Suite à l'obtention de la certification ISO 27001, Bluelinea partage avec vous les bonnes pratiques que nous utilisons.
L'ISO 27001 permet aux entreprises et aux administrations d'obtenir une certification qui atteste de la mise en place effective d'un système de gestion de la sécurité de l'information. Sur le processus qui a conduit à cette certification, vous pouvez lire sur notre site l'article Bluelinea obtient la certification ISO 27001.
Pour garantir la sécurité des installations, notamment dans les environnements sensibles comme les EHPAD et maisons de retraite, il est essentiel de suivre certaines bonnes pratiques. Voici une liste de quelques recommandations spécifiques applicables pour garantir la sécurité des solutions d'appel infirmier, en tenant compte des exigences techniques et réglementaires.
Mise à jour régulière des logiciels et firmwares
Les mises à jour corrigent des vulnérabilités de sécurité et améliorent la stabilité des systèmes.
Configurer les systèmes pour des mises à jour automatiques ou planifiées. Informer régulièrement les partenaires et clients des mises à jour disponibles.
Serenea® propose des mises à jour trimestrielles, nous vous informerons de la prochaine, qui devrait arriver très vite ! Vous pouvez retrouver l'historique des versions Serenea® sur notre site
Utilisation de mots de passe robustes et gestion des accès
Des mots de passe faibles ou non sécurisés peuvent compromettre l'ensemble du système.
Imposer l'utilisation de mots de passe forts (longueur, complexité) et changer régulièrement ces derniers. Pour vous aider, l'Agence Nationale de Sécurité des Systèmes d'Information publie ses recommandations sur le sujet. Limiter les accès au strict nécessaire. Activer un mécanisme d'authentification multifacteurs (MFA = Multi Factor Authentication) pour les connexions sensibles.
La double authentification est mise en oeuvre pour l'accès à l'interface Serenea® depuis mai 2024. La prochaine version de la BlueApp (v1.9 prévue pour octobre 2024) implémentera cette fonctionnalité également.
Segmentation des réseaux
Isoler les systèmes critiques comme les solutions d'appel infirmier du reste du réseau évite qu'une attaque ou une intrusion n'affecte l'ensemble du réseau informatique.
Utiliser des VLAN (Virtual Local Area Network) pour séparer le réseau des systèmes d'appel des autres systèmes (internet, etc...) Bluelinea recommande une segmentation des réseaux de façon intrinsèque sur Serenea®.
Chiffrement des communications et des données
Le chiffrement protège les données sensibles contre l'interception et les attaques.
Utiliser les protocoles de chiffrement pour toutes les communications entre les systèmes d'appel et les serveurs (SSL/TLS). Chiffrer les données stockées localement et sur les serveurs, notamment celles relatives aux résidents et au personnel.
Toutes les communications entre Serenea® et les plateformes de services se font en HTTPS. Le Service d'Accès à Distance Sécurisé (SADS) de Serenea® implémente une connexion VPN sécurisée pour l'administration à distance des BlueHub.
Contrôle d'accès physique
La sécurité physique des équipements est aussi importante que la sécurité numérique.
Programmer des audits de sécurité réguliers, incluant des tests d'intrusion et des analyses de vulnérabilité. Faire un suivi des recommandations des audits pour corriger les failles détectées.
Bluelinea fait réaliser des tests de vulnérabilité réguliers sur toutes les plateformes exposées sur le web et utilise la solution EDR CrowdStrike sur ses serveurs et postes informatiques.
Sensibilisation et formation des utilisateurs
Les erreurs humaines sont souvent la cause d'incidents de sécurité.
Former les utilisateurs et installateurs sur les bonnes pratiques de sécurité (utilisation des mots de passe, gestion des accès, détection des e-mails suspects).
Créer un protocole de signalement des incidents ou comportements suspects pour favoriser une réponse rapide.
Documentation et gestion des incidents
Être prêt à réagir efficacement en cas de problème réduit les impacts d'une attaque ou d'une panne.
Mettre en place une procédure documentée de gestion des incidents (pannes, cyberattaques).
Tenir un registre des incidents passés pour analyser les causes et prévenir de futurs incidents similaires.
Bluelinea a mis en place une interface web pour le suivi des incidents. Accessible à tous, elle est actualisée en temps réel par les équipes SI et le personnel d'astreinte.
Tests de reprise après sinistre
En cas de panne majeure, la reprise rapide des opérations est essentielle pour les établissements de santé.
Effectuer des tests réguliers de plan de reprise après sinistre (PRA) pour s'assurer que les systèmes critiques peuvent être remis en service rapidement.
Inclure des scénarios réalistes pour tester la résilience des systèmes d'appel infirmier face à des interruptions.
Bluelinea a mis en place un plan de continuité de ses systèmes d'information et dispose d'une équipe technique d'astreinte H24.
Vérification de la conformité aux normes (e.g. : RGPD
En cas de non-conformité, des sanctions légales peuvent être appliquées, en pus des risques de fuites de données personnelles.
Vérifier que toutes les données collectées et traitées sont conformes aux normes RGPD.
Minimiser la collecte de données et s'assurer que seules les informations essentielles sont traitées.
Le RGPD s'inscrit pleinement dans la démarche de certification ISO 27001. Bluelinea participe au sein du Groupe APICIL à un groupe de travail dédié à l'amélioration continue des processus relatifs au RGPD.