Ayez une vue d’ensemble
Que sauvegardez-vous, comment et sur quels systèmes? Garder une vue d’ensemble du paysage informatique peut être un défi. Un inventaire informatique du cabinet permet de s’y retrouver. Il répertorie tous les appareils, des ordinateurs et supports de données aux appareils de laboratoire et médicaux, ainsi que les systèmes d’exploitation et les droits d’accès. Si vous n’en êtes qu’au début de votre inventaire, vous pouvez utiliser notre modèle Excel, que vous pouvez télécharger à l’adresse www.hin.ch/fr/inventaire. Pour savoir comment procéder étape par étape, consultez les blogs «Garantir soi-même la sécurité informatique #1: inventaire IT et stratégie de sauvegarde» et «La sécurité informatique, étape par étape».Plus de sécurité grâce au concept d’accès
Cet inventaire peut être complété par un concept d’accès. Un accès protégé et réglementé aux données et aux appareils en rapport avec la médecine, les patientes et patients ou les finances confère une sécurité accrue à votre cabinet. Les droits d’accès définissent les actions qu’une utilisatrice/un utilisateur ou une entité peut effectuer avec une ressource donnée: lire, écrire, modifier, supprimer ou exécuter des fichiers ou des applications. À cet égard, suivez le principe du «minimalisme des droits d’accès». Toute restriction d’accès renforce la protection des informations confidentielles et minimise le risque de perte de données. Vous décidez quelles personnes ont accès à quels systèmes dans votre cabinet. Dans l’inventaire créé, vous définissez les accès via l’onglet «Systèmes», dans la colonne «Droits d’accès au système». Dans l’onglet séparé «Matrice d’accès», vous pouvez définir les rôles et les droits d’accès.Voici à quoi pourrait ressembler votre matrice d’accès.Avec cette stratégie, vous respectez également les dispositions relatives à la protection des données, qui prévoient de protéger au mieux les données personnelles. Évitez, dans la mesure du possible, de partager les données d’accès et attribuez à tous les collaboratrices et collaborateurs des identifiants de connexion personnels. Le contrôle des accès permet de vérifier à tout moment qui a accédé à quel contenu et à quel moment. Logiquement, ces contrôles devraient être effectués par un membre de la direction. Il est important de procéder à des contrôles réguliers afin de détecter le plus tôt possible les failles de sécurité. Toutefois, le personnel est également tenu de s’assurer qu’aucune autre personne n’a accès à son appareil. Lorsque l’on quitte son poste de travail, il faut toujours verrouiller l’écran.Protégez-vous contre le phishing et les logiciels malveillants
Ce que fait HIN contre les logiciels malveillants
En tant que membre HIN, tous vos e-mails sont contrôlés par un logiciel antivirus – qu’ils proviennent d’autres membres HIN ou d’adresses externes. Si un virus est détecté dans un e-mail, celui-ci n’est pas transmis au destinataire, mais est automatiquement supprimé. Toutefois, contrairement à la protection des données, la protection antivirus ne peut pas être entièrement garantie. Il ne peut être assuré qu’un virus sera détecté. Il est donc nécessaire d’être conscient des dangers potentiels, en particulier lors du traitement des e-mails.- Assurez-vous que le message contenant la pièce jointe malveillante n’est pas ouvert sur un autre ordinateur.
- Pour ce faire, informez toutes les personnes travaillant sur les postes de travail et supprimez le message de tous les comptes de messagerie.
- Analysez votre ordinateur avec votre programme antivirus.
- Contactez le support HIN. Celui-ci peut déterminer si votre programme antivirus détecte le logiciel malveillant en question.
- Contactez votre partenaire informatique.
Cela peut arriver à tout le monde
Dans le cadre d’une campagne-test d’hameçonnage menée par HIN à la demande d’un client, 52% des personnes travaillant au cabinet médical ont ouvert l’e-mail d’hameçonnage préparé pour la campagne. Plus d’un quart des personnes ont cliqué sur le lien qu’il contenait. Ce lien renvoyait ensuite vers un site internet fictif. Environ 9% ont même téléchargé et exécuté le fichier proposé au téléchargement sur le site internet fictif. Dans le pire des scénarios, une seule personne peut ainsi paralyser tout le réseau d’un cabinet. Le stress, la négligence ou la volonté d’exécuter rapidement les ordres de la hiérarchie peuvent expliquer de telles mésaventures. Cela peut arriver à tout le monde.Comme absolument personne n’est à l’abri d’une cyberattaque, nous sommes tous invités à «faire nos devoirs» pour garantir la sécurité informatique de base. Tenir un inventaire et respecter les règles de protection des accès constituent déjà une bonne base de protection pour rendre la tâche plus difficile aux pirates qui voudraient s’introduire dans vos systèmes.Reconnaître et signaler les e-mails d’hameçonnage
Éléments distinctifs typiques des e-mails d’hameçonnage:
- adresse d’expédition inhabituelle
- formule d’appel impersonnelle
- consigne d’action urgente
- demande inhabituelle d’informations personnelles (par exemple du mot de passe)
- fautes d’orthographe et de grammaire, vocabulaire étrange non adapté à la région linguistique
- liens bizarres
Les e-mails suspects doivent systématiquement être signalés. Avec HIN Mail, vous pouvez procéder de la façon suivante: transmettez l’e-mail concerné en pièce jointe à l’adresse «abuse[at]hin.ch». Vous devez également signaler tout cyberincident directement à l’Office fédéral de la cybersécurité. Vous doutez de l’authenticité de l’e-mail? Il est alors recommandé de prendre contact avec l’expéditeur présumé par un canal indépendant, par exemple par téléphone.
- Sur www.hin.ch/fr/inventaire, nous mettons à votre disposition un modèle d’inventaire sous forme de fichier Excel à télécharger.
- Les articles de blog «Garantir soi-même la sécurité informatique #1: inventaire IT et stratégie de sauvegarde» et «La sécurité informatique, étape par étape» fournit des conseils utiles sur la base de votre sécurité informatique.
- Sur la page de support HIN, vous trouverez des informations sur la protection contre les logiciels malveillants.
- La FMH a publié des exigences minimales pour la sécurité informatique des cabinets médicaux sur son site Web.
- OFCS: page Office fédéral de la cybersécurité. En outre, vous trouverez ici la page officielle de déclaration d’un cyberincident.
Auteur: Daniel Huser - Membre de la direction élargie, responsable du secteur Gestion de projet & architecture informatique
En tant qu’expert en solutions et projets innovants, je vous présente de nouveaux produits et services, mais aussi des raccordements pour de nouvelles applications chez des prestataires tiers. Je vous dévoilerai également quelques petites avant-premières sur de futurs lancements. Plongez-vous avec moi dans le monde unique de l’ingénierie et découvrez comment les solutions peuvent apparaître avant les problèmes.