Risques numériques : tous concernés par les cybermenaces !

Espionnage économique, fraude, demande de rançon, utilisation de données confidentielles… Les entreprises françaises font désormais l’objet d’attaques informatiques répétées. De nouveaux logiciels malveillants apparaissent tous les jours. En 2018, les cyberincidents ont augmenté de 25% dans les grandes entreprises et huit entreprises sur dix ont été touchées.

Désormais, les cybermenaces se propagent aux plus petites structures. En effet, 42% des PME ont déjà subi une ou plusieurs attaques informatiques et parmi elles, de nombreux établissements médicaux. Trop souvent sous-estimée par les professionnels de santé, la menace est pourtant bien réelle. « Aujourd’hui, pour les hackers, il est beaucoup plus facile d’infecter 1000 petites structures qu’un seul grand groupe », décrit Aurore Vasseur, responsable des partenariats MACSF.

Tous les établissements de santé sont donc, à présent, dans le viseur de réseaux criminels toujours plus organisés. Le développement des objets connectés et la méconnaissance des moyens à allouer à la sécurité informatique, font des professionnels de santé des proies faciles.

Des hôpitaux et des cabinets médicaux attaqués

En mai 2019, des cybercriminels lancent une attaque de grande ampleur aux Etats-Unis. Grâce au phishing, technique de piratage destinée à récupérer des informations personnelles, ils parviennent à voler 129 000 dossiers médicaux à un hôpital du Montana, exposant les patients à l’usurpation d’identité et à la fraude.

En France, de nombreux établissements de santé ont été la cible de rançongiciels, ces virus informatiques qui cryptent les données et exigent une rançon pour leur restitution. Résultat, des établissements paralysés par un logiciel malveillant plusieurs heures, voire plusieurs jours, et des professionnels de santé contraints à revenir au papier et au stylo pour des tâches habituellement informatisées, comme la gestion des plannings ou les prescriptions.

La tendance, déjà marquée, s’est encore accentuée pendant la crise du coronavirus, sur laquelle les hackers ont su capitaliser.

Secrétaire dans un cabinet médical de l’ouest de la France, Émilie se souvient du jour où une cyberattaque a atteint son petit établissement de santé : « L’une de mes collaboratrices a reçu un message étrange sur son écran. Elle a immédiatement appelé le service informatique, qui lui a dit de tout éteindre. Nous n’avons pu réutiliser nos ordinateurs que quarante-huit heures plus tard ». Une situation critique qui a obligé le cabinet médical à embaucher temporairement une personne supplémentaire, le temps d’absorber le surplus de travail pour réintégrer les données en informatique après la neutralisation du virus et la résolution de l’attaque.

Gestion des risques numériques : un enjeu majeur

Outre la paralysie du système informatique qui entraîne un blocage de l’activité et des pertes financières, les cyberattaques exposent les professionnels de santé à un autre risque majeur : la modification ou la perte de confidentialité des données médicales, strictement personnelles et à forte valeur.

Mais au-delà du simple impact technique ou financier, des conséquences en termes d’image et de crédibilité sont également à craindre. Une cyberattaque peut nuire à la réputation du cabinet et engendrer une perte de confiance de la patientèle. De plus, si les dossiers médicaux ont été divulgués, il peut également y avoir des conséquences juridiques puisque les patients ont le droit d’exiger des dommages et intérêts.

Pour minimiser les risques de cyberattaque et leurs conséquences, les professionnels de santé doivent aujourd’hui redoubler de vigilance à tous les niveaux. Parmi les bons réflexes à adopter, vérifier que son contrat multirisque professionnel couvre les cyber-risques et augmenter son niveau de garantie, le cas échéant.

Avec le RGPD, votre responsabilité est doublement engagée

Pour les professionnels de santé et leurs collaborateurs, des mesures de sécurité incomplètes ou inadaptées sont des manquements au RGPD (Règlement général sur la protection des données) et donc entraînent des sanctions financières par la CNIL : entré en vigueur le 25 mai 2018, le RGPD renforce la responsabilité des organismes de santé.

La toute première amende post-RGPD a d’ailleurs concerné un hôpital européen. Courant 2018, l’établissement portugais Barreiro-Montijo a été condamné à une amende de 400 000 euros pour violation des principes d’intégrité, de confidentialité et de minimisation des données.

Afin de structurer leurs systèmes d’information et garantir en permanence un haut niveau de protection des données, la CNIL a édité aux côtés du Conseil de l’Ordre des Médecins un guide pratique à destination des professionnels de santé. Ce document très complet vise à les orienter et à leur permettre d’adopter les bons réflexes, au quotidien. Ces réflexes doivent être connus et adoptés par tous les intervenants de l’équipe médicale.

Rendez-vous sur le site du CNOM et de la CNIL, pour des conseils pratiques vous permettant de renforcer encore davantage la protection de vos données médicales.