Cet article a été publié au Bulletin des médecins suisses le 7 septembre 2022.NumérisationLes cyberattaques contre les hôpitaux, les cabinets et les homes se multiplient. Les données volées peuvent (éventuellement) être récupérées ou restaurées – mais pas la confiance des patientes et des patients. Lucas Schult, directeur général de HIN, explique comment vous prenez conscience des risques.
Êtes-vous partis en vacances cet été? J’espère que vous en avez profité et que vous avez retrouvé le chemin du travail en étant reposé. Malheureusement, il arrive qu’une grande partie de la détente s’évapore dès que l’on consulte les e-mails reçus… Comme ce fut le cas récemment dans un centre médical de Suisse orientale: les collabora- teurs avaient reçu un e-mail dans lequel le (prétendu) ser- vice informatique leur demandait de télécharger une mise à jour urgente. Plusieurs employés l’ont fait consciencieuse- ment leur premier jour de travail après les vacances – et ont installé un virus informatique sur leur appareil avec ce qui se présentait comme une mise à jour.Fort heureusement, il ne s’agissait pas d’un véritable virus. Il s’agissait d’un test réalisé par le centre médical en collaboration avec HIN pour évaluer dans quelle mesure les collaborateurs étaient sensibilisés à la cybercriminalité. La bonne nouvelle: la plupart des collaborateurs ont adopté le bon comportement. Ils se sont méfiés et ont contacté, par exemple, le service informatique. La mauvaise nouvelle: une seule erreur de clic suffit et peut servir comme porte d’entrée pour livrer des réseaux entiers aux hackers. Et le risque que la prochaine fois, il ne s’agisse pas d’un simple test mais d’une véritable attaque, est réel.
Lucas Schult est CEO de Health Info Net AG (HIN) et écrit régulièrement sur la sécurité dans le monde numérique au Bulletin des médecins suisses.
Les astuces des cybercriminels sont aujourd’hui assez sophistiquées, car ils agissent de manière très organisée et professionnelle. Une escroquerie appelée «arnaque au président» était très en vogue pendant la dernière saison de vacances. Les escrocs tentent ainsi d’introduire une demande de paiement, prétendument urgente et venant de la part du patron, dans une entreprise. Les périodes de nombreuses absences et donc des remplaçants plus faciles à tromper sont particulièrement propices.Les situations dans lesquelles l’autre personne attend une prise de contact sont également prometteuses – du point de vue des hackers. En tant que propriétaire d’un cabinet médical, vous ne vous méfierez guère d’un e-mail contenant un fichier zip en pièce jointe s’il s’agit prétendument d’une candidature à votre poste d’assistance médicale. Dans ce cas, vous vous attendez à une pièce attachée contenant le dossier de candidature. Vous êtes impatient d’ouvrir le fichier zip – et pourrez avoir de mauvaises surprises. C’est précisément le mode d’attaque utilisé pour une grande partie des cabinets médicaux et des homes suisses qui ont été victimes de cyberattaques au cours des derniers mois. En effet, les annonces d’emploi contiennent de nombreuses informations que les criminels peuvent utiliser à leurs fins.
Il n’y a pas de honte à se faire avoir par des escrocs professionnels. Mais il est d’autant plus important que le thème de la cybercriminalité soit abordé ouvertement dans la pratique et que l’on se forme également à adopter le bon comportement. Une méfiance raisonnable est un potentiel précieux qu’il convient d’entretenir. En tant qu’êtres humains, nous ne sommes en effet pas, comme on le prétend souvent, le «maillon faible de la chaîne», mais plutôt la ressource la plus importante pour empêcher une attaque. Lorsque le filtre anti-spam est défaillant, que le pare-feu est en panne et que l’antivirus ne fonctionne pas, c’est l’humain devant l’écran qui fait la différence.Et cette différence revêt une importance capitale. En effet, le système de santé – avec ses acteurs organisés en petites unités, ses nombreuses interfaces et ses quantités importantes de données sensibles – est particulièrement intéressant pour les hackers. Je vous donnerai régulièrement des conseils sur la manière de relever les nombreux défis. En tout cas, je vous recommande de former la conscience (ou comme on le dit aujourd’hui, l’«awareness») de tous les collaborateurs. Avez-vous déjà défini le thème de la prochaine formation interne?Votre objectif ne doit pas être de «tout» faire parfaitement, mais de donner au sujet la priorité nécessaire. Tout est mieux que de ne rien faire. Vos patients le méritent (et y ont le droit – nous y reviendrons plus tard). Certes, leurs données pourraient, le cas échéant, être récupérées à partir d’une sauvegarde suite à une attaque. En revanche, la confiance qu’ils ont en vous serait irrémédiablement perdue.Les astuces des cybercriminels sont aujourd’hui assez sophis- tiquées. Ils agissent de manière organisée et professionnelle.