Sécurité du professionnel libéral

Salutations.

Ma femme est généraliste dans un cabinet de campagne comme certains le savent déjà.

Elle se pose des questions sur la fiabilité de son installation informatique et n’y connait pas grand chose.

Concrètement de mon côté, je sais la conseiller dans les grandes lignes mais dès qu’on en vient à des données vraiment sensibles comme les dossiers des patients au hasard, j’avoue ne pas forcément avoir les épaules pour ça. Je serais capable de mettre des trucs en place mais en tant que personne non « pro », si demain y’a un soucis, je ne suis pas certain d’être la bonne personne pour faire ça.

Du coup je me questionne sur la manière de bien faire. Y’a sûrement d’autres libéraux dans le coin, ptet qu’ils se posent ce genre de questions, je sais pas.

Ce que je sais c’est qu’aujourd’hui ils payent un presta 800€ par an pour une intervention à J+1 en cas de soucis (j’en sais pas plus j’ai pas encore vu le contrat). Ils l’ont pas vu plus d’une fois par an jusque-là et quand ils lui ont demandé de s’occuper de la mise à jour de leur logiciel médical le mec a refusé… ils ont finalement pris du temps perso pour le faire eux-mêmes et du coup je sais pas trop à quoi il sert.

Ils sont 4 personnes en tout, ont chacun un poste installé par ce même type y’a 5 ans avec un logiciel médical dédié (installé par l’éditeur de ce logiciel, pas le presta qu’ils ont à côté) en plus d’un serveur dont j’ignore tout pour le moment (j’y vais demain pour me rencarder). Le mec veut maintenant leur installer un AV (Eset) pour 255€ HT sur les 5 postes, un office 2016 car ils sont tjs sur le 2010 so far (250€ environ), et prendre 250 balles pour faire ça. TTC ça fait un billet de 1000 à sortir pour quelque chose dont je ne suis pas certain de l’utilité.

Je vais déjà foutre un anti-malware sur les postes pour faire un coup de ménage mais au delà de cette intervention encore une fois non professionnelle, je ne sais pas si je dois le faire moi même ou essayer de trouver un type à priori plus compétent que le « dépanneur informatique » du bled.

Je suis donc a la recherche de tout conseil sur la bonne manière de faire, des retours d’expérience potentiels, etc, afin de voir vers quoi on peut les orienter.

Merci

J’ai eu la même expérience au cabinet de kinés qui s’occupe de moi.

Changement hardware et migration d’OS sur deux de leur poste.
Toute la partie logiciel médical + dossier clients étaient gérés intégralement par l’editeur.

Du coup je leur ai fait économiser pas mal d’argent et j’ai récupéré un petit billet en échange.

Après c’est en cas de soucis, faut pouvoir être dispo et regarder ce qui deconne le soir s’ils ont une grosse merde qui arrive.

Tu peux déjà faire les bases, laisser Windows defender et un anti malware comme tu dis, une maj d’office et envoyer un mail à l’editeur savoir ce qu’ils préconisent pour la sauvegarde / resto et entretient de leur logiciel. Ils te diront tout de suite ce que eux supportent comme solution.

Je lui ai exactement dit ça ouais “demande a l’éditeur ce qu’ils préconisent”.

Après question, migrer sur office 2016 c’est utile en quoi ?

Alors fondamentalement, à rien, mais suite à notre discussion, avec un abo famille (oui, ça passe :P), t’auras 5 To (1 To x 5 comptes possibles) de backup à dispo. T’auras clairement pas besoin de ça, juste 1 To, mais ça permet de mettre en place des sauvegardes « presque » facilement. (Parce que oui, ça reste de la merde OneDrive comparé à Dropbox, mais avec des machines sources sous Windows ça ira).

Tu peux voir si office entre en liaison avec le logiciel et si oui vérifier la version mini supportée par l’editeur.

Waouh moi qui trouvais que je payais cher…
On est deux associés, on se partage le bureau donc une machine, il y a également une machine au secrétariat, plus un portable pour quand on va sur un autre établissement.

Je vais essayer de prendre les points dans l’ordre :

• la boite d’informatique qu’on a ici a installé le logiciel médical. Ils en font aussi les mises à jour et du conseil proactif (“allo c’est [technicien], la nouvelle version n’est pas stable avec Windows 10, ne faites pas l’installation de votre côté. On la fera quand ce sera OK”). Ils facturent 50 à 70 € par mois, plus 60 € par déplacement (auxquels il faut ajouter 220 € par mois d’abonnement au logiciel médical, bordel ça pique).
• ils se déplacent quand il y a besoin dès qu’ils peuvent. Je ne crois pas avoir une promesse de J+1, mais ils me semblent que s’il y a besoin ils arrivent vite. Par contre beaucoup d’interventions à distance via Teamviewer.
• ils ont installé ESET lors d’une intervention programmée. Ça n’a pas couté grand chose vu qu’elle faisait autre chose en même temps sur une autre machine (par contre on a un abonnement à ESET du coup, ça me gave et comme je te disais j’envisage de le virer).
• ils ont mis en place le système de sauvegarde (bon c’est basique : un logiciel de sauvegarde [edit : c’est Cobian backup, apparemment plus mis à jour depuis des années, mais il semble marcher], deux disques durs, et à nous de brancher et lancer la sauvegarde régulièrement). J’envisage de changer ça avec un petit NAS sur place qui enverra vers mon NAS à moi.
• j’ai intégré le cabinet avec mon abonnement Office que j’avais déjà avant, et il me restait 2 licences non utilisées. J’ai remplacé leur vieil office qui devait avoir quinze ans.
• ils veulent me changer les machines dès qu’elles ont 4 ans et me fourguer leurs “bons plans” (- 10% sur leurs tarifs qui sont 50 % supérieurs à ceux du marché ; nope).

Voilà, je te donne juste une image de comment ça se passe chez moi. J’ai parfois aussi envie de leur dire que je vais me débrouiller seul, mais quand je vois ma secrétaire passer 2 heures au téléphone avec eux pour résoudre un problème à la con lié au logiciel médical, je me dis que s’ils n’étaient pas là c’est moi qui devrais m’y coller et que j’ai forcément autre chose à faire. Et en définitive payer leur abo me dérange moins que payer celui du logiciel médical (de chie).

Je ne connais pas le logiciel médical (de chie) - donc j’en parlerai pas - mais j’ai eu a regarder les problématiques de stockages/sauvegarde cloud concernant toutes les données médicales.

Il y a environ 5 ans, le gouvernement a essayé de booster le cloud souverain et a imposé le stockage des données médicale sur le sol français. Plusieurs boites se sont lancées avec plus ou moins de bonheur (genre la startup qui fait un soft custom pour le stockage « sécurisé » des données, qui cachent en fait une passerelle vers dropbox, donc pas du tout souverain) et le plus gros acteur a l’époque était OVH:
Offre OVH HealthCare
Si vous êtes familier du site geekzone, vous savez déjà que le cloud ovh, c’est pas fameux… Ceci dit, n’ayant jamais testé l’offre ovh healthcare, je ne peux pas me prononcer sur sa pertinence.

En 2018, la loi et/ou certains décrets ont été modifié. Ceux ci sont difficilement lisible mais celui la est presque compréhensible : approbation du référentiel de certification. Un résumé assez clair est proposé sur le blog d’ovh. Mais vu qu’ils sont juges et partis, je vous conseille quand même de jeter un œil sur le document officiel du JO qui précise les conditions d’obtention de la certification HDS; celle ci autorisant l’éditeur de la solution cloud de proposer une office de stockage pour données médicales.
Des informations plus générales sont disponibles sur le site de l’agence française de santé numerique. Vous trouverez ici la liste des hebergeurs certifiés et/ou agréés.
On peut noter que Microsoft est désormais certifié pour le stockage de données de santé mais l’article ne précise pas s’il faut une offre spécifique ou si un compte onedrive suffit.

J’insiste sur le fait que prendre un prestataire certifié/agréé est important, car:

• Vous n’avez pas envie de payer plus cher, donc vous stockez les données dans un cloud random. Celui ci se fait pirater et toutes les données de vos patients sont dans la nature. Si procès il y a, vous serez probablement inculpé pour non respect de la loi (et violation du secret medical, tout ca tout ca)
• Vous avez joué le jeu de la loi et vous avez souscrit a une offre cloud certifié. Le cloud en question se fait pirater et toutes vos données patients sont dans la nature. Dans ce cas, c’est l’éditeur du cloud qui sera condamné, et pas vous (sauf si vous aviez un mot de passe de merde )

Est que vous avez envie de prendre le risque?

Concernant les prestataires, j’aurais besoin de lire les contrats pour savoir si le tarif est pété ou pas, mais en général, ces contrats sont très cadrés pour éviter de faire n’importe quoi:

• Nombre (et temps) d’intervention par mois ou par an. Typiquement, sur un contrat a 800 euros par an, il y a un déplacement inclus par an et 5-6 heures (pour un an) d’intervention a distance inclus. Le contrat de @JeeP a l’air similaire. Faites le calcul a la main: 100-150 euros pour le déplacement du technicien (temps de déplacement, frais divers, salaire du techos), + 6 heures d’aide téléphonique a distance (si je prends la base 50 euros de l’heure de mon mécano moto, ça fait 300 euros au final… sachant que techos informatique, c’est probablement plus qualifié donc plus cher…). Il reste 400 euros (au mieux) pour payer le commercial, la secrétaire qui gère le contrat, les locaux, etc. C’est pas délirant, en fait.
• Le contrat se limite aux outils listé par le dit contrat, et généralement c’est de la maintenance matérielle (genre disque dur qui crame) et aide téléphonique sur les logiciels installés par la boite de presta. Si tu as installé toi même le logiciel médical (ou tout autre logiciel), tu te démerde et c’est normal: ils ne sont pas capable de savoir si tu l’as installé correctement ou pas.

Pour le reste:

• Antivirus: Ici, je paye 190 euros par bloc de 10 licences ESET NOD32 + 14 euros de maintenance par an et par poste. Donc 255 euros pour l’installation, tu retire 100 balles de licence (5*20), il reste 155 euros pour l’installation sur 5 postes, soit entre 1 et 2h d’installation si tout se passe bien + le déplacement. C’est pas ouf.
  Regardez bien le contrat du prestataire s’il s’engage a quelque chose en cas de gros problème. Typiquement, si tu te manges un virus et que tu as fait toi même l’installation antivirus, c’est pour ton cul. Si c’est lui qui a fait l’installation et que celle ci est garantie par le contrat de maintenance, c’est pour son cul. C’est une assurance et ça coute de l’argent.
• Pour office, il faut aller voir du coté du comptable: Qu’est ce qui est le plus avantageux (niveau comptable, donc impôts, charges et tout ça) entre l’achat d’une licence office 2016 (250 euros, c’est par poste hein ) et un abonnement a office 365 (entre 9 et 12 euros par mois et par utilisateurs pour les pros), sachant que ce dernier propose, comme le précise @Cafeine, du stockage onedrive. De plus, tant que l’abonnement office 365 est actif, vous avez accès a toutes les nouvelles versions d’office.
• Pour l’achat matériel, les tarifs a +50% ne sont pas forcement déconnants. Prends un pc du commerce a 500 balles, ils le vendent donc 750 euros.
  • 100 euros de commande, de réception, de stockage. En imaginant que c’est un pc stocké, ca a aussi un cout.
  • 150 euros d’installation: Mise en route du pc, installation des mises a jour Windows, installation des logiciels standard, installation des logiciels métiers.

Évidement, si c’est un pc a 1000 euros, les frais devraient être les mêmes et donc ne couter que 1250 euros. Sur du matériel bureautique, les +50% s’expliquent assez facilement, sur du matériel spécialisé, ca reste a voir et je suis pas sur qu’ils sont a 50% en plus.

Pour le logiciel médical, est ce qu’il y a de la concurrence? Si c’est pas le cas, ca sera forcement cher. Mais vu que t’as pas le choix et que c’est souvent imposé par la loi…

Pour finir, j’avoue que ça me fait un peu mal de voir que, même pour des gens qui connaissent un peu l’informatique, beaucoup n’ont pas conscience des couts induit par l’informatique. Tu peux acheter toi même le pc de ton cabinet médical, mais c’est toi qui va te palucher l’installation de tout le merdier pendant 2-3 heures. Quand c’est un presta qui le fait, c’est normal que ça soit facturé. Peut être que ça mériterait d’être plus détaillés mais dans tous leur clients, qui s’y connait suffisamment pour comprendre le détail?
De la même manière, un contrat de maintenance permet d’avoir un interlocuteur en cas de soucis. Je n’imagine même pas ne pas avoir de contrat pour l’antivirus, c’est pas mon métier: j’ai un soucis, je contact le support. Et oui, ça coute de l’argent.

Voila. hope this help

Le temps c’est de l’argent, et je crois que @LoneWolf vient de très bien l’expliquer. Merci pour ton post.

Dans ma première installation, nous étions 3 généralistes avec chacun un poste client et serveur pour les données patients. Tout était câblé dans les locaux.
On avait signé un contrat avec un revendeur local agréé par l’editeur du logiciel qui nous avait vendu la machine serveur. Il était responsable des mises à jour logiciel et du fonctionnement du réseau.
Il était plutôt sympa, on avait besoin de lui 1 à 2 fois par an. Cela nous coûtait dans les 40 euros par mois chacun, plus 350 euros par an chacun auprès de l’editeur du logiciel pour les mises à jour. (La licence du logiciel est à 750 euros je crois).
Les sauvegardes étaient faites en manuel sur la machine serveur. A l’epoque pas de cloud aussi démocratisé que maintenant, on copiait sur des DD externes. La sauvegarde pesait environ 600 Mo pour 3… depuis que je suis parti, ils ont un abonnement one drive dans lequel ils mettent aussi une copie de backup 3 fois par semaine la nuit.
Ça marche bien comme ça. Cela te donne une idée de ce qu’on payait.

Entre temps, je suis retourné un peu à l’hôpital, refait 2 ans d’études, avant d’avoir envie de retourner bosser en libéral.
Nous avons actuellement une solution full web, imposée par l’ARS dans le cadre d’un projet de maison de santé.
Du coup la mise en réseau est plus simple, et même si les locaux sont encore en cours de construction la maison de santé fonctionne sur le plan juridique et pratique dès maintenant. Les accès sont paramétrés en fonction des utilisateurs. C’est utilisable avec de la 4g même au domicile.
Tout le backup est donc géré par l’éditeur.
Par contre, même s’il y a une solution de back up locale qui existe, pas de net = retour papier crayon. C’est arrivé une ou 2 fois, mais depuis le mois de mai je n’ai pas encore trop à me plaindre. Ça coûte 100 balles par mois pour un médecin, dans les 25 pour un paramédical.
On est loin de ce que paye ma femme pour un logiciel concurrent.

Voilà un exemple qui peut te donner une idée des besoins pro de ta femme.
Si tu as d’autres questions

Je dépile tout ça et je vous fais un retour.

À noter après mon passage au bureau : Mediclic ne fonctionne pas avec un anti malware (j’ai eu le gus au tél ils préconisent uniquement MSE ou Aviralol), la raison est simple : si tu passe un coup il va détecter des trucs de pubs. Si tu les supprimes le logiciel pète une exception au démarrage et impossible de l’utiliser. Car oui, ils payent une licence et en plus dès que ça passe en pseudo veille tu as de la pub sur ton écran … Malin non ?

J’ai également mis tous les softs à jour dont reader et une fois a jour le sort peut plus ouvrir les pdf car la version d’Adobe est trop récente.

Une barre de lol ce soft.

Tient, scaleway vient d’avoir son agrément pour les données de santé aussi

Ouais j’ai vu ça, à voir au niveau tarif… Sont capables de t’enculer rien que par le pouvoir de l’agrément

Ça existe encore l’agrément ?, je pensais que c’était passé à une sorte de certification…

Un truc que j’ai jamais creusé mais je m’étais posé la question : le cabinet qui fait zéro cloud et stocke sa base de données uniquement en local, il est censé également passé en “hébergeur de données de santé”? (Sans doute pas le meilleur lieu pour poser cette question ^^)

Je sais pas, mais en tous cas je sais qu’ils le font pas dans celui de la mienne. Et tout est en local, backupé sur des clés usb quand ils y pensent.

lol

Bah je suis pas choqué d’un état soit sensible à ce que des données médicales soient stockées et gérées sur son territoire.
Après ta remarque est peut-être plus sur la manière dont c’est fait auquel cas on est d’accord c’est juste dépenser de l’argent pour rien…

Mon opinion sur ce point précis :

Mes patients sont des gens du commun, retraités, salariés, pour la plupart ils n’ont pas de responsabilités majeures et on va dire pas des situations exposées. En clair, je ne suis pas médecin parisien avec des ministres et des grands patrons. J’ai quelques professeurs d’université, chefs d’entreprises à influence locale voire régionale, pas à ma connaissance de politiques.
Donc la probabilité que les dossiers de mes patients intéressent une “puissance étrangère” est proche de 0.
Par contre, quand on descend d’un niveau, avec des enjeux plus locaux, la probabilité qu’une de ses personnes ait un conflit avec un autre Français est nettement plus élevée, et la probabilité que cet autre Français ait des contacts chez un prestataire de cloud français est plus importante que la probabilité qu’il ait des contacts chez (au hasard) Dropbox ou Microsoft.

En considérant ça, je pense que les données de mes patients seraient moins exposées si elles étaient sur un cloud étranger que sur le cloud souverain.
Et c’est pourquoi j’ai toujours été fortement opposé au cloud souverain.
Sans même parler de la pub avec Teddy Riner à 3 francs qui ne me laissait aucun doute sur la qualité du produit (ce qui a été confirmé par ceux qui se sont laissé tenter).

Cloud souverain c’est pas du tout equivalent a une demande d’avoir un cloud aux normes idoines locales qui mets les données des Francais en France. Bon pour être moins con on devrait dire “en Europe” mais je comprend parfaitement cet aspect. C’est le cote “on va construire un cloud franco-francais a coup de millions du contribuable” qui fait rire.

Et indépendamment, OVH: lol.

Je vais pas être sympa mais légalement, tu n’as pas a réfléchir/avoir une opinion sur le sujet.

Je développe.

Tu semble croire que les données de tes patients intéressent peu de monde (et donc, peu de pirates), et que les rares intéressés seraient français. Mon boss a la même réflexion sur la protection des données, et donc ne veut pas investir dans la sécurité « parce qu’on est trop petit, on intéresse personne ». Et c’est peut être vrai.
Sauf que vous oubliez une règle élémentaire dans le microcosme du piratage:

Il n’y a pas besoin d’une raison pour pirater un serveur

Je sais, c’est difficile a comprendre et fondamentalement, il n’y a pas besoin de comprendre (vu que c’est, par essence, illogique): il faut l’admettre.

A partir du moment ou on l’admet, on comprend mieux le pourquoi des règles de bases de la sécurité:

• Toujours considérer qu’on pourra se faire pirater (c’est une question de temps)
• Ne mettre que le strict nécessaire sur le serveur
• mettre en place une sécurité en lien avec les moyens a disposition, mais au moins cher, mot de passe velu (en utilisant un trousseau numérique ) et mise a jour suffisent dans 90% des cas.

Maintenant, la sécurité informatique, c’est pas ton boulot et je dirais que tu réfléchis trop loin. C’est beaucoup plus simple de respecter la loi (utiliser un cloud certifié) plutôt que de se dire qu’il faut utiliser un cloud US parce que c’est mieux par rapport a mes patients. Irrelevant. C’est pas ton problème. Si quelqu’un est intéressé par un de tes patients, il trouvera une solution pour avoir les infos, que ça soit un cloud souverain ou pas. Et si tu utilises un cloud certifié avec un vrai mot de passe, tu as fait ce qu’il fallait a ton niveau.
Pour donner mon avis perso, quelque soit le cloud utilisé, si un malandrin a besoin des données d’un de tes patients, et que c’est une affaire locale, c’est beaucoup plus simple de cambrioler chez toi (ou a ton cabinet). Genre ++.

Sur le concept, c’est pas débile. Le gouvernement n’a pas de solution de cloud utilisable pour lui même, puisque tous les clouds sont étrangers (et US en général). De base, personne en France veut faire les investissements, donc on va les aider. Sauf que le pognon n’a pas forcement été utilisé pour faire un cloud français/européen performant… Et il fallait surtout trouver une solution pour que les société qui se lancent la dedans aient un marché servi sur un plateau…

Vrai. Je sais. La loi sur les hébergeurs agréés est claire et je ne mets pas en cause son respect ; je mets en question sa pertinence.

Je veux bien te croire. Je veux bien croire aussi que Dropbox et OneDrive, par leur taille, attisent beaucoup plus la convoitise que Cloudwatt.
Mais je suppose aussi que, justement par leur taille, les équipes chargées de la sécurité de Dropbox et OneDrive sont nettement plus conséquentes et promptes à réagir que le type d’astreinte chez Cloudwatt (je dénigre pas, mais c’était de fait une beaucoup plus petite boite à l’époque où la loi est entrée en vigueur. Actuellement ça semble être Orange, ça a peut-être modifié des choses à ce niveau).
Voir pour Dropbox les tweets en plein week-end disant « il y a un souci de connexion, on bosse dessus ». Et pas des failles de sécurité, juste des problèmes de synchro.

Qu’est-ce que le strict nécessaire ? Dans le cas de données médicales, sensible et nécessaire sont consubstantiels.
Pour moi la problématique initiale était de synchroniser les dossiers patients entre le portable que j’utilisais à la clinique et le fixe de chez moi, plus une solution de sauvegarde (oui je sais, un cloud ce n’est pas une sauvegarde ; mais à l’époque je ne le savais pas, et n’empêche que tant que tu n’es pas connecté et synchronisé, c’en est une, et le versioning permet de récupérer les catastrophes, même si ça va être fastidieux).
A l’usage, à l’époque, est apparue la capacité de répondre à tout moment à tout correspondant où que je sois. Le plus marquant étant un appel alors que j’étais à la plage, de la part d’un service d’urgences, j’ai pu répondre à leurs questions dans l’instant + envoyer les derniers comptes-rendus par mail (non sécurisé, c’est pas légal, et ça s’appelle le cas de force majeure avec un conflit loi/déontologie/éthique qui doit se conclure par l’intérêt du patient quand bien même il faut faire quelques entorses aux règles). Ils auraient pu faire sans (on peut toujours faire sans informations), mais en altérant la prise en charge ou en la retardant.
Actuellement mon fonctionnement est différent. Quand je ne suis pas au boulot, les données sont inaccessibles. Parce qu’il n’y a plus de cloud, justement. D’où l’idée de NAS à la maison (ou au cabinet d’ailleurs, peu importe, c’est juste que j’ai fait ce choix), où je vais pouvoir remettre ces données, et y accéder à nouveau de n’importe où et à tout moment, parce que même si le cas d’usage est exceptionnel, le service rendu est très élevé.

Après sur le fond de ta réponse : tu pars du principe que je dois juste me mettre en conformité. Mais pas que, le rôle de l’utilisateur est aussi d’essayer de faire remonter le caractère non pertinent/non applicable d’une réglementation. Après, si les hommes de l’art (vous) opposent aux décideurs des arguments contraires d’un plus haut niveau de validité, effectivement il faut s’incliner. Mais comme tu l’as dit, le cloud souverain avait surtout comme raison d’être de créer un truc français parce que ça arrangeait l’état, par parce qu’il se préoccupait de la sécurité des données médicales des citoyens.

Et pour finir, je te rejoins sur l’avis perso. La facilité si on souhaite piquer mes données, par ordre croissant : cambriolage > cloud situé sur le territoire > cloud du bout du monde. Sauf que… s’il se trouve que le malandrin a des contacts avec un opérateur cloud, il sera moins visible de faire appel à son contact que d’organiser un casse à mon cabinet, qui sera forcément visible. Et par simple proximité, il a plus de chances d’avoir un contact local qu’un contact au bout du monde.

J’ai des clients privé ou institutionnel, et beaucoup on crée leurs propres datacenter, sans ingérance exterieure. Pas mal de services de l’etat en ont à eux.

Quand on ne veut pas vendre de prestations externes, c’est bien plus facile d’en créer un.