La cybersécurité aussi passe

par la formation…

Les données santé ne sont pas des données comme les autres. Ultrasensibles de par leur caractère intime et confidentiel et en raison de la nécessité de garantir le secret médical, elles sont devenues des cibles privilégiées pour les cyberpirates suscitant de l’inquiétude, mais aussi un plan d’action gouvernemental qui prévoit « outils à la hauteur et compétences », et dans lequel la formation est appelée à tenir une place déterminante

Entre 2019 et 2020, en France, les rançongiciels —ces logiciels malveillants qui prennent en otage les données personnelles et exigent du propriétaire des données de l’argent contre la clef de déchiffrage— ont augmenté de 255 %1. La France est le quatrième pays le plus touché par ces attaques, qui visent particulièrement le secteur de la santé et de l’éducation, les collectivités territoriales et les prestataires de services numériques. Les dossiers médicaux se vendraient d’ailleurs jusqu’à 2,5 fois plus cher que d’autres données. Depuis l’apparition de la crise sanitaire du Covid-19, les cyberattaques contre les hôpitaux auraient bondi de 500 %2. Le secrétaire d’Etat chargé du Numérique, Cédric O, indiquait ainsi début 2021 que les hôpitaux étaient confrontés à une attaque par semaine !

Des hôpitaux totalement paralysés. En février 2021, les hôpitaux de Dax et de Villefranche-sur-Saône se sont ainsi retrouvés paralysés par une cyberattaque de grande ampleur. Dossiers patients, téléphonie, appareils chirurgicaux, gestion des médicaments, rendez-vous, affectation des lits et des médecins, c’est la totalité du système d’exploitation qui a été bloqué. Quelques jours plus tard, l’attaque perpétrée contre Dedalus France, l’éditeur de logiciels pour les établissements de santé a entraîné la fuite des données médicales de près de 500 000 personnes, clientes de 28 laboratoires.

Des guides pratiques pour sécuriser son système informatique. La prise de conscience ne suffit pas : dans la guerre contre les cybercriminels, il est important de protéger de murailles infranchissables son système informatique. Une obligation qui n’a rien d’une évidence pour les professionnels de santé, plus compétents sur les soins que sur l’informatique. Heureusement, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) vient à leur secours en mettant gratuitement à leur disposition de nombreuses ressources : cours en ligne, fiches pratiques, exercice de simulation de crise cyber, l’objectif est d’expliquer les bonnes pratiques et de préparer les organisations aux cyber­attaques. L’ANSSI a notamment publié, le 6 décembre 2021, un guide de gestion de crise cyber qui met en exergue la nécessité de bien connaître son système d’information, les éléments qui le composent, et notamment ses points faibles. L’établissement d’une cartographie permet d’anticiper les formes d’une éventuelle attaque et de mettre en œuvre dès que possible des actions préventives et correctives. Cybermalveillance.gouv.fr et ses membres proposent également un kit de sensibilisation visant à informer sur les risques liés au numérique, à partager les bonnes pratiques et à améliorer les usages dans le cadre professionnel. En cas de crise, l’ANSSI intervient aussi directement en tant que « pompier ». Ainsi, à Dax et à Villefranche-sur-Saône, sept experts sont restés sur place tout le temps nécessaire pour reconstruire le système d’information piraté.

Un plan gouvernemental d’un milliard d’euros pour améliorer la cybersécurité. En 2021, le gouvernement français a présenté un plan d’1 milliard d’euros pour améliorer la cybersécurité en France. Ce plan prévoit notamment des augmentations budgétaires, le doublement des emplois dans la filière, pour passer de 37 000 à 75 000 emplois et le développement d’une véritable culture de la sécurité. « C’est comme une guerre technologique. Nous avons besoin de monter en compétences, d’avoir des outils qui sont à la hauteur et donc il faut former et il faut investir dans la technologie, sur des logiciels d’intelligence artificielle, sur des sondes pour détecter les attaques », explique Cédric O, dans une interview à Europe 1.

Sensibiliser et former les collaborateurs. Au-delà des efforts entrepris pour sécuriser le système d’information en tant que tel, l’information et la formation des utilisateurs sont également essentiels. Dans 99 % des cas, l’humain reste la cible prioritaire des hackers3. En janvier 2022, Mailinblack, start-up marseillaise spécialisée dans la cybersécurité, a testé 200 791 collaborateurs par le biais de son outil de simulation d’attaques Phishing Coach. Parmi ceux-ci, 12 410 ont cliqué sur le lien présent dans l’e-mail et 8 222 ont renseigné des informations personnelles sensibles telles que mots de passe, numéro de carte de crédit, entre autres. Ces simulations d’attaques constituent la meilleure solution pour faire prendre conscience à chacun des risques induits par ses comportements et de ses responsabilités. Car, et l’ANSSI le souligne : « Les attaques à l’encontre d’hôpitaux montrent qu’une attaque par rançongiciel peut avoir des conséquences gravissimes dans le monde réel, en mettant en danger la vie des patients ».

Solène Penhoat ■

1. Rapport de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et de son homologue allemand, le BSI, paru en novembre 2021.

2. Source cabinet PWC, février 2021

3. Source Harvard Business Review

Pour aller plus loin :

www.cybermalveillance.gouv.fr/tous-nos-contenus/kit-de-sensibilisation

www.ssi.gouv.fr/

10 conseils pour préserver ses données

Les professionnels de santé ne sont pas forcément des spécialistes de l’informatique. Cependant, aujourd’hui, il n’est pratiquement plus possible d’exercer son métier sans recourir aux outils numériques. Il existe des gestes barrières contre les virus, c’est aussi le cas en informatique… Quelques conseils simples permettent ainsi de réduire les risques de cyberattaque et de préserver les données.

> Se doter d’un antivirus et le mettre à jour régulièrement.

> Utiliser un service d’exploitation de l’ordinateur récent. Les nouvelles versions, Windows 10 ou Mac OS X 10.12, contiennent très souvent des mises à jour qui résolvent des failles de sécurité déjà identifiées et des améliorations de performance.

> Effectuer des mises à jour du système d’exploitation au moins une fois par mois.

> Mettre à jour le logiciel métier au moins une fois par an.

> Utiliser des outils de partage de fichiers certifiés HSD comme Google Drive, Microsoft One Drive ou WeSend plutôt que des clefs USB ou des disques durs externes, qui peuvent être infectés.

> Distinguer les e-mails personnels des e-mails professionnels, avec un compte pour chaque usage.

> Utiliser une adresse sécurisée pour échanger des données de santé comme celles proposées par Apicrypt ou MSSanté.

> Recourir à une authentification double facteur pour les mails avec deux clefs, un mot de passe pour l’une et un code à usage unique, envoyé par exemple par SMS ou un certificat stocké sur la carte CPS.

>Utiliser un gestionnaire de mots de passe pour générer des mots de passe complexes, les stocker en toute sécurité et les injecter automatiquement sur les sites internet au moment de l’authentification. Ne pas écrire ses mots de passe sur un carnet ou un bout de papier !

>Ne pas ouvrir les pièces jointes venant d’interlocuteurs inconnus car c’est dans ces pièces jointes que se trouvent la majorité des virus.

S.P. ■