11.01.2025
Protéger les données médicales: la mission prioritaire de PulseMedica
Nous ne laissons rien au hasard pour protéger vos données ainsi que celles de vos patient-es. Tour d’horizon de nos mesures de sécurité.
En tant que logiciel de gestion pour cabinets et institutions médicales, PulseMedica héberge et traite une grande quantité de données de santé. Ce qui en fait potentiellement une cible pour des cyberattaques. En effet, les données médicales figurent parmi les plus lucratives au monde, ce qui attire évidemment l'intérêt des hackers. Les piratages dans le domaine médical se sont d’ailleurs multipliés dans notre région ces dernières années, comme à Neuchâtel en 2023 et tout récemment sur le canton de Vaud, à l’automne 2024. C’est pourquoi chez PulseUp, nous prenons la sécurité des données très au sérieux. Dans cet article, nous allons détailler un échantillon des mesures que nous avons prises: le respect de la loi sur la protection des données, l’obtention d’une certification ISO 27001 et le choix d’un hébergeur approprié pour notre solution.
Pour notre entreprise, la sécurité est un incontournable. Parce que nous gérons les données médicales de nos clients et que celles-ci doivent être disponibles en tout temps pour assurer la continuité de leur activité. Nous sommes pleinement conscients de nos responsabilités en tant que sous-traitant des données de nos clients et investissons massivement pour leur sécurité.
PulseUp SA
Respect de la LPD
L’actuelle version de la loi sur la protection des données (nLPD) est entrée en vigueur en automne 2023. Elle a parfois été critiquée, notamment parce que son adoption a pris beaucoup de temps et qu’elle est déjà en retard sur d’autres lois, comme le RGPD européen. Chez PulseUp, nous avons fait le choix de la respecter scrupuleusement, en allant parfois plus loin que le minimum légal. Par exemple, deux personnes au sein de l'entreprise ont achevé leur formation de Data Protection Officer (DPO) auprès de l'Université de Genève.
Cette formation est co-animée par Me Isabelle Hering, avocate et médiatrice spécialisée dans les nouvelles technologies et la protection des données. Elle explique que le rôle d’un DPO est divers et varié. Il s’agit de conseiller l’entreprise sur tous les aspects liés à la protection des données, notamment les questions de sécurité et de gouvernance des traitements de données.
A ce titre, le DPO doit être en mesure de dialoguer avec toutes les personnes qui traitent des données. Le DPO exerce aussi un rôle de contrôle puisqu’il veille au respect des exigences légales et des procédures internes, à la manière d’un service d’audit. Notons que seules les entités publiques sont tenues d’avoir un DPO. Auprès des entreprises privées, c’est uniquement une recommandation qui est surtout suivie par des grandes structures ou des sociétés qui traitent beaucoup de données.
Il est rare qu’une PME de la taille de PulseUp, dispose d’un DPO. Le fait d’avoir formé deux personnes montre que l'entreprise prend au sérieux sa responsabilité envers le traitement des données. Cela lui permet de bien maîtriser les dispositions de la nLPD et de les appliquer au mieux.
Fondatrice de DPO Associates Sàrl
Certification ISO 27001
La majorité des actions liées à la sécurité de l’information sont des bonnes pratiques que tout le monde valide sur le papier, mais qui sont rarement mises en place et maintenues. Sans une approche systématique et rigoureuse, ces pratiques se retrouvent en effet souvent tout en bas de la pile des urgences… généralement jusqu’à ce qu’une crise arrive.
Pour éviter de tomber dans ce travers, nous avons choisi de nous faire certifier selon la norme ISO 27001, qui concerne la sécurité de l’information. Cette certification a été obtenue il y a environ un an, en janvier 2024. Pour ce processus, nous nous sommes fait accompagner par Yves Jobin, directeur de Effiquency.
Son rôle a notamment consisté à traduire les exigences de la norme et à les transposer dans notre univers. Effiquency nous a donc aidés à mettre en place un système de management de la sécurité de l’information (SMSI) de la meilleure manière: pour qu’il corresponde à l’ADN de notre organisation, avec des procédures intégrées à nos activités internes.
PulseUp a eu le courage d’effectuer cette démarche de façon proactive, là où la plupart des entreprises ne se lancent que lorsqu’elles n’ont pas le choix. Que ce soit pour appliquer des obligations légales ou répondre à des exigences posées par des clients ou des partenaires.
Effiquency SA
Et le travail ne s’arrête pas une fois la certification obtenue! Chaque année, des vérifications sont effectuées pour s'assurer que le niveau de risque n’augmente pas ou que diverses actions périodiques sont effectivement réalisées, comme la simulation d’attaques ou des déclarations auprès du SMSI. Une nouvelle certification complète est requise tous les 3 ans.
Hébergement sécurisé et ultra-performant
Depuis le début 2023, nous collaborons avec Exoscale pour l’hébergement de nos applications. Ce partenaire nous offre de nombreux avantages. D’abord, c’est une société suisse: elle respecte donc notre législation par défaut, là où des acteurs étrangers rechignent souvent à s’adapter.
Leur solution de cloud computing fonctionne majoritairement en self-service: grâce à une interface web, nous pouvons piloter notre infrastructure nous-même. Cela nous assure une grande réactivité et une autonomie très appréciable.
Exoscale exploite 7 datacenters répartis en Europe, dont deux en Suisse: à Genève et à Zurich. Nos services sont hébergés à Genève mais aussi prochainement à Zurich, ce qui nous permettra d'assurer une redondance complète.
Le sérieux de Exoscale se reflète aussi dans les nombreuses certifications que l’entreprise a obtenues. C’est le cas dans le domaine de la sécurité IT avec par exemple la certification ISO 27001, mais aussi 27017 (sécurité des infrastructures cloud), 27108 (protection des données personnelles) et SOC 2 Type 2 (sécurité des données clients). Exoscale respecte aussi des standards sectoriels, notamment dans le domaine de la santé avec la certification française HDS (hébergeur de données de santé). La robustesse et les avantages d'Exoscale nous ont donné la solidité technique qui a permis de pouvoir compter parmi nos clients d’importantes structures du secteur médical comme Unisanté.
Nous avons l’habitude de dire que nous offrons des services pour les entreprises respectueuses de leurs données. Cela se vérifie complètement avec PulseUp: nous avons pu constater qu’il s’agit d’une équipe très pro, avec un climat de travail serein. Notre collaboration est très agréable!
Akhenes SA (Exoscale)
Quatre exemples de pratiques concrètes
Au-delà des lois et des certifications, notre engagement pour la sécurité des données se vit au quotidien. Et il se manifeste dans une foule d’actions, de décisions et de précautions prises tout au long de la chaîne de valeur. Voici quatre exemples concrets.
Clean desk
Toutes les bonnes séries TV le montrent: les erreurs humaines sont de loin la première source d’attaque. Pour les éviter, nous formons continuellement nos équipes et nous imposons des pratiques comme le clean desk (ou bureau vide): personne ne peut quitter sa place de travail sans avoir préalablement rangé tous documents, clés usb et autres éléments. Ainsi, aucune information confidentielle ne peut être découverte par le personnel de sécurité ou de nettoyage… ou lors de visites indésirables.
Plan de reprise des activités
Comme le prévoient la norme ISO 27001 et la nLPD, nous avons aussi mis en place des plans de reprise d’activité de l’entreprise (PRA). Il s’agit de procédures qui définissent comment réagir à certains événements pour reprendre et assurer la continuité de notre activité. Ces événements peuvent être une panne, une cyberattaque ou l’endommagement de nos serveurs, par exemple. Dès 2025, nous effectuerons régulièrement des tests de ces scénarios.
Double authentification
Malgré toutes les campagnes de sensibilisation à la sécurité informatique, le mot de passe le plus fréquent du monde restera toujours 1234 ou quelque chose simple à retenir… et donc à deviner. Et on ne compte pas le nombre de mots de passe inscrits sur des Post-it collés sous l’écran ou le clavier! Bref, pour compliquer la tâche des pirates, nous avons développé la double authentification pour accéder à l'application Pulse Medica et nous l'imposerons à tous nos clients qui ne l'ont pas encore activée courant 2025.
Cryptage des données
Les systèmes ont beau être très sécurisés, il arrive fréquemment que ces systèmes doivent échanger des données avec d’autres. Et ces transmissions sont potentiellement vulnérables. C’est pourquoi tout échange de données depuis, vers ou entre nos applications utilise un cryptage préalable. Ainsi, les données ne peuvent pas être utilisées, manipulées ou dévoilées en cas d’interception. Pour ne rien laisser au hasard, nous cryptons aussi les données que nous stockons nous-même auprès de notre hébergeur. Nous sommes aussi très vigilants sur la manière dont nous communiquons avec nos clients lorsqu'il s'agit de leurs données.