Faut-il accélérer la sensibilisation des médecins à la cybersécurité en santé ?
Oui, répondent le think tank Renaissance numérique et l'éditeur de logiciels antivirus Kaspersky. Comment ? En améliorant la formation des professionnels de santé à l'hôpital mais aussi en ville et, ainsi fait, en leur donnant les moyens de faire face aux cyberattaques.
Lors d'une récente table ronde, le groupe hospitalier universitaire (GHU) Paris psychiatrie et neurosciences a témoigné des solutions mises en œuvre au sein des établissements pour lutter contre la cybercriminalité. Séminaires et soirées thématiques y sont organisés pour développer la « culture sécurité » et parler des risques liés à l'utilisation d'une clé USB, l'usage de mails sur une boîte personnelle, le choix des mots de passe, etc. « Nous allons vers une mutualisation des systèmes d'information dans les GHT et nous travaillons aussi avec les acteurs de l'hospitalisation à domicile, les professionnels de santé de ville, les laboratoires. La multiplicité des acteurs rend la tâche de sécurisation complexe », admet Stéphane Pierrefitte, directeur des systèmes d'information du GHU qui fait également part de difficultés « d'ordre culturel plus que technique ».
« Sur le terrain, nous avons constaté un vrai besoin d'éduquer le praticien pour qu'il ferme sa session sur son ordinateur dès qu'il quitte son poste. La sécurité ne doit pas être une contrainte mais doit être partie intégrante des métiers », confirme Bertrand Trastour, responsable des activités BtoB chez Kaspersky.
Selon une enquête* menée par Kaspersky, 33 % des professionnels de santé communiquent par mail non sécurisé avec les patients et 27 % par SMS. Seuls 7 % utilisent des applications professionnelles. 32 % des professionnels déclarent manquer de connaissances à ce sujet et 55 % estiment ne pas disposer des moyens nécessaires pour garantir efficacement la sécurité des données des patients.
350 euros le dossier médical
Le besoin de formation à la cybercriminalité est d'autant plus nécessaire que les attaques informatiques se multiplient. Les cybercriminels utilisent principalement deux armes : le rançongiciel qui paralyse les systèmes informatiques et demande une rançon ou les cyberattaques des infrastructures ciblant les dispositifs médicaux, la climatisation, le système d'oxygénation. L'objectif des hackers est évidemment financier. « 350 euros, c'est le montant perçu par un hacker à la revente d'un dossier médical sur le darknet. Ça peut paraître peu important mais si on le multiplie par le nombre de Français, ça fait une somme astronomique », analyse Bertrand Trastour.
Mi-août, 120 cliniques du groupe Ramsay santé ont été victimes d'un virus informatique. En mars, 60 ordinateurs de l'hôpital Gui de Chauliac de Montpellier ont connu le même sort. Le ministère de la Santé recense 1 341 déclarations d'attaques (hôpitaux, cabinets de ville, EHPAD, etc.) en 2016. Les cas se sont depuis multipliés. « Nous sommes passés d’une à deux attaques informatiques d'ampleur et ciblées par mois à une à deux par semaine. Le nombre d'attaques des établissements de santé a été multiplié par trois depuis 2017. Il y a une pression, très ciblée, d'acteurs malveillants », conclut Bertrand Trastour.
*Étude menée auprès de 1 002 professionnels de santé (médecins hospitaliers et libéraux, infirmiers, aides-soignants, pharmaciens) via un questionnaire auto-administré en ligne du 10 au 23 juillet 2019
Padhue : le nouveau statut ne convainc pas tous les syndicats, grève annoncée le 14 mai
Soins palliatifs précoces : ouverture du premier hôpital de jour en Essonne
Après les accusations d'une médecin, un #MeToo à l'hôpital ?
L’urgentiste Patrick Pelloux accusé de harcèlement sexuel et moral par l’infectiologue Karine Lacombe