Dans le cadre de leur exercice, les Idels s’appuient sur de nombreux outils informatiques : ordinateurs, messageries, tablettes, smartphones, etc. Ainsi doivent-elles assurer :

→ la disponibilité des données de santé des patients pour limiter le risque de perte dans leur prise en charge ;

→ la confidentialité de celles-ci pour préserver le secret médical. En outre, le règlement général sur la protection des données (RGPD) impose l’obligation légale de protéger la confidentialité des données de patients et usagers à caractère personnel ;

→ l’exactitude des données de santé des patients pour un diagnostic rapide et juste ;

→ le partage maîtrisé de celles-ci pour permettre la coordination des soins.

LES RISQUES

Avec l’usage d’outils informatiques, les Idels s’exposent à des incidents de sécurité pouvant impacter leur activité et la protection des données de santé de leurs patients. Outre des problèmes techniques ou de matériels détériorés par l’usure, obsolètes ou mal entretenus, les Idels risquent également d’être victimes de cyberattaques, rendant, dans certains cas, tout ou partie des dossiers patients inaccessibles ou inexploitables. Ces menaces sont de différents ordres.

LES ATTAQUES OPPORTUNISTES

Dans certains cas, l’attaquant ne cible pas nécessairement la personne, mais cherche à compromettre un poste de travail dans un but lucratif. C’est prioritairement ce type d’attaque qui concerne les Idels. Le rançongiciel (ou ransomware) par exemple est un logiciel malveillant qui prend en otage les données en cryptant l’ensemble du réseau, permettant ainsi au cyberattaquant de demander une rançon en échange de la clé de décryptage.

LES ATTAQUES CIBLÉES

D’autres attaques, plus rares pour les Idels, sont considérées comme ciblées dès lors que le cyberattaquant cherche à atteindre une personne détenant des données pouvant être intéressantes ou commercialisées. Le but reste lucratif mais l’objectif peut aussi être l’information, en raison de son utilité.

DEUX VECTEURS D’ATTAQUES

LA MESSAGERIE ÉLECTRONIQUE

La messagerie peut être utilisée dans le cadre d’attaques dites de phishing ou tentative d’hameçonnage. Le professionnel reçoit un mail dans lequel le pirate informatique lui demande, sous un prétexte, de cliquer sur une pièce jointe ou sur un lien tous deux piégés. Les escrocs ont affiné leur technique et peuvent créer une confusion avec le site source, d’autant plus que les mails sont, eux aussi, de plus en plus réalistes. Ils visent à obtenir des victimes des renseignements personnels, afin d’usurper leur identité pour accéder à leurs comptes bancaires ou à leur compte personnel d’accès à un système d’information ou site Internet. En cas de doute sur un e-mail, il ne faut jamais agir dans la précipitation. Mieux vaut appeler l’organisme censé l’avoir envoyé pour obtenir davantage d’informations.

LES FAILLES DU SYSTÈME INFORMATIQUE

Il est important de tenir le système d’exploitation et le logiciel à jour afin d’avoir un environnement sûr. Tous les jours, les développeurs découvrent des failles susceptibles d’être exploitées par les cyberattaquants, auxquelles ils apportent des correctifs.

EN CAS D’ATTAQUE

En cas d’attaque, il faut agir immédiatement, ce qui implique :

→ de déconnecter tous les supports de sauvegarde afin d’éviter qu’eux aussi ne soient attaqués,

→ d’isoler les équipements infectés en les déconnectant du wifi ou en débranchant le câble réseau,

→ de laisser éteints les appareils non démarrés

→ de se faire aider par son prestataire informatique et/ou la plateforme de l’État dédiée à la cybermalveillance (voir Info+).

En aucun cas, il ne faut payer de rançon car rien ne garantit que les données seront rendues par les cyberattaquants.

QUE FAIRE SUR LE LONG TERME ?

Des règles d’hygiène informatique sont à mettre en place afin d’éviter la survenue d’un incident ou d’avoir la capacité de réagir s’il se produit.

→ Effectuer des sauvegardes régulières. Un rythme de sauvegarde des documents, des sources d’installation, des licences et des fichiers de configuration des applications, doit être défini tout comme les supports les plus appropriés. Il est important de disposer d’une sauvegarde déconnectée ou hors ligne (par exemple sur un disque dur externe) car, en cas d’attaque par rançongiciel, les sauvegardes déconnectées ne seront ainsi pas impactées par un chiffrement.

→ Effectuer les mises à jour régulièrement. Il est indispensable de procéder aux mises à jour des systèmes d’exploitation et de tout logiciel dès la mise à disposition des correctifs de sécurité par leurs éditeurs, car la majorité des attaquants exploitent des vulnérabilités publiques et documentées pour maîtriser les systèmes d’information. Il est d’ailleurs recommandé d’activer les fonctions de mise à jour automatique proposées par les éditeurs.

→ Utiliser un antivirus. Très utiles à la protection des moyens informatiques, ils constituent une première ligne de défense contre les attaquants.

Un antivirus doit être déployé sur la majorité des équipements informatiques, en priorité ceux connectés à Internet (postes de travail, serveurs de fichiers, etc.). Les antivirus commerciaux proposent une mise à jour automatique et un scan automatique des espaces de stockage utiles à activer.

→ Activer un pare-feu. Ce logiciel, installé sur l’ordinateur de l’utilisateur, protège surtout des attaques provenant d’Internet. Pour les entreprises disposant d’un système d’information d’entreprise, il permet aussi de ralentir ou de limiter l’action d’un acteur malveillant souhaitant prendre le contrôle d’un des postes de travail.

→ Choisir des mots de passe robustes. De nombreuses attaques sur Internet sont facilitées par l’utilisation de mots de passe trop simples ou réutilisés d’un service à l’autre. Un mot de passe robuste comporte des capitales, des minuscules, des chiffres et des caractères spéciaux (au moins trois sur les quatre).

Il est recommandé que la longueur d’un mot de passe soit corrélée à la criticité du service auquel il donne accès (au moins 9 caractères pour les services peu critiques et au moins 15 pour les services critiques). Si toutes ces mesures de sécurité sont respectées, il n’est pas nécessaire de changer régulièrement le mot de passe. Il faut par ailleurs utiliser des mots de passe différents pour chaque service nécessitant une authentification et activer une authentification multifacteurs quand elle est proposée par le fournisseur de service. Il est aussi possible d’utiliser un gestionnaire de mots de passe. Cet outil permet de ne pas avoir à retenir tous ses mots de passe, en les conservant dans un coffre-fort sécurisé par un mot de passe unique robuste. Enfin, ne pas oublier de verrouiller l’ordinateur en cas de non-utilisation.

→ Utiliser une messagerie sécurisée de santé. L’espace de confiance MSSanté n’est pas obligatoire, mais il est fortement recommandé. La redirection de messages professionnels vers une messagerie personnelle est à proscrire car cela constitue un vecteur de fuite d’informations.

→ Maîtriser le risque numérique en situation de nomadisme. Pris par exemple pendant la tournée de l’Idel, ce risque est propice à l’espionnage des informations sensibles, au piégeage et au vol des équipements.

→ Séparer les usages professionnel et personnel des outils. Pour ce faire, il est important de créer différents comptes utilisateurs. De même, si plusieurs personnes utilisent le même outil informatique.

→ Respecter les règles relatives à l’hébergement de données de santé à caractère personnel. S’assurer que tout hébergeur de données de santé est titulaire d’un agrément ou d’un certificat d’hébergement de données de santé (HDS).

RÉFÉRENCES

• Anssi, La cybersécurité pour les TP/PME en 13 questions, 2022. Lien pour le consulter : bit.ly/3A7PG0k.

• ANS, Mémento de sécurité informatique pour les professionnels de santé en exercice libéral. Guide des bonnes pratiques, 2021. Lien pour le consulter : bit.ly/4142Mrk.