Renforcer la sécurité informatique avec des approches simples

Point fort
Édition
2024/1920
DOI:
https://doi.org/10.4414/bms.2024.1432126080
Bull Med Suisses. 2024;105(19–20):

Affiliations
Health Info Net SA (HIN)

Publié le 08.05.2024

Sécurité IT du cabinet
Un vaste mandat externe n’est pas nécessaire pour chacun des mesures relatives à la sécurité informatique. Nous vous présentons des approches qui constituent déjà une base solide pour votre sécurité informatique et vous permettent de protéger avec votre équipe les données des patientes et patients.
L’humain se trouve au centre de votre pratique quotidienne de la médecine. Chaque jour, vous menez des entretiens confidentiels et gérez les données de vos patientes et patients sous forme numérique dans vos systèmes de cabinet. Cela fait de votre cabinet une cible privilégiée pour les cyberattaques, contre lesquelles vous devez vous protéger au mieux. Il s’agit d’une tâche essentielle. Mais comment s’y prendre? Des mesures simples vous permettent déjà de créer vous-même une base solide.
Que sauvegardez-vous, comment et sur quels systèmes? Garder une vue d’ensemble du paysage informatique peut être un défi.
© Weerapat Kiatdumrong / Dreamstime

Ayez une vue d’ensemble

Que sauvegardez-vous, comment et sur quels systèmes? Garder une vue d’ensemble du paysage informatique peut être un défi. Un inventaire informatique du cabinet permet de s’y retrouver. Il répertorie tous les appareils, des ordinateurs et supports de données aux appareils de laboratoire et médicaux, ainsi que les systèmes d’exploitation et les droits d’accès. Si vous n’en êtes qu’au début de votre inventaire, vous pouvez utiliser notre modèle Excel [1]. Pour savoir comment procéder étape par étape, consultez les articles «Prendre en main la sécurité informatique du cabinet» [2] et «La sécurité informatique, étape par étape» [3].

Plus de sécurité grâce au concept d’accès

Cet inventaire peut être complété par un concept d’accès. Un accès protégé et réglementé aux données et aux appareils en rapport avec la médecine, les patientes et patients ou les finances confère une sécurité accrue à votre cabinet. Les droits d’accès définissent les actions qu’une utilisatrice/un utilisateur ou une entité peut effectuer avec une ressource donnée: lire, écrire, modifier, supprimer ou exécuter des fichiers ou des applications. À cet égard, suivez le principe du «minimalisme des droits d’accès». Toute restriction d’accès renforce la protection des informations confidentielles et minimise le risque de perte de données. Vous décidez quelles personnes ont accès à quels systèmes dans votre cabinet [4]. Dans l’inventaire créé, vous définissez les accès via l’onglet «Systèmes», dans la colonne «Droits d'accès au système». Dans l’onglet séparé «Matrice d’accès», vous pouvez définir les rôles et les droits d’accès.
Avec cette stratégie, vous respectez également les dispositions relatives à la protection des données, qui prévoient de protéger au mieux les données personnelles. Évitez, dans la mesure du possible, de partager les données d’accès et attribuez à tous les collaboratrices et collaborateurs des identifiants de connexion personnels. Le contrôle des accès permet de vérifier à tout moment qui a accédé à quel contenu et à quel moment. Logiquement, ces contrôles devraient être effectués par un membre de la direction. Il est important de procéder à des contrôles réguliers afin de détecter le plus tôt possible les failles de sécurité. Toutefois, le personnel est également tenu de s’assurer qu’aucune autre personne n’a accès à son appareil. Lorsque l’on quitte son poste de travail, il faut toujours verrouiller l’écran [5, 6].
Voici à quoi pourrait ressembler votre matrice d’accès [6].
© Health Info Net AG (HIN)

Dangers en cas de protection insuffisante

Les cyberattaques et le risque qu’elles représentent, avec les lourdes conséquences qu’elles impliquent, ne deviennent malheureusement vraiment tangibles que lorsqu’elles nous arrivent personnellement. Avant, la menace n’est tout simplement pas palpable. Des expériences montrent que de nombreuses personnes ont tendance à manquer de prudence avec leurs données. Pourtant, une cyberattaque peut avoir des conséquences fatales: des escrocs tentent d’accéder à nos données par des e-mails d’hameçonnage. Ils s’intéressent aux mots de passe, aux numéros de carte de crédit ou à d’autres données confidentielles. Un e-mail d’hameçonnage peut en outre contenir un logiciel malveillant qui détruit les données ou les rend inaccessibles – sur l’appareil lui-même voire sur l’ensemble du réseau. En clair: les données sont perdues ou volées.
Les e-mails suspects doivent systématiquement être signalés. Avec HIN Mail, vous pouvez procéder de la façon suivante: transmettez l’e-mail concerné en pièce jointe à l’adresse «abuse[at]hin.ch». Vous devez également signaler tout cyberincident directement à l’Office fédéral de la cybersécurité [8]. Vous doutez de l’authenticité de l’e-mail? Il est alors recommandé de prendre contact avec l’expéditeur présumé par un canal indépendant, par exemple par téléphone.

Cela peut arriver à tout le monde

Dans le cadre d’une campagne-test d’hameçonnage menée par HIN à la demande d’un client, 52% des personnes travaillant au cabinet médical ont ouvert l’e-mail d’hameçonnage préparé pour la campagne. Plus d’un quart des personnes ont cliqué sur le lien qu’il contenait. Ce lien renvoyait ensuite vers un site internet fictif. Environ 9% ont même téléchargé et exécuté le fichier proposé au téléchargement sur le site internet fictif. Dans le pire des scénarios, une seule personne peut ainsi paralyser tout le réseau d’un cabinet. Le stress, la négligence ou la volonté d’exécuter rapidement les ordres de la hiérarchie peuvent expliquer de telles mésaventures. Cela peut arriver à tout le monde.
Comme absolument personne n’est à l’abri d’une cyberattaque, nous sommes tous invités à «faire nos devoirs» pour garantir la sécurité informatique de base.
Tenir un inventaire et respecter les règles de protection des accès constituent déjà une bonne base de protection pour rendre la tâche plus difficile aux pirates qui voudraient s’introduire dans vos systèmes.

Reconnaître les e-mails d’hameçonnage

Éléments distinctifs typiques des e-mails d’hameçonnage [7]:
  • adresse d’expédition inhabituelle
  • formule d’appel impersonnelle
  • consigne d’action urgente
  • demande inhabituelle d’informations personnelles (par exemple du mot de passe)
  • fautes d’orthographe et de grammaire, vocabulaire étrange non adapté à la région linguistique
  • liens bizarres
David Umiker Manager Marketing & Communication chez Health Info Net SA (HIN)
Daniel Huser Responsable du secteur Gestion de projet et architecture informatique chez Health Info Net SA (HIN)
david.umiker[at]hin.ch
1 Health Info Net SA: Modèle d’inventaire IT (fichier Excel à télécharger). https://download.hin.ch/files/inventaire-IT.xlsx
2 Gempp U., Senn P., BMS. 2023;104(08):74-75. https://saez.swisshealthweb.ch/fr/article/doi/bms.2023.21496/
3 Hubmann F., Gempp U. La sécurité informatique, étape par étape. BMS. 2023;104(34):68-69. https://saez.swisshealthweb.ch/fr/article/doi/bms.2023.22025/
4 FMH: Exigences minimales pour la sécurité informatique des cabinets médicaux, p. 14-16. https://www.fmh.ch/files/pdf30/it_grundschutz_d3_2023_fr.pdf (consulté le 27.03.2024).
5 FMH: Exigences minimales pour la sécurité informatique des cabinets médicaux, p. 17-19 https://www.fmh.ch/files/pdf30/it_grundschutz_d3_2023_fr.pdf (consulté le 27.03.2024).
6 FMH: Exigences minimales pour la sécurité informatique des cabinets médicaux, p. 15 https://www.fmh.ch/files/pdf30/it_grundschutz_d3_2023_fr.pdf (consulté le 27.03.2024).
7 Health Info Net SA: page de support HIN «Comment reconnaître un malgiciel?». https://support.hin.ch/fr/virus-et-pourriels/comment-reconnaitre-un-malgiciel/ (consulté le 27.03.2024).
8 OFCS: page fédérale d’annonce de cyberincident. https://www.report.ncsc.admin.ch/fr/
Conflict of Interest Statement
Cet article a été mis à disposition par Health Info Net SA (HIN).  Le Bulletin des médecins suisses et Swiss Medical Forum n'assument aucune responsabilité quant à son contenu.  

Commentaires

Avec la fonction commentaires, nous proposons un espace pour un échange professionnel ouvert et critique. Celui-ci est ouvert à tous les abonné-e-s SHW Beta. Nous publions les commentaires tant qu’ils respectent nos lignes directrices.