétravail).
  • Moins flexible qu’un serveur local (système pré-installé).

Check list de la sécurité serveur local et NAS :

➡️ Serveur crypté

➡️ S’équiper d’un antivirus

➡️ Réseau Wifi dédié pour les invités

➡️ Accès nominatif par utilisateur (en tenant à jour les comptes actifs)

➡️ Sauvegarde périodique automatique (sur un cloud)

➡️ Sauvegarde périodique manuelle (sur un support physique non connecté au réseau)

➡️Mettre en place des mesures de sécurité physique : climatisation, local ou coffret fermé à clé, extincteur dans le local

Focus sur l’hébergement des données sensibles

L’hébergement de données de santé y est possible dès lors que le serveur est chiffré (protégé par un mot de passe) – sous réserve qu’un processus de sauvegarde régulier (et sécurisé) soit prévu.

Le Cloud (type Office 365)

Avantages  :

  • Permet un accès aux données sur place et à distance.
  • Permet à plusieurs personnes de la structure de travailler simultanément sur le même document.
  • S’interface avec les autres outils de la suite Office pour faciliter la collaboration (Teams, Outlook, SharePoint…)
  • Permet de gérer les accès et habilitations finement (par dossiers voire fichiers)
  • Process de sauvegarde, de chiffrement et d’antivirus conformes aux exigences liées aux données de santé « inclus » avec l’hébergement des données pour Office 365.

Inconvénients :

  • Dépendance à la qualité du réseau internet.
  • Permet de collaborer sur des documents avec des personnes extérieures à la structure.

Check list de la sécurité du Cloud :

     ➡️ Mise en place de l’authentification à double facteurs (en tenant à jour les comptes actifs)

➡️ Mise en place d’une politique de gestion des mots de passe

➡️ Prévoir un système de sauvegarde « physique » Ex : sur un NAS Synology

➡️ Penser à la sécurité de TOUS les terminaux y compris les téléphones mobiles (protéger leur accès par des mots de passe)

Focus sur l’hébergement des données sensibles

Office 365 bénéficie de la certification HDS, sous réserve d’activer l’authentification à double facteur, de disposer d’un process de gestion des habilitations et des mots de passe solides. L’hébergement des données est dans un entrepôt en France.

En résumé

Le plus judicieux reste de ne pas « mettre tous ses œufs dans le même panier » et prévoir des solutions mixtes : toujours prévoir une sauvegarde des données physique (permet de se prémunir d’une panne internet ou d’un incendie d’un data center par exemple) et sur un Cloud – mais qui doivent toujours s’accompagner de mesures d’hygiène numérique :

  • Distinguer un accès WIFI pour l’équipe et pour les « invités » – ne pas partager le mot de passe du WIFI privé.
  • Sécuriser par un mot de passe TOUS les postes (ordinateurs et mobiles)
  • Mettre en place une politique de gestion des mots de passe : par exemple ne pas mettre à tout le monde le même mot de passe pour tous les outils ! Prévoir un logiciel de gestion des mots de passe pour tous.

Si ces mesures deviennent indispensables dans vos structures, ce sont également des bonnes pratiques qu’il semble important de connaître et dans mettre en œuvre y compris pour la gestion de nos données en tant que « particuliers ».

Pour en savoir plus, vous pouvez retrouver le guide de la cybersécurité pour le médico-social.