Cybersécurité au cabinet : comment déjouer les pirates ? Posez vos questions à Vincent Croisile

Bonjour à tous, heureux d'être avec vous aujourd'hui pour répondre à vos questions sur la cybersécurité.

A priori, aujourd'hui les médecins libéraux sont rarement visés directement, ils sont plutôt sujets à des attaques qu'on pourrait qualifier d'opportunistes. Toutefois, le contexte a pu évoluer légèrement ces dernières années, notamment car les médecins ont été amenés à délivrer des pass sanitaires et donc des usurpations d'identité ont pu intéresser les attaquants.

Les cyber attaquants visent généralement des failles qui sont connues, et ce sont donc les systèmes d'information les moins sécurisés qui en sont victimes, c'est pourquoi les libéraux sont tout aussi concernés que les hôpitaux par ce type d'attaques. Il est important de s'en protéger.

Il est recommandé lorsque cela est possible de séparer les usages professionnels des usages personnels.

Le plus important est de disposer d'un antivirus et surtout de le mettre régulièrement à jour. En effet, la plupart des outils de ce type se base sur des "signatures", c'est à dire des morceaux de code qui permettent d'identifier les malwares.

Quelle que soit la technologie utilisée, des failles peuvent exister et sont quotidiennement exploitées par les hackers. Le fait d'utiliser un Mac peut donner une fausse impression de sécurité car les attaquants vont cibler en priorité les PC (les plus répandus), mais des attaques existent aussi sur les technologies Mac.

La première précaution serait de sauvegarder régulièrement ses données car en cas d'incident de sécurité, on est ainsi capable de restaurer le système et de revenir à l'état dans lequel il était lors de la dernière sauvegarde. Il est important de bien tester la restauration et de bien s'assurer qu'elle fonctionne.

La deuxième précaution que je mettrai en avant est de mettre à jour régulièrement ses outils logiciels. En effet, chaque jour de nouvelles failles de sécurité sont découvertes par des attaquants et il est important d'installer les correctifs afin de se prémunir de ces attaques.

Effectivement, l'utilisation d'un antivirus est une bonne pratique mais elle n'est pas suffisante. Il est aussi essentiel d'avoir un minimum de connaissances sur les attaques potentielles auxquelles on pourrait être confronté afin de bien réagir quand on y est confronté. Par exemple, le site cybermalveillance.gouv.fr donne de l'information orientée grand public à ce sujet.

L'utilisation d'un disque dur externe personnel est possible, toutefois dans ce cas il faudra veiller à ce que le disque soit chiffré afin de limiter le risque d'accès à ces données.

On pourra également recommander d'effectuer la sauvegarde dans ce cas sur deux disques différents pour pallier aux problèmes matériels qui pourraient survenir. Et lorsque cela est possible de les conserver sur des sites différents, par exemple un au cabinet, un au domicile personnel.

D'autres solutions existent et sont proposées par des professionnels (par exemple des solutions de type cloud). Il faut toutefois veiller à ce que le stockage soit réalisé sur un hébergement certifié HDS (hébergement de données de santé).

Dans la mesure où des données de santé à caractère personnel doivent être échangées, l'usage d'une messagerie électronique classique est à proscrire. En effet, le professionnel de santé est dans ce cas attaquable juridiquement au titre du RGPD et de la certification HDS, dans la mesure où le canal utilisé ne donne pas de garanties satisfaisantes sur la protection des données.

À terme, des réflexions sont en cours sur la mise à disposition d'une messagerie électronique permettant des échanges fiables et sécurisés entre le professionnel de santé et son patient, via Mon espace santé.

Il faut s'assurer qu'un antivirus soit bien présent. Windows propose effectivement son propre antivirus. Il faut s'assurer dans tous les cas qu'il est bien actif et paramétré pour une mise à jour quotidienne.

La majeure partie des attaques auxquelles les médecins libéraux sont susceptibles d'être confrontés sont des attaques opportunistes. Ce sont donc les médecins les moins sensibilisés aux questions de sécurité informatique qui sont le plus susceptibles d'en être victimes. Toutes les pratiques que vous listez sont donc utiles, je vous encourage toutefois à poursuivre dans cette voie en vous tenant régulièrement informé des nouvelles menaces.

Non, le stockage de données de santé à caractère personnel exige l'utilisation d'espaces de stockage certifiés HDS (hébergement de données de santé), car elles doivent faire l'objet d'une protection particulière du fait de leur sensibilité.
Elles peuvent être stockées localement ou en utilisant des services disposant de cette certification HDS.

On peut s'inquiéter de comportements inhabituels du poste utilisé au cabinet : ralentissement, ouvertures de fenêtres non voulues etc. En cas de doute, il est recommandé de faire appel à un professionnel qui pourra être votre prestataire informatique (si vous en avez un).

Il est dans ce cas recommandé de déconnecter le poste du réseau (filaire ou wifi) et de faire un scan antivirus. Le site cybermalveillance.gouv.fr dispose de plus d'un outil de diagnostic qui pourra vous aider à identifier un éventuel incident de sécurité.

Il est recommandé d'utiliser des outils dédiés au secteur santé dans la mesure où ceux ci disposent de garanties pour assurer la confidentialité des données échangées. WhatsApp étant un réseau orienté grand public, il ne dispose pas des mêmes garanties (notamment la certification HDS).

Les risques propres aux téléconsultations sont l'atteinte à la confidentialité des échanges ainsi que l'usurpation d'identité. Comme indiqué précédemment, on priorisera des solutions dédiées à la santé qui prennent en compte les risques du secteur.

Oui, en tant que médecin il est de votre responsabilité d'assurer la sécurité des données de vos patients. Ainsi, il est juridiquement possible de vous attaquer si les données qui vous ont été confiées ont été diffusées. Une cyber-assurance peut rassurer, toutefois il faudra bien analyser les éléments couverts par cette assurance.

Les cabinets libéraux ne déclarent pas leurs incidents de sécurité à la différence des établissements de santé tels que les hôpitaux, qui en ont l'obligation. Il est donc difficile de mesurer l'impact pour les cabinets libéraux.

Les rançongiciels (ransomware) sont des attaques courantes qui peuvent être rencontrées notamment par les cabinets libéraux. Dans ce cas la conséquence est une indisponibilité des données de santé et elles peuvent avoir un impact fort pour les cabinets qui ne réalisent pas de sauvegardes régulières et auront donc une difficulté à revenir à la situation d'exercice initiale.

Globalement, le principal vecteur d'attaque reste la messagerie électronique (que chacun utilise au quotidien). Il est donc important de sensibiliser les personnes présentes au sein du cabinet médical aux attaques courantes.

Non, malheureusement. Quelques contenus sont toutefois mis à disposition des médecins. Il s'agit d'animations et de guides de bonnes pratiques qui traitent de sujets de cybersécurité, et sont présents sur notre site.

Je vous remercie pour toutes ces questions ! Globalement, vous pouvez retrouver l'essentiel des informations qui vous concernent sur ce sujet, dans un guide de bonnes pratiques qui a été spécialement élaboré à l'intention des libéraux et qui inclut notamment une fiche synthétique qui résume les éléments les plus importants et une fiche réflexe à imprimer et conserver pour bien réagir si vous êtres confrontés à une cyberattaque. Il y a également une liste de points de contrôles que vous pouvez passer en revue avec votre prestataire informatique, ou inclure au contrat qui vous lie. Tous ces éléments sont disponibles dans le package suivant disponible en ligne ici.