La sécurité des SI de santé

Le mag numéro 6 | 30 janv. 2013
S’il y a bien un domaine où la sécurité informatique prend toute son importance, c’est bien celui de la santé. Quelles données plus sensibles et intimes que les données de santé à caractère personnel ? C’est pourquoi lorsque l’on parle de e-santé, on en vient très vite à mentionner tout un ensemble de termes liés à la sécurité informatique, au détriment parfois de la compréhension du néophyte. Lexique.

La Carte de Professionnel de Santé (CPS)


C’est la carte d’identité électronique des professionnels de santé. Elle contient les données d’identification de son porteur (identité, profession, spécialité) mais aussi ses situations d’exercice (cabinet ou établissement). Elle constitue le maillon final d’une chaîne de confiance qui permet à son titulaire d’attester de son identité et de ses qualifications professionnelles. Elle est protégée par un code confidentiel propre à son porteur. Cette carte est notamment utilisée pour la télétransmission des feuilles de soins électroniques (FSE) et la consultation du Dossier Médical Personnel (DMP).

Le Responsable de la Sécurité des Systèmes d’Information (RSSI)


Ce dernier est responsable du maintien du niveau de sécurité du système d'information d’une entreprise, d’une association ou d’une institution. Contrôleur et garant de la sécurité, le RSSI est chargé notamment des choix et des actions concernant la sensibilisation des utilisateurs aux problèmes de sécurité, de la sécurité des réseaux, systèmes, télécommunications et applications mais aussi de la stratégie de sauvegarde des données.

Data Center (Centre de traitement de données)


Un centre de traitement de données (data center en anglais) est un site physique sur lequel se trouvent regroupés des équipements constituants du système d’information de l’entreprise (mainframes, serveurs, baies de stockage, équipements réseaux et de télécommunications, etc.). Il peut être interne et/ou externe à l’entreprise, exploité ou non avec le soutien de prestataires. C'est un service généralement utilisé pour remplir une mission critique relative à l'informatique et à la télématique. Dans le cas de la e-santé, ils sont utilisés pour le stockage des dossiers patients informatisés, des radiologies numérisées, ou encore la gestion des transactions de télémédecine (téléconsultations).

Il comprend en général un contrôle sur l'environnement (climatisation, système de prévention contre l'incendie, etc.), une alimentation d'urgence et redondante, ainsi qu'une sécurité physique élevée.

Un centre de traitement des données se présente comme un lieu où se trouvent différents équipements électroniques, des ordinateurs, des systèmes de stockage et des équipements de télécommunications.

One Time Password (OTP)


« Mot de passe à usage unique » en français. Il n’est valable qu’une fois pour une ouvrir une session ou une transaction. En effet, utiliser toujours le même mot de passe peut mettre en danger un système d’information. Après une première authentification par mot de passe permanent, L’OTP est envoyé à son utilisateur sur une adresse e-mail personnelle ou, plus souvent, sur son téléphone mobile. L’utilisateur dispose alors d’un laps de temps limité pour taper le code qu’il vient de recevoir. Ainsi, on s’assure de manière plus fiable que la personne est bien en face de l’ordinateur avec lequel elle cherche à accéder à des données.
Un système d'authentification par OTP crée et utilise une suite aléatoire de caractères pour générer un ensemble de mots de passe destinés à l'authentification d'un utilisateur. Les mots de passe générés dérivent les uns des autres d'une manière telle qu'il est impossible de réutiliser un mot de passe ou de l'utiliser pour prédire le suivant, mais que chaque mot de passe dérive de son successeur. Un vrai gage de sécurité !