Les cyberattaques sont de plus en plus nombreuses et n’épargnent pas le système de santé. Les personnes vraiment conscientes des dangers au quotidien sont en mesure de s’en protéger. Mais pour ce faire, une simple transmission d’informations ne suffit pas.
Imaginez que vous arriviez un matin dans votre cabinet, que vous démarriez votre ordinateur et constatiez que toutes vos données ont été cryptées. Vous ne pouvez ni consulter vos rendez-vous de la journée dans le calendrier, ni accéder aux informations ou aux dossiers médicaux de vos patients… Ce scénario d’horreur peut réellement se produire lorsqu’un cabinet médical est victime d’une cyberattaque. Et pour cela, un simple clic sur un lien dans un e-mail de phishing suffit. Ou le téléchargement d’une pièce jointe infectée par un virus. Ou la consultation d’un site Web malveillant.
« Pour qu’une cyberattaque parvienne à ses fins, un seul clic sur un lien dans un e-mail de phishing suffit. »
Les cabinets médicaux peuvent aussi être victimes de cyberattaques
Les cyberattaques sont de plus en plus nombreuses: en 2021, le Centre national pour la cybersécurité (NCSC) a reçu plus du double de notifications de cyberattaques par rapport à l’année précédente, soit plus de 21’000 notifications1. Les cabinets médicaux ne sont pas épargnés par les attaques, selon la FMH2. Ceux-ci ne seraient pas sélectionnés spécifiquement, mais plutôt des «victimes accidentelles», par exemple d’un rançongiciel, un cheval de Troie qui crypte les fichiers2.Le fait est que les cyberattaques peuvent viser chacun et chacune d’entre nous. Et dans des cabinets médicaux et des hôpitaux, où les données de patients sont sensibles, elles peuvent avoir des conséquences fatales. Outre les nombreuses difficultés rencontrées lorsque des médecins et des assistantes médicales ne peuvent plus accéder aux informations sur les patients et aux rendez-vous, elles peuvent également entraîner des violations du secret professionnel et des lois sur la protection des données, par exemple si des cybercriminels publient les données volées sur le Darknet.Protégez votre cabinet
Toutefois, nous ne sommes en aucun cas sans défense face aux cybercriminels. D’une part, nous pouvons protéger notre cabinet ou notre institution par le biais de mesures techniques. Par exemple la protection des équipements à l’aide d’un pare-feu et d’un logiciel antivirus. La FMH fournit des informations très utiles sur son site Web relatif à la sécurité informatique. Mais les mesures techniques seules ne suffisent pas. En effet, même l’infrastructure la plus performante sera peu efficace si ses utilisateurs ne sont pas suffisamment prudents. Et le fait est que la majorité des cyberattaques commencent par un simple clic imprudent …« L’infrastructure informatique la plus sûre ne suffit pas si ses utilisateurs offrent une porte d’entrée aux cybercriminels. Le comportement de chacun compte. »
Le savoir ne suffit pas
Nous savons tous aujourd’hui qu’il ne faut pas cliquer sur les liens contenus dans des e-mails suspects – et pourtant, des cyberattaques ont toujours lieu. En fait, pour protéger au mieux un cabinet ou une institution contre des attaques, une simple transmission d’informations ou de connaissances superficielles aux collaborateurs ne suffit pas. L’essentiel est plutôt que chacune et chacun soit à tout moment conscient(e) des dangers de la cybercriminalité dans son travail quotidien. D’une part, le comportement d’une personne dépend de ses connaissances, mais aussi et surtout de son attitude, par exemple de l’importance qu’elle accorde au thème de la sécurité informatique. Et, d’autre part, il existe un grand nombre de circonstances et de facteurs de distraction qui font passer au second plan les connaissances qui ne sont pas profondément ancrées dans l’attitude.
Exemple: le pouvoir de la situation
Anna Exemple, médecin de famille, est en train de rédiger un rapport. Sa prochaine patiente a rendez-vous dans cinq minutes. Malheureusement, sa fille l’appelle à ce moment-là, car elle a peur de l’épreuve de maths de l’après-midi. Et comme si cela ne suffisait pas, l’assistante médicale d’Anna débarque et annonce que l’assurance d’un patient lui a envoyé un e-mail et qu’elle a besoin de davantage d’informations. C’est soi-disant très urgent. Pendant qu’Anna écoute sa fille angoissée au téléphone, elle survole l’e-mail transmis par son assistante et ne comprend pas bien. Elle clique sur le lien qui promet plus d’informations. Et il est déjà trop tard.« Chacune et chacun peut contribuer à protéger son cabinet des cyberattaques par son propre comportement. Cela implique toutefois d’être à tout moment conscient des dangers au quotidien. »
La clé réside dans la sensibilisation
La HIN Academy a pour but non seulement de transmettre des informations, mais aussi de susciter une prise de conscience durable des dangers liés à la cybercriminalité dans le quotidien d’un cabinet. Notre objectif est que cette «Awareness» soit fermement ancrée dans l’attitude des professionnels de santé. Elle doit être gravée si profondément dans les esprits que la prudence en matière de sécurité informatique devienne instinctive dans le travail quotidien. Une saine dose de méfiance doit être présente à tout moment.Nous y parvenons notamment en montrant l’importance personnelle pour chacun et chacune et en faisant apparaître clairement, à l’aide d’exemples pratiques tirés du quotidien de cabinets médicaux ou d’institutions du système de santé, quels sont les dangers dont les professionnels de santé doivent être conscients.Agissez maintenant
Les cyberattaques peuvent viser chacune et chacune d’entre nous, pas seulement les autres. Un simple clic imprudent peut, dans certains cas, paralyser tout un cabinet pendant quelques heures, voire même quelques jours. Mais vous n’êtes en aucun cas sans défense face aux cybercriminels. En effet, chacune et chacun peut contribuer à se protéger et à protéger son cabinet par son propre comportement. Vous avez la possibilité de vous protéger et de protéger votre cabinet ainsi que les données de vos patients. Prémunissez-vous dès aujourd’hui contre les dangers de la cybercriminalité: formez-vous et formez vos collaborateurs par le biais des formations HIN Awareness. La HIN Academy propose des formations en ligne pour un seul participant et des formations personnalisées pour l’ensemble du personnel de cabinets médicaux ou d’institutions.> En savoir plus sur la HIN Academy> Réservez une formation en ligne> Conseil relatif à une formation personnalisée pour mon cabinet1 Source: Rétrospective de la semaine 52/2021 du Centre national pour la cybersécurité NCSC.2 Source: Medical Tribune du 16 mars 2022.Témoignages de participants à une formation HIN Awareness
Le centre médical Schlossberg a sensibilisé ses collaborateurs au thème de la sécurité informatique par le biais de formations HIN Awareness. «Nos collaborateurs sont devenus plus conscients de la nécessité de faire preuve d’une vigilance permanente en matière de sécurité informatique. La participation aux formations était obligatoire pour tous ceux qui sont en contact avec des ordinateurs dans le cadre de leur travail, car ce sujet concerne tout le monde, quelle que soit sa position», explique Lilian Marti, spécialiste informatique du centre médical.Lire l’intégralité du témoignage
Auteur: Dominik Grolimund - Intervenant Sécurité informatique & sensibilisation
Spécialiste de la sécurité de l’Information Security Awareness disposant d’un diplôme de psychologie appliquée, je souhaite vous vous faire découvrir la sécurité informatique du point de vue de l’humain. De plus, la sensibilisation à la protection des données me tient particulièrement à cœur. Je m’efforce donc de vous montrer les pièges en matière de sécurité informatique et de protection des données dans votre travail quotidien.