Le système de santé est de plus en plus souvent pris pour cible par les cybercriminels. Cela peut avoir de graves conséquences pour les professionnels et les établissements de santé. Outre des pertes financières importantes et des atteintes à la réputation, une perte de données peut, dans certaines circonstances, mettre en danger la santé et la vie des patients. Uwe Gempp, Chief Security Officer (CSO) chez HIN, explique dans une interview comment se protéger contre de telles attaques et ce qui est important si cela devait tout de même se produire.
Monsieur Gempp, les signalements d’attaques de pirates informatiques visant les cabinets médicaux ou d’autres établissements du système de santé se multiplient. Que faut-il prendre en compte pour se protéger le mieux possible?Uwe Gempp: L’essor de la numérisation s’accompagne de nouveaux risques et de nouvelles menaces. Les personnes et les institutions qui manipulent des données sensibles portent la coresponsabilité de la sécurité de leurs systèmes et de leurs données. Il est essentiel de prendre des mesures préventives pour maintenir le plus haut niveau de sécurité des systèmes informatiques et par conséquent des données. Une bonne défense doit donc précéder l’attaque.Comment peut-on se représenter ces mesures de protection?Les mesures de protection les plus importantes peuvent être divisées en trois catégories: les mesures techniques, organisationnelles et comportementales. Parmi les mesures techniques, on compte entre autres la protection des équipements à l’aide d’un pare-feu et d’un logiciel antivirus. En outre, il est recommandé de toujours installer immédiatement les mises à jour des systèmes d’exploitation, des navigateurs Web et des programmes antivirus afin de combler immédiatement les lacunes de sécurité. Par mesures organisationnelles, on entend par exemple la mise en place de processus (p. ex. l’exécution de sauvegardes régulières) et de directives (p. ex. concernant la manipulation des données et des systèmes) par le propriétaire du cabinet médical. Les mesures comportementales sont également indispensables: la sensibilisation des collaborateurs à une utilisation sécurisée des données sensibles est une priorité absolue. Si, par exemple, le logiciel antivirus faillit lors de l’examen d’une dangereuse pièce jointe à un e-mail, les collaborateurs formés en conséquence peuvent éviter de gros dommages en s’abstenant d’ouvrir la pièce jointe de manière inconsidérée. C’est pourquoi une formation et une sensibilisation régulières des collaborateurs à ce sujet sont indispensables.
Vous avez déjà mentionné quelques mesures de protection concrètes. Existe-t-il des recommandations ou des directives auxquelles un propriétaire ou un médecin de cabinet médical peut se référer s’il souhaite améliorer la protection de l’infrastructure informatique de son cabinet?La FMH a publié à ce sujet un document contenant des recommandations («Exigences minimales de la FMH pour la sécurité informatique des cabinets médicaux»), qui donne aux médecins de cabinet médicaux un bon point de repère. Il comprend des exigences qui garantissent un niveau minimum de sécurité pour les données, les informations et l’infrastructure informatique.Comment dois-je me comporter si mon cabinet médical est victime d’une cyberattaque malgré toutes les mesures de sécurité prises?Malheureusement, la sécurité à 100% n’existe pas. Même en prenant toutes les mesures de sécurité nécessaires, il se peut que l’on soit victime d’une attaque de pirate informatique. Il est donc d’autant plus important de pouvoir agir efficacement et rapidement dans un tel cas. Les collaborateurs du cabinet médical doivent savoir comment se comporter en cas d’urgence et à qui s’adresser. C’est pourquoi il est recommandé de mettre à la disposition de tous les collaborateurs une feuille d’information contenant les principales mesures d’urgence et les points de contact. HIN a élaboré à cet effet une liste de contrôle des mesures immédiates.
En tant que Chief Security Officer (CSO) et architecte informatique, Uwe Gempp est responsable de la sécurité de l’information chez HIN. Il s’assure en outre que l’environnement système répond aux exigences fonctionnelles et non fonctionnelles et soutient les projets dans le domaine de la création et du développement de systèmes informatiques.
Imaginons qu’à ce moment précis, mon cabinet soit touché par une cyberattaque. Quelles mesures immédiates dois-je prendre?En cas d’attaque de pirate informatique, il est important de retirer immédiatement du réseau tous les appareils infectés et de désactiver les adaptateurs WLAN. Si les appareils concernés ne sont pas clairement identifiables, l’ensemble du réseau doit être déconnecté d’Internet afin d’éviter que le logiciel malveillant ne se propage. Impliquez le partenaire ou le support informatique afin qu’il puisse évaluer l’ampleur des dégâts et vous assister dans la suite de la procédure. Je vous recommande également d’envoyer un message au Centre national pour la cybersécurité, qui pourra vous conseiller et vous aider à identifier plus rapidement les tendances des menaces sur Internet.Que ne dois-je surtout pas faire en cas d’attaque?En cas d’urgence, il est important d’agir vite. Par conséquent, en cas de suspicion d’attaque, n’attendez pas et agissez immédiatement. Une méthode d’attaque fréquente est le rançongiciel (également appelé «ransomware»). Lors d’une attaque par rançongiciel, les données de votre outil de travail sont cryptées et vous ne pouvez plus y accéder. Dans ce cas, on vous demande généralement de payer une rançon pour pouvoir accéder à nouveau aux données. Il est toutefois recommandé de ne pas payer de rançon, car le paiement ne garantit pas la récupération de vos données. En outre, un paiement aux cybercriminels leur permet de financer le développement de leurs méthodes d’attaque et les encourage à poursuivre leurs activités.
Montrer le bon exemple: certification selon ISO 27001
HIN a décidé en 2016 de faire certifier son système de gestion de la sécurité de l’information (SGSI) selon la norme ISO 27001 et donc non seulement d’introduire des normes de sécurité, mais aussi de les entretenir et de les améliorer en permanence afin de garantir la plus haute sécurité possible. En savoir plus