20 septembre 2021

L’actualité récente sur les incidents de cybersécurité a montré à quel point la vulnérabilité informatique est inquiétante et doit être prise au sérieux. Quelle attitude adopter et pour quelles  contraintes ?  Tour d’horizon des gestes à avoir…

Pascal Wolff – Le Cardiologue n° 439 – mars-avril 2021

L’appétence et la convoitise des hackers n’ont pas de limites et visent pour l’essentiel les infrastructures de Santé pouvant leur donner des sources importantes de revenus, à savoir les données des patients, personnels médical et administratif, mais également tous les codes utiles à leurs « marchés ».

Malgré des signalements en baisse en 2020 (369 signalés contre 392 en 2019), la proportion d’origine malveillante sur des établissements de santé est en forte hausse, de l’ordre de 60 %. (1) Récemment, le CERT-FR (2) a alerté sur cette importante vente d’une base de données de 50 000 données appartenant au corps médical français.

Bien sûr, les structures de ville et les médecins libéraux n’ont pas les mêmes « atouts » que les établissements de Santé, mais les risques existent et se perpétualisent. Il faut donc redoubler de vigilance, tant dans la gestion du matériel informatique que dans la manière de s’en servir. La conceptualisation de la protection virtuelle permettra également une réelle sécurité dans la vraie vie (panne, vol, accident…).

 

Et tout d’abord du bon sens

Les contraintes liées à (votre) sécurité sont importantes, et il est très probable que vous passerez du temps (au départ) pour mettre en place le process. Le coût financier ne sera pas non plus négligeable (achat d’un deuxième ordinateur, d’un backup et d’abonnements logiciels et de sauvegarde), mais ces investissements vous permettront de vous assurer une tranquillité d’esprit. Et si vous n’avez aucune compétence en informatique, vous devez absolument vous faire aider.

Ne sous-estimez donc pas les risques, car une fois confronté à l’un de ces problèmes, il est – déjà – trop tard.

Imaginez un instant que vous arrivez à votre cabinet et que vous vous êtes fait dérober votre ordinateur, ou que celui-ci a été hacké (vol des données, virus…), ou que le disque dur a rendu l’âme. La première question que vous vous poserez sera : ma machine est off, et je dois me mettre au travail dans les trente minutes… Suivez nos conseils.

 

Le matériel

La sauvegarde est la première des astreintes. Elle doit être réalisée tous les jours. Installez un logiciel de back-up qui sauvegarde automatiquement vos données.

Back-up. (ou sauvegarde) doit s’effectuer sur deux disques durs différents (sauvegarde en miroir), l’un sur place, l’autre amovible à mettre en lieu sûr lorsque vous n’êtes pas là. Ou l’un chez vous et l’autre sur le cloud. Un virus ayant affecté votre machine peut également affecter votre disque dur.

Deuxième ordinateur. Ce deuxième ordinateur est un clone de votre machine principale avec qui elle n’a aucune connexion. Choisissez le portable. Il vous servira dans le cas d’une panne, d’un vol, d’un virus de votre système principal et servez-vous en de temps en temps pour vérifier que tout fonctionne correctement (mises à jour, sauvegardes, etc.). Et bien sûr, ne le laissez pas au cabinet.

 

Les protections

Les mots de passe ! C’est la base de la sécurité. Protégez vos accès en utilisant impérativement un mot de passe long, complexe et différent pour chacun de vos comptes (professionnel et personnel). Et ne les communiquez jamais à un tiers.

– Faites-vous aider par un gestionnaire de mots de passe tels Keepass (keepass.info) ou Dashlane qui disposent de fonctions essentielles comme la génération des mots de passe complexes. Keepass est un logiciel gratuit et libre de droits certifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), Dashlane est payant. Il est humainement impossible de retenir plusieurs dizaines (voir plus) de mots de passe sophistiqués.

– Changez régulièrement vos mots de passe et, bien sûr, dès que vous avez un doute.

– Nul doute également que vos ordinateurs fixe et portable, ordiphone (smartphone…, doivent s’ouvrir avec un mot de passe sécurisé. Ici, vous pouvez utiliser la méthode phonétique en mémorisant une phrase telle : « Ght9-1tv%E » « J’ai acheté neuve une télévision pour cent euros ».

– Si vous utilisez sur un ordinateur partagé,  utilisez le mode « navigation privée », pensez à bien fermer vos sessions après utilisation et n’enregistrez jamais vos mots de passe dans le navigateur. Une fois chez vous, changez les mots de passe que vous avez utilisés.

– Activez la double authentification dès que c’est possible avec par exemple une génération de code par SMS.

Le Wi-fi. Sécurisez votre réseau wi-fi. Changez tout d’abord le mot de passe originel puis le nom du SSID (3) en vous connectant à l’interface administrateur du routeur.

 

Les logiciels

L’antivirus. Obligatoire sur votre machine ! Il doit assurer la détection des virus (en réception ou sur des sites hostiles) et des malwares (4) qui peuvent prendre le contrôle de votre ordinateur.

Protection extérieure. Prenez un pack de protection si vous avez l’habitude de prospecter sur le web : protection contre le pishing ou les sites à risques.

Mises à jour  système. S’il est impossible de garantir une totale sécurité, les mises à jour ont pour but, entre autres, de corriger les failles. Pour Microsoft, attendez un mois ou deux que la nouvelle version se stabilise. Pour Apple, faites-le dès que possible.

Mises à jour logiciels Il est également essentiel de suivre en permanence la mise à jour de ses logiciels. Des versions trop anciennes augmentent considérablement les failles de votre système et le piratage. Exit donc votre traitement de texte de six ans d’âge…

 

Les messageries

E-mails réception. Bien sûr, n’ouvrez jamais les pièces jointes  d’e-mails déclarés spams ou d’inconnus ainsi que les newsletters non habituelles (ou même connues, les hackers ayant tendance à usurper les identités des entreprises), allez directement sur leurs sites sans passer par les liens reçus. 

E-mails comptes. Séparez vos comptes personnel et professionnel.

Messagerie sécurisée. Afin d’échanger vos données, utilisez un compte de messagerie sécurisé tel Mailiz (5) acté par l’ANS (coût du service gratuit) ou Apicrypt (6) sur abonnement.

Vérifiez que les sites sont bien en https (protocole de transfert avec certificat d’authentification).

 

Les risques

Usurpation d’identité : avec les données récupérées, un attaquant peut facilement voler l’identité d’un patient à partir de son nom, prénom, adresse, date de naissance, numéro de Sécurité sociale afin de se faire passer pour la victime. Avec certaines compétences d’ingénierie sociale, un attaquant peut très vite voler des comptes, escroquer ou porter atteinte à l’identité de la victime.

Campagne d’hameçonnage : avec les adresses e-mails récupérées, couplées à des informations personnelles, un attaquant peut facilement piéger usurper votre identité. Sur internet, mais aussi en se rendant à votre hôpital, en donnant un numéro de Sécurité sociale et en prétendant avoir perdu sa carte vitale. On peut procéder de la même manière pour obtenir vos ordonnances à la pharmacie. Le phishing traditionnel n’est techniquement pas très compliqué, et surtout, ça fonctionne : beaucoup de gens tombent dans le panneau. Donc, avec les détails de santé ou des informations du médecin traitant, le hacker peut envoyer un faux e-mail parlant de tests supplémentaires avec un lien vers un site malveillant. Forcément, tout le monde va cliquer.

Escroquerie téléphonique : en reprenant le point précédent, mais cette fois-ci en utilisant le numéro de téléphone de la victime, il est possible pour un attaquant d’arriver aux mêmes fins.

Chantage : avec les données médicales d’un patient, il est possible de faire pression sur celui-ci en le menaçant de révéler une condition médicale qu’il souhaiterait garder privée et qui pourrait avoir des effets néfastes sur sa vie professionnelle, sa vie de famille ou encore sa sécurité financière.

Fraude : les données de prescriptions médicales pourraient permettre à un attaquant d’obtenir des médicaments de manière frauduleuse.


(1) Source : Agence du numérique en santé (ANS) et sa cellule d’accompagnement cybersécurité des structures de santé (ACSS).

(2) Le CERT-FR (Computer Emergency Response Team) est le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques

(3) SSID (Service Set IdenTifier) est le nom permettant d’identifier le réseau sur lequel vous vous connectez ? 

(4) Le malware est un logiciel ou programme malveillant qui agit pour voler, crypter, supprimer vos données, modifier ou pirater les fonctions informatiques principales, et espionner les activités de votre ordinateur sans que vous le sachiez ou l’autorisiez.

(5) mailiz.mssante.fr

(6) apicrypt.org

Vérifiez vos adresses mails !

Il n’y a pas que votre ordinateur qui peut être piraté. Vos adresses mails on pu être subtilisées dans d’autres bases de données (Santé, Gafam, réseaux sociaux…). Pour le savoir et éviter une usurpation de votre identité, de l’hameçonnage ou autre méfait, vérifiez auprès du site  haveibeenpwned s’il y a eu violation de vos adresses. Si tel est le cas, le site vous indique sur quels sites vos données ont été volées… et changez vos mots de passe.

la CNIL et vos données

Le médecin libéral doit donc protéger ses données personnelles et médicales. Pour ce faire, il doit passer par des protocoles précis : hébergement certifié données de Santé avec demande préalable auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL). 

 

La CNIL a récemment sanctionné deux médecins libéraux pour ne pas avoir suffisamment protégé les données de leurs patients, des milliers d’images médicales hébergées sur des serveurs étaient en accès libre. Toutes ces données pouvaient donc être consultées et téléchargées, et étaient, selon les délibérations de la CNIL, « suivies notamment des nom, prénoms, date de naissance et date de consultation des patients ». Le problème venait simplement d’un mauvais paramétrage de leur box internet et du logiciel d’imagerie qui laissait en libre accès les images non chiffrées.

A lire également

Intelligence artificielle – la santé au cœur du futur

Les préoccupations liées à l’intelligence artificielle

Les 50 ans d’internet

Les virus

De l’impression 3D à la bio-impression

Retour vers le futur – les prédictions médicale dans les années 1950

image_pdfimage_print