De plus, du fait de leur accès à des données médicales, les professionnels de santé sont une cible pour les hackers. Cabinets, laboratoires de biologie, hôpitaux, les exemples de cyberattaques dans le domaine de la santé ne manquent pas… La question n’est pas de savoir « si » mais « quand » une cyberattaque aura lieu… Que faire pour l’éviter ?
Il est notamment important de reconnaître les signes d’un système compromis en identifiant les différentes attaques possibles et d’acquérir les bonnes pratiques en prévention.
Les cyberattaques possibles
1. Le hameçonnage (ou phishing) (voir exemple ci-contre) (intertitre)
C’est une technique de fraude où un attaquant se fait passer pour une entité de confiance (banque, administration, fournisseur…) afin d’obtenir des informations sensibles, notamment bancaires. Ces attaques passent souvent par des mails frauduleux contenant des liens ou pièces jointes malveillants.
Les bonnes pratiques :
Vérifier l’adresse mail de l’expéditeur en cliquant sur le nom qui s’affiche.
Ne jamais cliquer sur un lien suspect.
Se méfier des demandes urgentes ou alarmistes.
Ne jamais fournir d’informations sensibles par mail.
Utiliser un filtre anti-spam efficace.
Se former aux bonnes pratiques de détection des mails frauduleux.
2. Les ransomwares (voir exemple page suivante) (H2)
Ce sont des logiciels malveillants qui chiffrent les données du cabinet et exigent une rançon pour les restituer. Une infection peut provenir d’un mail, d’un site internet compromis ou d’une clé USB infectée.
Les bonnes pratiques :
Sauvegarder régulièrement les données sur un support externe sécurisé et tester les sauvegardes.
Mettre à jour tous les logiciels et systèmes d’exploitation.
Ne jamais ouvrir une pièce jointe non attendue.
Installer un antivirus et un pare-feu efficaces.
3. Fraude au président (ou fraude aux faux virements)
Les cybercriminels exploitent la confiance des employés pour obtenir des accès ou des informations confidentielles.
Exemples de techniques utilisées : (H3)
Faux appels téléphoniques se faisant passer pour un technicien informatique.
Messages frauduleux demandant une action urgente (exemple : changer un mot de passe immédiatement).
Usurpation d’identité d’un responsable pour demander un virement bancaire.
La protection du cabinet et des données des patients repose ainsi sur une bonne hygiène informatique, qui s’applique sur plusieurs niveaux.
Sécurisation des accès (H4)
Utiliser des mots de passe robustes : au moins 12 caractères avec lettres, chiffres et symboles.
Activer l’authentification à deux facteurs pour les accès sensibles.
Ne jamais réutiliser un mot de passe pour plusieurs services et les changer régulièrement.
Utiliser un gestionnaire de mots de passe certifié pour stocker et générer des identifiants sécurisés (par exemple, le logiciel KeePass, certifié par l’Anssi).
Sécurisation des réseaux et équipements
Protéger l’accès au réseau par un mot de passe sécurisé.
Installer un antivirus et un pare-feu sur tous les appareils.
Restreindre l’usage des clés USB et supports amovibles non sécurisés.
Vérifier les accès physiques aux ordinateurs et aux serveurs.
S’assurer que les mises à jour logicielles sont effectuées automatiquement.
Sécurisation des données (H5)
Effectuer des sauvegardes régulières et vérifier leur bon fonctionnement.
Stocker les sauvegardes sur un support externe déconnecté du réseau (par exemple, un disque dur externe, à conserver dans un lieu sécurisé).
Limiter l’accès aux données sensibles uniquement aux personnes autorisées.
Crypter les fichiers sensibles pour empêcher leur exploitation en cas de vol.
Utiliser un système de journalisation pour suivre les accès et les modifications des fichiers importants.
Séparation des usages professionnels et personnels
Ne pas utiliser son adresse mail professionnelle pour des usages personnels, et inversement.
Éviter d’accéder aux réseaux sociaux et d’utiliser Internet à des fins personnelles depuis les ordinateurs du cabinet.
Ne pas installer d’applications non autorisées sur les appareils professionnels.
Interdire l’utilisation de supports de stockage personnels (clés USB, disques durs externes) sur les ordinateurs du cabinet.
Sensibilisation et formation
La meilleure protection reste la vigilance humaine. Il est essentiel que tous les salariés, mais également les praticiens d’un même cabinet se forment régulièrement aux risques cyber et aux gestes de précaution. L’hygiène informatique est un enjeu majeur pour les cabinets dentaires. En adoptant ces bonnes pratiques, assistant(e)s dentaires et praticiens peuvent limiter considérablement les risques de cyberattaques et protéger efficacement les données sensibles de leurs patients.
Face à la multiplication des cyberattaques, chaque membre
Commentaires