Dentanorme
Guides/Normes
Vérifié le

ISO 27001 et cabinet dentaire : utilité et bonnes pratiques

ISO/IEC 27001:2022 : norme internationale de sécurité de l'information. Pertinence et bonnes pratiques applicables à un cabinet dentaire libéral.

L'essentiel

ISO/IEC 27001:2022 est la norme internationale décrivant les exigences d'un Système de Management de la Sécurité de l'Information (SMSI). Une certification 27001 est rare en cabinet dentaire libéral (lourde, coûteuse), mais ses bonnes pratiques (analyse de risques, politique de sécurité, contrôle d'accès, journalisation, sauvegarde, plan de reprise) sont directement transposables et renforcent la conformité RGPD.

Cadre réglementaire

  • ISO/IEC 27001:2022Système de Management de la Sécurité de l'Information

    Norme internationale décrivant les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un SMSI. Inclut une évaluation des risques et un plan de traitement.

    Consulter le texte
  • ISO/IEC 27002:2022Mesures de sécurité de l'information (catalogue)

    Catalogue de 93 mesures (contrôles) classées par thème (organisationnelles, humaines, physiques, technologiques) — utilisable comme guide pratique même sans certification.

    Consulter le texte
  • Règlement (UE) 2016/679 — RGPDArt. 32 — Sécurité du traitement

    Le responsable de traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (chiffrement, intégrité, disponibilité, résilience, tests).

    Consulter le texte

Obligations concrètes

  1. Cartographier les actifs informationnels

    Inventorier les données traitées : dossiers patients (très sensibles), comptabilité, RH, communications. Pour chaque actif : criticité, support (logiciel SaaS, serveur local, papier), responsable, durée de conservation. Le RGPD impose déjà cette cartographie.

  2. Évaluer les risques

    Méthode EBIOS RM (ANSSI) recommandée. Pour chaque actif : menaces (vol, ransomware, fuite, perte), vulnérabilités (mots de passe faibles, sauvegardes incomplètes), impact, vraisemblance. Cotation simple suffit pour un cabinet libéral.

  3. Adopter une politique de sécurité

    Document court (5-10 pages) signé par le titulaire : règles d'usage des outils, mots de passe (gestionnaire, complexité, double authentification), gestion des accès (par rôle), sauvegardes, sortie de salarié (révocation immédiate des accès). Faire signer par chaque membre.

  4. Mettre en œuvre les contrôles ISO 27002 essentiels

    Top 10 priorités cabinet dentaire : MFA, gestionnaire de mots de passe, antivirus / EDR, chiffrement disques, sauvegardes automatiques chiffrées, mises à jour OS / logiciels, journalisation des accès logiciel patient, sensibilisation phishing, contrôle accès physique au serveur, plan de reprise testé.

  5. Auditer périodiquement

    Audit interne annuel : vérification que la politique est appliquée. Test de restauration de sauvegarde au moins annuel. Test de phishing simulé recommandé. Documenter les non-conformités et plans d'action.

  6. Améliorer continuellement (PDCA)

    Cycle Plan-Do-Check-Act : revue annuelle de la politique, ajustement après tout incident, suivi des actions correctives. C'est le cœur de la philosophie ISO 27001.

ISO 27001 — Bonnes pratiques cabinet dentaire (10 points)

  • Inventaire des actifs informationnels documenté
  • Évaluation des risques formalisée (EBIOS RM ou simplifiée)
  • Politique de sécurité signée par l'équipe
  • MFA activée sur tous les comptes critiques
  • Sauvegarde quotidienne chiffrée + test de restauration annuel
  • Mises à jour OS / logiciels automatisées
  • Antivirus / EDR à jour sur tous les postes
  • Journalisation des accès au logiciel patient activée
  • Plan de reprise d'activité (PCA / PRA) documenté et testé
  • Revue annuelle de la politique de sécurité
Découvrir Dentanorme

Questions fréquentes

Une certification ISO 27001 est-elle utile pour un cabinet dentaire ?

Rarement. La certification (audit externe ~10-30 k€ + maintenance) vise plutôt les structures à forte exposition (centres de santé multi-sites, éditeurs, hospitaliers). Pour un cabinet libéral, l'objectif est plutôt d'appliquer les bonnes pratiques 27002 — utiles juridiquement (RGPD Art. 32) et pratiquement.

ISO 27001 et HDS (Hébergeur de Données de Santé) — quel rapport ?

La certification HDS exigée pour les hébergeurs de données de santé est elle-même fondée sur ISO 27001 (avec exigences complémentaires sectorielles). Choisir un logiciel cabinet hébergé chez un HDS certifié, c'est bénéficier indirectement d'un environnement 27001-compliant côté serveur.

Quel rapport entre ISO 27001 et RGPD ?

ISO 27001 est un cadre technique de sécurité ; le RGPD est une obligation légale. Mettre en œuvre un SMSI 27001 est un moyen efficace de satisfaire les exigences de l'Art. 32 RGPD (sécurité du traitement). En cas de contrôle CNIL, démontrer une démarche 27001 est très favorable.

Combien de temps pour appliquer les bonnes pratiques (sans certification) ?

Pour un cabinet libéral : 20-40 heures réparties sur 3-6 mois pour mettre en place les 10 contrôles essentiels (MFA, sauvegarde, EDR, formation, politique). Coût ~500-2 000 € en outils + temps interne. ROI : alignement RGPD, réduction du risque cyber, sérénité opérationnelle.

Sources et textes de référence

Vérifié manuellement le .

  1. [1]ISO/IEC 27001:2022 — SMSI AFNOR
  2. [2]ISO/IEC 27002:2022 — Mesures de sécurité AFNOR
  3. [3]RGPD Art. 32 — Sécurité du traitement CNIL

Pilotez la conformité de votre cabinet dentaire

Dentanorme regroupe inventaire, DPC et préparation des audits ARS dans un seul outil pour les cabinets dentaires libéraux français.

Voir les tarifs

Guides liés

Retour à Normes

Ce site utilise des cookies fonctionnels (authentification, sécurité) et des cookies d'analysepour améliorer votre expérience. Aucun cookie publicitaire n'est utilisé. En savoir plus