Depuis l’apparition de la COVID-19, les cyberattaques ont fortement augmentées dans le secteur santé, du fait de l’utilisation croissante des cloud publics et des logiciels de traitement de données non sécurisés.
Les principales techniques utilisées par les cybercriminels
En premier lieu, nous avons la technique de « phishing » qui est la plus souvent utilisée. Cette technique consiste à usurper l’identité. Les cybercriminels ont exploité le thème de la pandémie et ont créé des campagnes malveillantes de phishing afin de récupérer des données importantes telles que le numéro de sécurité sociale ou les données du compte bancaire.
En deuxième lieu, les « ransomwares » ou rançongiciels visent à bloquer des masses de données ou à les corrompre et demandent par la suite une rançon. Cette technique touche surtout les grosses bases de données des organismes de santé. Elle peut servir pour deux objectifs différents : soit pour l’utilisation frauduleuse de données afin de recevoir une somme d’argent soit pour une visée plus géopolitique.
La protection et le partage des données de santé
Les données de santé doivent être partagé en toute sécurité entre les professionnels de santé.
Tout d’abord, il est important de pouvoir héberger des données de santé sur un système d’information central. Il faut que le prestataire de service de ce système soit certifié « Hébergement des données de santé (HDS) »
Cette procédure est certes un gage de sécurité cependant elle est très lourde à mettre en place. Par dérogation, vous pouvez utiliser votre ordinateur personnel, même connecté à internet, pour stocker sur votre disque dur les données de santés de vos patients. Pour vous accompagner dans cette procédure, voici un court extrait du guide pratique de la CNIL sur la protection des données personnelles (Fiche 4 – Quel cadre appliquer aux téléphones portables et tablettes ?)
Pouvez-vous utilisez votre téléphone portable ou votre tablette pour accéder à vos dossiers patients ?
Votre tablette ou votre téléphone portable peut être utilisé, dans un contexte professionnel, à conditions que les règles de sécurité soient respectées. Il est fortement déconseillé de conserver des informations d’ordre médical dans la mémoire interne de votre tablette ou de votre téléphone portable (cela permet d’éviter de graves conséquences pour les patients dans l’hypothèse d’un vol ou d’une perte du matériel). Néanmoins, en pratique, si vous êtes amené à passer outre ce conseil, la conservation des données doit s’effectuer à minima dans le respect des règles de sécurité suivantes :
-Utilisation de mots de passe conformes aux recommandations de la CNIL (12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux),
-verrouillage automatique après un court délai,
-chiffrement des données sensibles.
D’une manière plus générale, vous devez éviter de prêter votre téléphone ou votre tablette et de les laisser sans surveillance.
Afin de garantir la qualité et la confidentialité des données de santé à caractère personnel et leur protection, l’accès à distance aux dossiers de vos patients doit se faire conformément aux référentiels d’interopérabilité et de sécurité élaborés par l’ASIP santé. Ces référentiels sont approuvés par arrêté du ministre chargé de la santé, pris après avis de la CNIL. Dans l’attente de la publication des textes réglementaires permettant l’entrée en vigueur de ces dispositions, la CNIL demande que l’authentification des professionnels de santé intervienne au moyen d’une carte de professionnel de santé (CPS) ou d’un dispositif équivalent agréé par l’ASIP santé.
Dans le cadre de vos déplacements, vous devez toujours vérifier, lorsque vous consultez des informations relatives à des patients sur votre tablette ou votre téléphone portable, que votre écran est à l’abri des regards indiscrets.
Attention ! L’utilisation de supports mobiles (clés USB, disque dur externe) est fortement déconseillée. Si malgré tout, vous en utilisez, il convient de chiffrer les données sensibles qui y sont conservées
Les différentes recommandations pour se protéger des cyberattaques
La sécurité des données que vous manipulez au quotidien en tant que professionnel de la santé est primordial.
Pour vous accompagner dans la gestion de votre cybersécurité, nous vous avons énuméré quelques solutions pour lutter contre les cyberattaques :
- La solution la plus efficace est de partager et stocker vos données sensibles via un logiciel chiffré et sécurisé. Nous vous proposons la solution Parsec qui vous permet de de préserver l’intégrité des données de vos patients. Collaborez simplement en totale confidentialité dans le cloud quel que soit l’endroit où vous vous trouvez.
- En outre, vous pouvez aussi sécuriser votre réseau internet principalement pour le personnel médical grâce à un VPN. Utiliser un réseau non sécurisé et public peut augmenter le risque de cyberattaque.
- Protégez vos appareils par un antivirus à jour et un anti-malware. Cela consiste à bloquer les virus et logiciels malveillants qui souhaitent s’introduire dans votre système. Ce point pourrait paraître évident cependant cela peut entraîner une faille de sécurité dans le système informatique exploitable par des attaquants. Plusieurs attaques sont dues à une négligence dans la mise en place de systèmes de protections basiques.
- Sensibilisez votre personnel et vos patients aux risques cyber. Le téléchargement de documents suspects ou le clic sur des liens malveillants peuvent entrainer des risques.
PARSEC pour les professionnels de la santé
PARSEC solution de partage et de stockage sécurisé certifiée par l’ANSSI est un logiciel « Zéro trust » et « Zero Knowledge » ce qui veut dire qu’il traite toutes les données localement, sur le poste de travail du médecin, et que tout ce qui part sur internet est protégé en confidentialité et en intégrité par des clés exclusivement locales. Autrement dit : les données qui quittent le terminal ne sont plus des données médicales puisque ce sont des paquets chiffrés inexploitables par un tiers.
De plus, PARSEC est un logiciel collaboration, ergonomique, et simple d’usage, pour une prise en main et une adaptation rapide pour les professionnels de santé.
Visionner notre webinar sur le sujet :
