Comment gérer la cybersécurité dans un cabinet de travail hybride ?

La façon dont les cabinets médicaux travaillent est en train de changer. Le triage à distance, les consultations numériques, les plateformes basées sur le cloud et le travail flexible signifient que de nombreux membres du personnel accèdent désormais à des systèmes sensibles depuis l'extérieur du cabinet. Qu'il s'agisse d'un médecin généraliste travaillant à domicile, d'un responsable de l'ICP rejoignant une réunion en déplacement ou d'un personnel administratif se connectant à distance, le travail hybride est là pour durer. Mais les nouveaux modes de travail s'accompagnent de nouveaux risques. Les ordinateurs portables dans les cuisines, le Wi-Fi non sécurisé, les appareils partagés et les distractions multitâches peuvent tous créer des vulnérabilités cybernétiques qui n'existeraient pas au cabinet. Ce guide explique comment gérer la cybersécurité dans un cabinet de médecine générale qui travaille de manière hybride - en protégeant les données des patients sans rendre le travail flexible impossible.

À quoi ressemble le travail hybride en médecine générale ? 

Le travail hybride varie d'une pratique à l'autre, mais il peut inclure les éléments suivants 

• Les médecins généralistes et les cliniciens travaillant à domicile pour le triage téléphonique ou les cliniques virtuelles. 

• Les directeurs de cabinet travaillant à distance pour des tâches administratives ou des réunions. 

• Le personnel du PCN se connecte à partir d'espaces partagés ou de "hot desks". 

• Les collègues de l'ICB ou du CSU accèdent à vos systèmes dans le cadre d'un travail conjoint. 

• Le personnel utilise des téléphones personnels ou le Wi-Fi domestique pour accéder à des plateformes telles que NHSmail, MS Teams ou EMIS Web. 

Les avantages - meilleur équilibre entre vie professionnelle et vie privée, meilleur accès, plus grande efficacité - sont réels. Mais les risques le sont tout autant. 

Risques cybernétiques courants dans les modèles hybrides 

Une seule erreur peut exposer le cabinet à une violation grave, même si elle se produit à des kilomètres du bâtiment. 

Comment développer une cyber-résilience adaptée aux hybrides 

1.Commencer par une politique claire en matière de travail à distance 

Votre politique en matière d'IG ou d'IT doit couvrir explicitement les aspects suivants 

• Qui peut travailler à distance et sur quelles tâches. 

• L'équipement qu'ils doivent utiliser (personnel ou appartenant au cabinet). 

• Normes minimales pour la sécurité des appareils et le Wi-Fi. 

• Règles relatives à l'impression, au stockage et à l'élimination des données hors site. 

• Attentes en matière de signalement d'incidents. 

Si votre police ne couvre pas le travail hybride, il est temps de la mettre à jour. 

2.Fournir, dans la mesure du possible, un équipement approuvé par la pratique 

Lorsque les budgets le permettent, fournir : 

• Ordinateurs portables ou tablettes appartenant au cabinet. 

• Appareils dotés d'un système de cryptage et d'une protection antivirus préinstallés. 

• Accès VPN sécurisé pour la connexion à distance. 

• Authentification multifactorielle (MFA) pour l'accès au système. 

Cela réduit la variabilité et permet à votre service informatique de gérer les risques plus efficacement. Si le personnel utilise des appareils personnels, exigez qu'il les utilise : 

• Définissez des codes d'accès solides. 

• Maintenir les logiciels à jour. 

• Évitez d'enregistrer des fichiers localement. 

• Utiliser des plateformes sécurisées (par exemple, NHSmail, AccuRx). 

3.Utiliser des plates-formes conçues pour l'utilisation à distance des SSN 

S'en tenir aux outils qui répondent aux normes de cybersécurité du NHS : 

• NHSmail - courrier électronique sécurisé avec MFA.

• MS Teams - messagerie et vidéo cryptées. 

• AccuRx - plateforme de messagerie approuvée pour les patients. 

• Portails Citrix / VPN - accès sécurisé aux systèmes cliniques depuis l'extérieur du cabinet. 

Évitez d'envoyer ou de conserver des informations sur les patients par l'intermédiaire de l'Internet : 

• Comptes de messagerie personnels (Gmail, Outlook, etc.). 

• Plateformes cloud grand public (Google Drive, Dropbox). 

• Les applications de messagerie comme WhatsApp pour les discussions sensibles. 

4.Former le personnel aux risques liés au travail hybride 

Une formation générique à l'IG ne couvre pas toujours les nuances du travail à domicile. Inclure : 

• Comment repérer les courriels d'hameçonnage, même lorsque l'on est occupé ou distrait.

• Pourquoi les appareils ménagers partagés présentent-ils un risque ? 

• Que faire en cas de perte, de vol ou de compromission d'un appareil ? 

• Comment se déconnecter complètement après une session. 

• Ce qu'il faut faire avant d'imprimer ou de consulter des documents confidentiels à la maison. 

Utilisez de courtes mises à jour, des études de cas ou des scénarios du type "que feriez-vous ? 

5.Maintenir des journaux et des pistes d'audit 

Veiller à ce que : 

• Les connexions à distance sont contrôlables (via EMIS, SystmOne ou votre CSU). 

• Les niveaux d'accès des utilisateurs sont adaptés aux tâches qu'ils accomplissent. 

• Les appareils sont restitués et l'accès est révoqué rapidement lorsque le personnel quitte... 

• Les journaux de VPN et de courrier électronique sont examinés périodiquement. 

Cela permet de détecter les comportements suspects et de prouver que vous exercez une surveillance, même si les personnes travaillent hors site.

6.Favoriser une culture de l'information

Si quelqu'un clique sur un courriel suspect, laisse son ordinateur portable sans surveillance ou se rend compte qu'il a envoyé un fichier au mauvais destinataire, il doit pouvoir le signaler immédiatement. Expliquez clairement que : 

• Un signalement précoce permet de limiter les dégâts. 

• Il n'y a pas de honte à commettre des erreurs. 

• L'équipe est chargée de s'aider mutuellement à rester en sécurité. 

Mot de la fin : sécurité ne signifie pas rigidité

La cybersécurité dans un monde de travail hybride est une question d'équilibre. Vous voulez permettre des méthodes de travail flexibles et modernes, mais vous devez également protéger les données des patients et respecter vos obligations en vertu de la DSPT et du GDPR britannique. En mettant à jour vos politiques, en améliorant la formation et en soutenant le personnel avec les bons outils et les bonnes habitudes, vous pouvez rendre le travail à distance plus sûr - et plus intelligent. Car la cybersécurité n'est pas qu'une question de pare-feu et de mots de passe. Elle concerne les personnes, quel que soit l'endroit où elles travaillent.