Professions de santé & cybercriminalité : comment protéger les données sensibles

Professions médicales, pensez à protéger votre cabinet et vos patients contre les menaces de cybersécurité
Professions médicales, pensez à protéger votre cabinet et vos patients contre les menaces de cybersécurité

Au regard des données sensibles que possèdent, stockent et utilisent les professionnels de santés sur leurs patients, il est essentiel de mettre en place une gouvernance de votre sécurité informatique garantissant la bonne protection des données personnelles que vous détenez.

Sécurité du réseau

Votre cabinet traite quotidiennement des informations sensibles sur la santé et des données financières. La cybersécurité consiste à protéger ces données à la fois « au repos » (dans une base de données) et « en transit » (déplacement sur un réseau). Pour protéger vos données et l’ensemble de votre réseau informatique contre les menaces, vous devez prendre des mesures pour mettre en œuvre une bonne hygiène du système.

Les nombreux appareils connectés constituent votre risque cyber.

Contrairement à ce que l’on peut penser, le risque majeur de votre système d’information va bien au-delà de vos dossiers patients numérisés, de vos systèmes de gestion et de votre portail patients. Une partie de ce qui rend la technologie si utile, mais aussi si vulnérable, est la capacité d’inter connexion et de mise en réseau de différents dispositifs complètement différents.

De nombreux réseaux de cabinets de médecins sont constitués d’une combinaison d’ordinateurs personnels (PC), de serveurs, de tablettes, de smartphones, d’imprimantes, de scanners, de connexions Internet et de réseaux Wi-Fi.

Au fur et à mesure que la technologie continue de progresser, même les téléphones de bureau, les lecteurs de cartes de crédit et les systèmes de sécurité peuvent faire partie de ce réseau. Avec le développement de  la télémédecine, il sera sans doute nécessaire d’envisager mise en place de nouveaux équipements eux aussi connectés au réseau informatique.

Des réseaux se constituent, intégrant des dispositifs médicaux nécessaires à l’exercice de votre profession, offrant selon les fabricants de capacités de sécurisation très différentes…

Face à cette situation, CYBER COVER le spécialiste de la cyber-assurance en France, vous livre quelques pratiques pour mieux protéger votre cabinet contre les menaces à la cybersécurité.

Professions médicales, pensez à protéger votre cabinet et vos patients contre les menaces de cybersécurité

La connexion Internet

De nombreux bureaux disposent d’une connexion Internet à large bande (haute vitesse). Gardez à l’esprit que ce type de connexion a un accès qui est toujours « activé ». Par conséquent, les ordinateurs – et tout réseau dont ils font partie – sont exposés à des menaces en tout temps.

Pour éviter tout accès non désiré, installez un dispositif qui surveille et contrôle le trafic réseau (un « pare-feu ») entre le réseau interne du cabinet et Internet. Généralement, le « routeur » (l’appareil qui transmet les données entre des appareils numériques ou des réseaux plus importants comme Internet) agit également comme un pare-feu. Cet appareil peut avoir déjà été installé par votre fournisseur d’accès Internet (FAI) ou vous pouvez l’avoir acheté en ligne ou dans un magasin d’électronique grand public.

La configuration correcte d’un pare-feu dépend de la structure du réseau ; Selon la complexité du réseau, un professionnel du réseau peut devoir intervenir.

Les points d’accès Wi-Fi ont besoin d’être protégés

Le routeur Internet peut également agir comme un point d’accès Wi-Fi ou « switch » (qui connecte plusieurs appareils ensemble pour former un réseau). La plupart des petits réseaux n’ont qu’un seul routeur, mais peuvent avoir plusieurs commutateurs selon le nombre d’appareils à connecter.

En raison de l’importance du routeur dans le réseau, il est essentiel que ce dernier soit protégé par un mot de passe fort. Habituellement, le mot de passe préinstallé peut être facilement deviné par d’autres personnes, ce qui leur permet de contrôler l’appareil et de surveiller ou d’enregistrer les données et les communications vers et depuis Internet. Il est donc essentiel que le mot de passe soit changé dès l’installation du routeur.

Votre réseau est constitué d’un ensemble de périphérique. Assurez-vous de changer tous les mots de passe installés par défaut pour chacun de ces périphériques. De plus, un certain nombre de ces composants exécutent des logiciels qui doivent être mis à jour périodiquement. Veillez à ce que ces mises à jour s’effectuent correctement et n’hésitez pas à vous appuyer sur un expert en réseaux informatiques si nécessaire afin de mettre en place les modifications appropriées.

Paramètres du pare-feu du système d’exploitation

Si vos ordinateurs de bureau utilisent une version moderne du système d’exploitation Microsoft Windows, ils disposent probablement d’un pare-feu logiciel. Vous devez également vous assurer que cette option est activée.

Chaque version de Windows est différente, mais le pare-feu est généralement configuré sous le « Panneau de configuration ». Si vous utilisez un autre système d’exploitation nous vous invitons à vous rapprocher d’un expert en réseau.

Sécuriser l’accès Wi-Fi

De nombreux routeurs permettent la mise en place de plusieurs routeurs Wi-Fi qui permet notamment la mise à disposition d’un Wifi public dans une salle d’attente, WIFI séparé du réseau Wifi de l’établissement.  La sécurité de ces 2 réseaux est cruciale.

Définissez le point d’accès sans fil de sorte qu’il ne diffuse pas son Service Set Identifier (SSID), qui est le nom du réseau sans fil. Fournir aux patients les identifiants de connexion Wi-Fi sur demande. Essayez de ne pas utiliser un nom identifiable (p. ex. Wi-Fi du Dr Smith) pour le réseau public ou privé, car cela pourrait attirer l’attention sur votre réseau. En plus de masquer l’identité du SSID, créez également des mots de passe forts pour les réseaux Wi-Fi publics et privés. N’oubliez pas que le réseau public est accessible même à l’extérieur des murs de l’établissement ; quiconque possède le SSID et le mot de passe peut se connecter à tout moment. Lors de la configuration du SSID, assurez-vous de crypter les réseaux Wi-Fi. Cette étape est importante parce qu’elle aide à protéger les données du bureau contre les espions électroniques. Le paramètre actuellement recommandé est le protocole Wi-Fi Protected Access 2 (WPA2), utilisant le protocole Advanced Encryption Standard (AES) pour un cryptage sécurisé. Prévoyez également d’établir un horaire d’accès pour le Wi-Fi public. Dans le menu du routeur, des plages horaires peuvent être définies pour autoriser ou désactiver l’accès Internet pour les périphériques réseau. Par exemple, si le bureau est fermé le dimanche, l’accès peut être désactivé afin d’empêcher à des personnes malintentionnées de l’utiliser.

Consultez le manuel du propriétaire du routeur ou consultez un professionnel afin d’obtenir de l’aide afin d’effectuer ces changements. Notez que l’option Wired Equivalent Privacy (WEP) n’est pas considérée comme sécurisée et ne doit pas être utilisée pour sécuriser le trafic sans fil.

Accès à distance et VPN

L’une des méthodes les plus utilisées pour accéder à distance à l’information stockée sur le système d’information est le réseau privé virtuel (VPN). Les VPN offrent la possibilité de se connecter en toute sécurité à votre bureau. Grâce à une connexion VPN, vous pouvez utiliser une tablette, un PC ou un smartphone pour accéder en toute sécurité à votre système de gestion, aux dossiers des patients et aux images stockées dans le dossier Patient de votre cabinet.

Vous disposez peut-être déjà de la technologie nécessaire pour prendre en charge un VPN. Assurez-vous de parler à votre fournisseur en logiciel afin de comprendre comment utiliser en toute sécurité les capacités du réseau de votre bureau.

Les imprimantes/copieurs modernes stockent les données

De nombreux cabinets médicaux louent des photocopieuses modernes et des imprimantes multifonctions. Ces périphériques contiennent des disques durs similaires à ceux des ordinateurs et stockent automatiquement une copie de chaque document imprimé ou copié.

Étant donné que ces documents peuvent contenir des renseignements médicaux protégés ou d’autres renseignements de nature délicate, les pratiques doivent s’assurer que les données stockées sur les disques durs des dispositifs soient supprimées ou détruites avant que les machines ne soient retournées au fournisseur. Consulter les fournisseurs et les conseillers juridiques pour s’assurer que les garanties contractuelles de destruction des données sont appropriées.

Plans de sauvegarde et de reprise après sinistre

Même avec une bonne hygiène en termes de sécurité informatique, votre cabinet n’est pas à l’abri d’une violation  des données médicales de vos patients. Il est possible d’observer une forte augmentation des cyber-attaques par rançongiciel (ou attaque par ransomware) ciblant la communauté des établissements de santé (cabinets de radiologie, d’analyse médicale). Ces cyber criminels utilisent la cryptographie pour rendre les données de votre système d’information inutilisables car cryptées. En échange du paiement d’une rançon, ces hackers vous promettent la remise d’une clé de décryptage. Dans de nombreux cas, le paiement de la rançon est inutile. La meilleure des solutions résidant dans le nettoyage de votre système d’information et la réinstallation d’une sauvegarde. Disposer d’une sauvegarde à jour des données de votre cabinet médical pourrait potentiellement vous aider à rétablir votre système d’information sans avoir à payer les frais de rançon. Pour vous préparer au pire, élaborez et testez des plans de sauvegarde et de reprise après sinistre qui anticipent la façon de récupérer les dossiers médicaux perdus. Demandez à votre informaticien de réaliser un test de réinstallation de vos données. A l’issu de ce test, il rédigera une méthodologie de redémarrage de votre système d’information.

Mettez en place un contrat de cyber-assurance

Vous n’êtes pas à l’abri d’un mauvais clic sur un email visant à prendre le contrôle de votre poste. Vous n’avez pas la certitude d’avoir les dernières mises à jour pour vous protéger efficacement contre les dernières attaques. N’oubliez jamais que le RGPD, en cas de violation, vous oblige à de nouvelles obligations, avec à la clé des contraintes financières fortes (frais de notification, sanctions administratives).

La question que vous devez vous poser est quand allez-vous être à votre tour victime d’un malware ?  Serez-vous alors capable de faire face à cette cyber attaque, à redémarrer votre système d’information ? Aurez les moyens financiers et humains d’y faire face ? Si vous avez des doutes ou si la réponse est négative, alors n’hésitez pas et souscrivez un contrat de cyber-assurance en vous appuyant sur un expert de la cyber-assurance. Vous serez certain d’être accompagné efficacement dans la prévention des risques, l’analyse de vos risques et dans la mise en place du bon contrat d’assurance sur mesure.

https://www.cyber-cover.fr/uploads/wysiwyg/LinkedIn.png

 Marc-Henri BOYDRON

PARTAGER