Cybersécurité : 10 conseils à destination des établissements de santé pour exercer sans risque

cybersécurité

La sécurité des données de santé est aujourd’hui un enjeu majeur pour l’ensemble de la profession médicale. Dans ces quelques lignes, nous vous proposerons 10 conseils simples pour la sécurité de votre infrastructure informatique, mais aussi, et surtout, des informations qu’elle héberge.

La pratique de la médecine libérale évolue rapidement ces dernières années et s’inscrit de plus en plus dans une logique collaborative avec les différents acteurs de l’écosystème, que ça soit l’hôpital public, les cliniques privées, les laboratoires de biologie, les centres de radiologie ou tout simplement les autres praticiens libéraux. La coordination du parcours de soin du patient nécessite par conséquent une numérisation accrue des informations médicales et un échange toujours plus fréquent et plus fluide. Mais un élément crucial doit être pris en compte : la sécurisation de ces données numériques. C’est un effort de tout instant et on se propose d’énumérer ici quelques conseils qui protégeront des risques les plus courants.

#1 : Utilisez un système d’exploitation récent

Toute machine (ordinateur, serveur, smartphone…) contient un système d’exploitation (ou « OS »). Celui-ci lui permet de faire tourner les différentes applications. La plupart des ordinateurs utilisent un OS « grand public » (Windows ou Mac OS). Quant aux serveurs, ils peuvent utiliser différents systèmes (Linux, Windows, Unix…) en fonction des besoins afférents (Serveur web, annuaire Active Directory, Serveur de base de données…)

Les nouvelles versions des systèmes d’exploitation permettent la plupart du temps d’améliorer les fonctionnalités existantes, d’optimiser les performances mais également de corriger certaines failles de sécurité identifiées par les éditeurs. Il est important d’utiliser une version qui est encore maintenue et pour laquelle les mises à jour de sécurité continuent à être mises à disposition pour en assurer une sécurité maximale.

#2 : Effectuez les mises à jour de vos systèmes d’exploitation

Le système d’exploitation doit être mis à jour le plus fréquemment possible. Microsoft met à disposition un ensemble de patchs de sécurité chaque mois et de nouvelles versions de Windows 10 tous les 180 jours. Il est fortement recommandé d’appliquer ces mises à jour pour optimiser la sécurité de votre parc informatique.

#3 : Installez un antivirus

Les trois principaux objectifs d’un antivirus concernent la détection et la mise en quarantaine des programmes malveillants détectés sur votre ordinateur, le blocage des sites internet suspicieux ainsi que la protection des emails contre l’hameçonnage. Pour que sa base virale puisse détecter les derniers virus connus, il est important que votre outil soit activé en permanence et régulièrement mis à jour.

Par ailleurs, une légende raconte que seuls les ordinateurs installés sous Windows représentent un risque en matière de sécurité. En raison du pourcentage de parcs informatiques utilisant le célèbre système d’exploitation de Microsoft, la probabilité qu’un programme malveillant s’installe sur Windows est certes plus importante mais les autres systèmes ne sont pour autant pas complètement oubliés des hackers.

Il est important de protéger l’ensemble de vos ordinateurs, serveurs et périphériques connectés, qu’ils utilisent Windows ou un cœur différent (Windows, macOS, Linux, Android…).

#4 : Sécurisez vos outils métiers, l’hébergement externalisé et les maintenances

Votre logiciel métier contient toutes les données relatives à vos patients. L’intéropérabilité de plus en plus avancée des outils avec le monde extérieur (messagerie sécurisée, DMP …) entraîne des nouveaux dangers en raison de l’identification continue de nouvelles vulnérabilités.

Il est recommandé de mettre à jour son logiciel métier dès qu’une version stable se présente.

Les prestataires et sous-traitants qui hébergent ou interviennent sur votre système d’information doivent respecter des règles strictes en matière de sécurité pour éviter tout impact sur la disponibilité, l’intégrité et la confidentialité des données.

Assurez-vous de disposer de contrats conformes aux obligations légales et à vos besoins de maintenance. Une charte d’utilisation du système d’information doit également être signée avant toute intervention.

#5 : Maîtrisez l’utilisation des clés USB ou disques durs externes

L’utilisation de clés USB ou de disques durs externes n’est pas rare. Ces outils permettent la sauvegarde et l’échange de données, de manière physique très facilement. Cependant, ils représentent un danger potentiel pour la sécurité de votre établissement.

En effet, certaines attaques se propagent par l’intermédiaire de périphériques amovibles grâce à des programmes malveillants qui s’activent sur l’ordinateur d’une victime dès leurs branchements. Il est donc conseillé de n’utiliser que des clés USB connues et de ne brancher aucun périphérique trouvé pour en connaître son contenu ou son propriétaire. Cette action pourrait être fatale pour votre ordinateur et le réseau de votre structure.

L’utilisation de clé USB peut être remplacée par des solutions plus sécurisées, telles que le partage de fichiers sur des services de stockages maîtrisés par le service informatique.

#6 : Utilisez votre messagerie avec vigilance

La majorité des attaques informatiques proviennent des pièces jointes dans les e-mails. A ce titre, il est recommandé aux utilisateurs du système d’information de ne télécharger le contenu des messages que si ceux-ci semblent légitimes. Votre antivirus est une première barrière de protection, mais le véritable bouclier : c’est vous ! N’ouvrez pas les pièces jointes dans les e-mails suspicieux.

La fusion des e-mails professionnels et personnels est souvent pratiquée pour des raisons de simplicité au quotidien. D’un point de vue sécurité, cette utilisation de la messagerie n’est pas recommandée pour différentes raisons de sécurité. La séparation des usages est indispensable.

Enfin, utilisez une adresse sécurisée pour échanger les données de santé. Avant d’être une mesure de sécurité, il s’agit d’une obligation légale. Les deux systèmes MSSanté et Apicrypt sont des messageries sécurisées dont l’usage augmente régulièrement au sein des établissements et des professionnels de santé. Ces adresses sont gérées par des opérateurs agréés. L’accès est contrôlé de façon stricte. Il est légalement obligatoire de les utiliser pour échanger des documents de santé.

#7 : Choisissez des mots de passe complexes

La gestion des mots de passe est une autre faiblesse des systèmes d’information. Entre complexité, réutilisation et renouvellement, il faut trouver un compromis !

Se souvenir de 30 mots de passe différents est une exigence impossible pour les utilisateurs. C’est par ailleurs la raison pour laquelle, ils terminent légitimement écrits sur des cahiers et autres supports. Mais la perte ou le vol de votre « pense-bête » pourrait bien avoir un impact significatif sur la sécurité et la confidentialité des accès. 

Au-delà de sa complexité, il est important de comprendre qu’un bon mot de passe est un mot de passe qui n’est reproductible que par son propriétaire. Qu’il s’agisse d’une phrase secrète ou d’un code composé d’une suite aléatoire de chiffres, de lettres, de caractères spéciaux vous devez être le seul à en connaître le secret.

Quelques règles de base :

  • Votre mot de passe doit être d’une longueur de 8 caractères minimum
  • Celui-ci doit être composé de caractères spéciaux, de chiffres et de lettres
  • Enfin, il est vivement conseillé de ne pas l’enregistrer sur vos navigateurs

Alors, comment réussir ce challenge qui semble impossible?

Pour ce faire, il est recommandé d’utiliser un « gestionnaire de mots de passe ». Il s’agit d’un utilitaire, simple d’installation et d’utilisation dont les objectifs sont multiples. Il permet de générer des codes complexes, de les enregistrer et de permettre une auto-complétion sur vos sites favoris. Le logiciel gratuit, préconisé par l’ANSSI est KeePass, mais bien d’autres solutions sont proposées par différents éditeurs.

#8 : Sécurisez les accès physiques aux zones sensibles

Les salles informatiques, les baies techniques, les offices de soins ou encore les bureaux contenant des dossiers médicaux (TIM, DIM, RH…) sont autant de lieux « sensibles » qui doivent être impérativement sécurisés.

Il est donc important de cartographier les zones à risques et de mettre en place un contrôle des accès à ces lieux afin de protéger les données qu’ils y accueillent.

#9 : Formez les utilisateurs de votre système d’information

Comme nous avons tendance à le répéter, la principale vulnérabilité en matière de sécurisation informatique reste et restera l’utilisateur final. L’humain fait des choix en rapport avec ses émotions, ses habitudes, ses relations, ses convictions et ses compétences. Des faiblesses privilégiées des pirates et des escrocs en tout genre, avant même de déployer tout un arsenal technique.

Les deux seules façons de se protéger contre ces failles restent la mise en œuvre des procédures internes ainsi qu’une sensibilisation régulière à la cybersécurité.

Une formation à la sécurité informatique permettant de connaître les dangers et les règles à respecter vous assurera que votre personnel sera armé face aux différentes menaces de cybersécurité actuelles.

Comprendre les risques et les menaces qui peuvent atteindre le SI et les conséquences possibles d’une attaque informatique sur votre entreprise feront partie des points à aborder. Identifier les mesures de protection de l’information, apprendre les actions nécessaires à la sécurisation de son poste de travail, permettront de conduire la politique de sécurité de votre système d’information.

#10 : Respectez le RGPD et ses obligations en matière de sécurité

Il ne viendrait à personne l’idée de diffuser publiquement ses mots de passe, ses difficultés familiales ou ses problèmes de santé. De la même manière, les informations de vos patients doivent impérativement être protégées.

Le Règlement Général sur la Protection des Données (y compris données de santé) impose, en particulier dans son article 34, que des dispositions soient prises pour assurer la sécurité des traitements et informations.

En pratique, les utilisateurs doivent prendre toutes précautions utiles pour empêcher que les données ne soient modifiées (intégrité de l’information), effacées par erreur (disponibilité), ou que des tiers non autorisés aient accès au traitement (confidentialité).

#11 (le conseil bonus !) : Faites-vous accompagner par GPLExpert

Parfois, les compétences et les disponibilités ne permettent pas de garantir une continuité de la sécurité informatique en interne, de manière permanente. Il n’est pas rare de constater que ces faiblesses sont susceptibles de nuire à la sécurité informatique ainsi qu’au manque de respect des obligations légales des établissements de santé.

Pour aider les directions, les délégués à la protection des données, les services informatiques et les correspondants sécurité des structures, GPLExpert imagine en permanence des nouvelles formules d’accompagnement adaptées à chaque contexte.

N’hésitez pas à prendre contact avec nos services pour plus de détails !

Partager sur linkedin
Partager sur facebook
Partager sur twitter

Vous pourriez également être intéressé par les articles suivants :

Sécurité du Système d'Information

Audit de sécurité informatique

Face à la menace omniprésente et grandissante que représentent les attaques informatiques internes et externes, nos clients expriment une angoisse persistante à laquelle nous répondons

Sécurité du Système d'Information

Audits et conseils des systèmes d’information

Maîtriser son système d’information est un élément capital, qui favorise la dynamique de l’entreprise lorsque celui-ci répond précisément aux exigences métiers. Qu’il s’agisse d’intégrer le

Logo Avira

Avira protection des réseaux d’entreprises

Nous déployons AVIRA chez nos clients, afin de les prémunir des attaques virales incessantes. L’antivirus de référence AVIRA édité par la société Avira Operations GmbH &

cybermalveillance.gouv.fr

Cybermalveillance : La résistance s'organise

Faire face à la croissance exponentielle des attaques informatiques, nécessitait une organisation au niveau nationale. C‘est désormais chose faite ! Le dispositif d’assistance gratuit proposé

Fin du support de Windows XP

Microsoft à déclaré que la fin du support de Office 2003 et de Windows XP aurait lieu le 8 Avril 2014 prochain. Cela signifie que