Garantir la sécurité des données: Une valeur fondamentale chez OneDoc – Mais comment cela est-il géré concrètement?

Les données médicales sont sensibles. Personne ne souhaite voir son numéro AVS, le résultat d’un examen ou toute autre donnée qui puisse être utilisée à des fins médicales être volée ou fuiter en ligne. S’assurer de la protection de ces données est donc primordial. Mais que fait OneDoc pour sécuriser ces données?

On est allé demander à Alexandre Curreli et Florian Alonso, chefs de notre équipe de développement et sécurité, de nous expliquer comment est gérée la sécurité des données chez OneDoc.

La sécurité des données chez OneDoc est gérée par une équipe de dix personne et peut être résumée en 6 piliers comme expliqué par Alexandre Curreli, Chief Technical Officer (CTO) et co-fondateur de OneDoc:

Données chiffrées de bout en bout en Suisse

“Toutes les données médicales chez OneDoc sont stockées exclusivement en Suisse et de manière chiffrée tout comme les transferts de ces données”, nous explique Alexandre Curreli.

Le chiffrement de bout en bout permet aux données d’être lisibles uniquement aux personnes qui doivent y avoir accès. Stocker les données en Suisse permet de s’assurer un contrôle de sécurité supplémentaire grâce au label “Swiss made software, hosted in Switzerland” et est nécessaire pour respecter la nLPD (nouvelle Loi sur la Protection des Données).

Mises à jour régulières

Les mises à jour sont effectuées de manière régulière chez OneDoc pour éviter toutes les failles potentielles dans la sécurité: “On a des mise à jours toutes les semaines et certaines semaines c’est même tous les jours”, nous détaille Florian.

ISO 27001 et OCPD

Derrière ces termes qui peuvent sembler barbares se cachent deux certifications sur la protection des données. L’ISO 27001 contient un ensemble de points de contrôle à respecter pour s’assurer de la protection des données. Si les exigences sont respectées, l’Organisation internationale de normalisation (ISO) remet la certification. De son côté, l’OCPD certifie que OneDoc respecte la loi suisse sur la protection des données.

Formation des employés

Une bonne protection des données passe aussi par une bonne formation des employés. “Chaque employé reçoit une formation sur les bonnes pratiques en matière de sécurité”. En effet, si nous imaginons les hackers s’introduire à grand en craquant les codes d’une entreprise, la réalité est souvent moins spectaculaire. Les vulnérabilités en matière de sécurité sont causées en grande partie par les employés à l’intérieur de l’entreprise.

Pen tests réguliers

Des tests de pénétration sont effectués régulièrement par des experts de sécurité pour s’assurer de la fiabilité de la protection des données. Concrètement, des “gentils” hackers vont tenter de s’introduire dans le système OneDoc pour extraire des données confidentielles. “Pour l’instant personne n’a réussi!” se félicite Alexandre Curreli.

Security by design

“La sécurité est quelque chose qu’on a en tête en permanence” nous confie Florian Alonso, “Que ce soit dans l’équipe technique ou dans le reste de l’entreprise”. La sécurité fait toujours partie du processus du développement et tout est mis en œuvre pour garantir la meilleure sécurité possible.

Covid, un challenge aussi en matière de sécurité des données

Lorsque l’on demande à Alexandre et Florian quel a été le plus gros challenge auquel ils ont été confrontés chez OneDoc, ils n’hésitent pas: “Clairement le Covid, où on a dû développer un module de vaccination en quelques semaines pour le mettre à disposition des cantons.” On peut se demander dans ce genre de cas comment la sécurité peut être garantie quand on dispose d’aussi peu de temps. Alexandre Curreli explique que le tout est de garder ses bonnes pratiques et de penser à la sécurité au moment où l’on code et toujours bien tester.