La CPTS Iroise a participé jeudi 23 novembre 2023 à une soirée Cybersécurité organisée par le Groupement Régional e-Santé Bretagne. Cet évènement s’est tenu dans les locaux de l’Hôtel Best Western Europe à Brest avec la participation du CHRU de Brest, de la CPAM du Finistère et du DAC (Appui Santé Nord Finistère).
QUOI ?
Le secteur de la santé est en pleine transition numérique. La valeur, ainsi que le volume des données de santé sont en hausse constante. Le stockage de ces données, dites sensibles, demeure constamment en mouvement (développement des échanges et des partages entre pairs).
Ces données de santé sont recherchées par des cybercriminels sous couvert d’une fraude ou d’une escroquerie par mail couramment appelée phishing (hameçonnage). L’objectif principal de cette démarche est simple ; l’usurpation d’identité.
QUI ?
Les cyber-attaques peuvent survenir autant dans les petites structures (associations, petites entreprises, etc.) que dans des structures plus conséquentes (centres hospitaliers, banques, grandes entreprises, etc.). Les chaînes de malfaiteurs sont de plus en plus organisées, la criminalité classique se déporte sur le numérique qui financièrement rapporte davantage (cyber espionnage, cyber criminalité, cyber guerre, cyber hacktivisme etc.).
COMMENT ?
Le malfaiteur ne sait pas sur qui il va tomber lorsqu’il cible une adresse IP. Cette adresse est ciblée simplement parce qu’une porte est ouverte : absence de pare-feu, virus, fichiers craqués, inscriptions sur un site non protégé, etc.
Une cyber-attaque se déroule souvent en 4 étapes :
1 : Trouver une porte ouverte ➡️ reconnaissance.
2 : Ouvrir la porte ➡️ intrusion.
3 : Infecter le système ➡️ installation, propagation, exfiltration.
4 : Demander une rançon ➡️ déclenchement.
LES RÉFLEXES ESSENTIELS A ADOPTER
– Faire régulièrement les mises à jour des logiciels.
– Changer régulièrement les mots de passe ou adopter des mots de passe robustes.
– Utiliser les versions professionnelles des logiciels. Exemple : Teamviewer (outil de contrôle à distance des appareils informatiques).
– Vérifier le contrat avec les prestataires pour s’assurer de l’utilisation des bonnes pratiques.
– Héberger ses données sur un serveur en ligne.
– Utiliser un système de double authentification (ordinateur et téléphone) pour les accès.
– Se former sur le sujet de la cybersécurité.
– Contacter le dispositif PRESANSCE 29 (groupement de gendarmerie départementale du Finistère) afin de réaliser un audit à 360°. Vous obtiendrez un accompagnement basé sur une auto-évaluation, un pré diagnostic élémentaire et un rapport finalisé mettant en évidence les actions de corrections à effectuer (contact : ).
Agir en cas de cyber-attaque :
– Débrancher l’appareil du réseau informatique ou couper internet et ne plus utiliser l’appareil.
– Ne pas éteindre l’appareil afin de sauvegarder les données et les éléments de preuve de l’attaque.
– Alerter au plus vite votre support informatique.
– Prévenir vos collaborateurs.
– Signaler l’intrusion à la police/gendarmerie par une plainte.
– Déclarer l’incident sur un portail du gouvernement (signalement-sante.gouv.fr) et à l’ARS.
– Déclarer l’incident auprès de la CNIL (Notification (cnil.fr)).
POUR ALLER PLUS LOIN :
Si une fuite de données sensibles provient de votre système informatique, la Commission Nationale Informatique et Libertés (CNIL) vous informera par une mise en demeure que des données ont été exposées et qu’il est souhaitable de remédier rapidement au problème. Toutefois, si vous ne faites rien et que la mise en demeure n’est pas prise en considération la CNIL pourra vous sanctionner.
Les professionnels de santé, rattachés à un cabinet ou à une maison de santé, sont responsables du logiciel installé autant que l’entreprise qui les a démarchés pour l’installation dudit logiciel. Il est nécessaire de demander aux prestataires de respecter les clauses contractuelles de sécurisation suffisante des données sensibles et de respecter les bonnes pratiques en termes de sécurité des données de santé.
Conseils :
- Inscrire clairement dans le contrat les obligations du prestataire au regard de la réglementation en vigueur. Il est possible de solliciter le Groupement Régional e-Santé Bretagne sur ces questions, afin de vous accompagner dans la rédaction des clauses.
- Être sensible aux réglementations concernant l’hébergement des données de santé et toujours en discuter avec le support informatique.
Afin d’assurer la protection des données de santé des patients et de vous accompagner au mieux, l’Agence du Numérique en Santé (ANS) met à votre disposition un guide de bonnes pratiques.
Ce guide rassemble les règles d’hygiène informatique de base ne nécessitant pas de connaissance technique approfondie. Ces règles une fois appliquées de façon stricte et régulière, permettent de se prémunir contre la majorité des attaques informatiques, ou à défaut d’en limiter les impacts. Car tout professionnel de santé peut un jour être la cible de ce type d’attaque.
è Memento de sécurité informatique pour les professionnels de santé en exercice libéral
Ce guide propose également un ensemble de questionnaires permettant de vérifier, avec leurs fournisseurs de service (par exemple fourniture d’applications de gestion de cabinet ou d’officine, de prise de rendez-vous, de téléconsultation ou encore prestations d’installation ou de maintenance de matériel informatique), différents points d’attention concernant les services informatiques fournis.
Une fiche réflexe imprimable rappelle également les bons gestes à adopter face à une attaque informatique.
L’adoption de quelques bons réflexes et l’apprentissage des bonnes pratiques de sécurité permettent de se prémunir de la plupart de ces attaques. L’ambition de ces documents est de porter ces éléments à la connaissance des professionnels de santé pour leur permettre de mieux se protéger.
En savoir plus : présentation téléchargeable au format PDF.
Une distinction est à connaitre entre antivirus et pare-feu :
– Antivirus : protège contre les attaques internes comme les fichiers malveillants, les virus.
– Pare-feu : agit comme une barrière externe pour le trafic entrant sur le système (les connections anormales). Il contrôle le trafic réseau en filtrant les entrées et les sorties. Exemple de pare-feu conseillé = pfSens (installation après l’installation de la box).