Prévenir les cyberattaques et protéger ses données

Les professionnels libéraux sont les premiers concernés par les cyberattaques. Un comportement rigoureux permet de s’en prémunir et de protéger les données de leur patient. Mais une fois que le mal est fait, des méthodes d’actions précises peuvent être mises en œuvre.

Cet article est paru dans le n°42 d'ActuSoins Magazine (septembre-octobre-novembre 2021). Il est à présent en accès libre. 

Pour recevoir un magazine complet tous les trimestres, abonnez-vous, pour seulement 14,90 €/an! (9,90 € pour les étudiants)

Abonnez-vous au magazine Actusoins

 

Prévenir les cyberattaques et protéger ses données

© tanpanamanoob/ShutterStock

L’année 2020 a été marquée par une recrudescence des cyberattaques, et ce pour plusieurs raisons. Dans le cadre professionnel, le déploiement du télétravail sans prise de précaution suffisante a accru les risques de cyberattaques de la part de pirates informatiques. « Le télétravail a engendré un nombre important de failles dans les systèmes informatiques, rapporte Hamel Zeani, responsable de l’activité santé au sein de Fiducial informatique. Cette situation attire et renforce considérablement les cyberattaques avec des développements sectoriels. » 

Les systèmes de santé n’ont pas été épargnés, au contraire, car pour des organisations ou individus malintentionnés, les enjeux actuels de santé publique rendent les données de santé plus critiques que jamais. « Aujourd’hui, la cybermalveillance représente le deuxième risque pour les entreprises françaises. Et les professions libérales sont directement concernées », fait savoir Jean-Yves Cannesson, président de la commission sécurité-citoyenneté-défense de l’Union nationale des professions libérales (Unapl).

Les types d’attaques

Ces cyberattaques peuvent être principalement de deux ordres. « Certaines vont être opportunistes, explique Vincent Croisile, expert sécurité à l’Agence du Numérique en Santé (ANS). L’attaquant ne cible pas spécifiquement la personne mais va plutôt tenter de compromettre un poste de travail dans un but lucratif. »

Les professionnels libéraux peuvent être concernés par ce type d’attaques car « ils n’assurent pas correctement la sécurité de leurs outils informatiques, qui peuvent alors se retrouver compromis », prévient-il en précisant ne pas pouvoir fournir de chiffres concernant les cyberattaques subies par libéraux car ils n’ont pas d’obligation de les déclarer.

En parallèle de ces attaques les plus communes, d’autres vont être davantage ciblées par le cyberattaquant, qui cherche à atteindre une personne détenant des données pouvant être intéressantes ou commercialisables. Ces attaques sont donc plus sophistiquées. « Le but est toujours lucratif mais l’objectif peut également être l’information en tant que telle car elle peut être utile », précise Vincent Croisile.


C’est le cas des professionnels de santé qui détiennent des données confidentielles sur leurs patients. L’enjeu est donc important. L’exemple récent le plus parlant : les attaques à l’encontre des laboratoires pharmaceutiques qui fabriquent les vaccins contre la Covid-19.

Deux risques majeurs

Lorsque les hackers décident de passer à l’action, ils ont recours à deux principaux vecteurs d’attaques : la messagerie électronique et l’exploitation de failles du système informatique. La messagerie est notamment utilisée dans le cadre d’attaques dite de phishing ou tentative d’hameçonnage.

« Le professionnel reçoit un mail dans lequel le pirate informatique lui demande, sous prétexte d’une facture non réglée ou d’un prélèvement non opéré, de cliquer sur une pièce-jointe ou sur un lien, mais s’il le fait, il est piégé », alerte Jean-Yves Cannesson. Dans ce type de mail, l’orthographe est généralement approximative et l’adresse électronique affichée, sans lien avec le contenu. 

Néanmoins, les escrocs affinent leur technique et peuvent créer une confusion avec le site source.  En cas de doute, il ne faut jamais agir dans la précipitation en cliquant sur le lien au risque d’ouvrir aux escrocs l’accès à ses données. Mieux vaut appeler l’organisme censé avoir envoyé l’email pour obtenir plus d’informations car « ces emails, de plus en plus réalistes, visent à obtenir des victimes des renseignements personnels afin d’usurper leur identité pour accéder à leurs comptes bancaires ou à leur compte personnel d’accès à un système d’information ou site internet »,informe Vincent Croisile.

Autre menace également très répandue : le rancongiciel, ransomware ou encore logiciel d’extorsion. Il s’agit d’un logiciel malveillant qui prend en otage les données en cryptant l’ensemble du réseau, permettant ainsi au cyberattaquant de demander une rançon en échange de la clef de décryptage. « Ces attaques peuvent être dramatiques si l’entité ou la personne n’a pas pris en compte cette problématique en amont et n’a donc réalisé aucune sauvegarde », prévient Vincent Croisile.

Ce type d’escroqueries repose généralement sur la conjugaison de deux faiblesses. « Tout d’abord l’outil informatique en tant que tel, avec des systèmes qui ne sont pas à jour, et le facteur humain en lien avec une hypovigilance, parfois associée à un biais cognitif comme l’appât du gain ou à l’inverse la peur de la perte d’un gain potentiel », souligne Hamel Zeani.

Agir en cas d'attaque

Une fois attaqué, il faut agir immédiatement : déconnecter les supports de sauvegarde pour éviter qu’eux aussi ne soient attaqués, isoler les équipements infectés, laisser éteints les appareils non démarrés et se faire aider par son prestataire informatique et/ou la plateforme de l’Etat dédiée à la cybermalveillance.



Les professionnels libéraux peuvent également signaler leur attaque sur la plateforme gouvernementale dédiée. « Mais en aucun cas il ne faut payer la rançon car on ne peut jamais être sûrs de récupérer les données », met en garde Jean-Yves Cannesson, qui recommande aussi de porter plainte. D’autant plus qu’en payant la rançon « la personne injecte de l’argent dans cette activité illégale et l’encourage », rappelle Vincent Croisile.

Agir en prévention

Le problème, c’est que souvent les personnes réagissent après avoir été victime d’un hacker, alors qu’il faut agir en prévention et anticiper. Il est possible d’adopter des bons réflexes à commencer par sauvegarder régulièrement ses données sur des disques durs externes, dans l’idéal quotidiennement, ce qui permet, en cas d’attaque, de reconstituer ses dossiers. Sans sauvegarde, aucune action n’est possible.

Il faut aussi avoir des mots de passe difficiles à déchiffrer donc éviter d’utiliser un mot du dictionnaire. Mieux vaut par exemple penser à une phrase et prendre la première lettre de chaque mot de cette phase, en ajoutant des minuscules, des majuscules et des caractères spéciaux. « L’une des solutions peut être d’utiliser des gestionnaires de mots de passe », conseille Vincent Croisile, qui recommande également de changer de mot de passe dès lors qu’on suppose avoir été victime d’une attaque.

Il est également important de toujours avoir un système d’exploitation et des logiciels à jour car « les hackers utilisent les failles qui sont régulièrement corrigées par les éditeurs », indique-t-il. Idem pour les antivirus à jour qui permettent d’identifier un certain nombre d’attaques.

Une attention particulière doit également être portée aux réseaux sociaux. « De nombreux faux profils circulent, une manière pour les pirates informatiques de prendre le contrôle de l’ordinateur », avertit Jean-Yves Cannesson. Idem avec les clefs USB, les objets connectés, les ordinateurs portables et les téléphones. « Il n’est pas vain de renforcer les paramètres de confidentialité et les mots de passe pour éviter les piratages des comptes car toutes ces connexions sont des passerelles permettant à des cybercriminels d’entrer chez nous », fait-il savoir. « Il faut aussi penser à paramétrer la mise en veille automatique, notamment sur les équipements mobiles, afin que l’outil ne reste pas connecté pendant plusieurs heures sur le compte de l’utilisateur, met en garde Vincent Croisile. Cela évite l’accès aux données en cas de vol ou de perte. »

Séparer l’usage personnel et professionnel

Enfin, pour une bonne pratique en général, il faut bien séparer l’usage personnel et professionnel des outils informatiques car généralement « dans le privé, on prendre un peu plus de risque », souligne l’expert sécurité à l’ANS, qui conçoit que cette option puisse être compliquée financièrement.

De fait, la bonne option peut être de chiffrer les données stockées sur ses appareils via des logiciels dédiés « en les rendant inutilisables par le hacker en cas de vol, indique-t-il. C’est d’autant plus important que les professionnels de santé hébergent des données patients encadrées par le Règlement général sur la protection des données (RGPD). »La responsabilité de l’infirmier peut alors être engagée.


 Les patients peuvent en effet déposer plainte à son encontre si leurs données ont été volées et l’infirmier est dans l’obligation de les en informer. Dernier conseil : ne pas stocker plus de données que nécessaire dans le cadre de sa pratique car « plus on stocke, plus on s’expose », rappelle Vincent Croisile.

Les professionnels libéraux doivent sensibiliser leur collaborateur à la démarche et mettre en place des procédures internes pour éviter ce type d’incident. Car en cas de plaintes, ils devront démontrer avoir pris toutes les précautions indispensables.

Laure Martin

Je m'abonne à la newsletter

Abonnez-vous au magazine Actusoins


Rappel des bonnes des pratiques

-Un système d’exploitation avec des mises à jour récentes.

-Un antivirus, également à jour. Idéalement pour des professionnels, faire en sorte qu’il soit connecté et centralisé à une console d’administration ce qui permet de mutualiser les systèmes de défense et de mieux gérer les « failles humaines » de chaque utilisateur isolé.

-Un pare feu adapté.

-Eviter d’ouvrir les liens et les pièces-jointes d’un expéditeur dont on n’est pas certain, surtout s’il propose un cadeau, un remboursement, un gain d’argent quelconque avec une prise de décision exigée rapidement.

-Eviter les sites de téléchargement.

-Savoir reconnaître les signes d’une infection : ralentissement significatif inexpliqué, redémarrages intempestifs, messages d’erreurs étranges, disparition de périphériques.

-Réaliser et contrôler régulièrement ses sauvegardes de données métier sur des supports différents (interne et externe).

-Penser à une bonne gestion de ses mots de passe : multiples, différents, complexes.  


Documents utiles

-Le site de l’Etat pour se faire aider en cas d’attaque : https://www.cybermalveillance.gouv.fr/,

-Le site du ministère de l’Intérieur pour signaler les comportements illicites : https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action

- CERT Santé (Supports de sensibilisation à la Cybersécurité) : https://www.cyberveille-sante.gouv.fr/sites/default/files/documents/piece-jointe/CERTSant%C3%A9_Note_Information_Support_Sensibilisation.pdf

-Le guide de l’Agence nationale de la sécurité des systèmes d’information sur la cybersécurité (ANSSI):  https://www.ssi.gouv.fr/uploads/2017/01/guide_cpme_bonnes_pratiques.pdf

-Les conseils de la Cnil : https://www.cnil.fr/sites/default/files/atoms/files/referentiel_-_cabinet.pdf

 https://www.cnil.fr/fr/cnil-direct/question/cabinets-medicaux-et-paramedicaux-titre-liberal-que-faire

-Le guide spécifique de l’ANS (Mémento Sécurité libéraux en cours de mise à jour) : https://esante.gouv.fr/sites/default/files/media_entity/documents/Memento_Securite.pdf

Abonnez-vous à la newsletter des soignants :

Faire un don

Vous avez aimé cet article ? Faites un don pour nous aider à vous fournir du contenu de qualité !

faire un don

Réagir à cet article

retour haut de page
444 rq / 8,481 sec