Live chat du « Quotidien »

Cybersécurité au cabinet : comment déjouer les pirates ? Posez vos questions à Vincent Croisile

Publié le 01/10/2022

Si les hôpitaux sont devenus une cible privilégiée des pirates, les médecins libéraux ne sont pas à l’abri des attaques informatiques. Intrusion sur leur poste informatique, vol de données personnelles, interception des communications professionnelles… Les risques sont multiples avec des conséquences importantes sur l’activité du cabinet et sur la confidentialité des données de santé. Quels sont les risques réels et comment prévenir les attaques ? Vincent Croisile, expert sécurité à l'Agence du Numérique en Santé, répondra à ces questions au cours d’un Live chat avec les lecteurs du « Quotidien ».

Live chat Vincent Croisile

Journaliste QDM (SL)
Bonjour à  toutes et à  tous.
Bienvenue à ce nouveau Live chat. De nombreux hôpitaux ont été récemment la cible de piratages informatiques. Les médecins libéraux ne sont pas à l’abri d’une attaque. Comment se protéger ? Que faire en cas d’intrusion et de vols de données ? Pour en parler, nous accueillons aujourd’hui Vincent Croisile, expert sécurité à l’Agence du Numérique en Santé.
 
Journaliste QDM (PT)
Le Live chat va bientôt commencer. Notre invité est arrivé dans les locaux de la rédaction.
Notre invité est arrivé dans les locaux de la rédaction.
Sur la photo, de gauche à droite : Vincent Croisile (Agence du numérique en santé), Cyrille Dupuis (rédacteur en chef Informations professionnelles) et jean Paillard (directeur de la rédaction).
 
Journaliste QDM (SL)
Bonjour Vincent Croisile.
Merci d’avoir accepté notre invitation.
Vincent Croisile
Bonjour à tous, heureux d'être avec vous aujourd'hui pour répondre à vos questions sur la cybersécurité.
-- Serge
Est-ce que les médecins libéraux sont spécifiquement visés par les pirates comme c'est le cas des hôpitaux ? Qu'est ce qu'ils recherchent ?
 
-- Popeye
On parle beaucoup des cyber attaques dans les hôpitaux. Les libéraux semblent a priori encore moins bien protégés que les établissements. Mais on a l'impression qu'ils génèrent indivuellement trop peu de données pour intéresser vraiement les hackers.Cette analyse rassurante vous semble-t-elle pertinente ?
Vincent Croisile
A priori, aujourd'hui les médecins libéraux sont rarement visés directement, ils sont plutôt sujets à des attaques qu'on pourrait qualifier d'opportunistes. Toutefois, le contexte a pu évoluer légèrement ces dernières années, notamment car les médecins ont été amenés à délivrer des pass sanitaires et donc des usurpations d'identité ont pu intéresser les attaquants.

Les cyber attaquants visent généralement des failles qui sont connues, et ce sont donc les systèmes d'information les moins sécurisés qui en sont victimes, c'est pourquoi les libéraux sont tout aussi concernés que les hôpitaux par ce type d'attaques. Il est important de s'en protéger.
Journaliste QDM (SL)
Deux questions en rapport avec les antivirus. Quelles recommandations en la matière ? Gratuits, payants ?
 
-- Jean D
Une partie de mes données médicales est stockée sur mon portable personnel. Avast gratuit est-il suffisant lequel me sollicite sans arrêt pour différentes parties vulnérables. Cacher son numéro portable.... laquelle ou lesquelles sont importantes? Merci.
 
-- gouvi
Un antivirus type Bit Defender est-il suffisant pour protéger mon PC ?
Vincent Croisile
Il est recommandé lorsque cela est possible de séparer les usages professionnels des usages personnels.

Le plus important est de disposer d'un antivirus et surtout de le mettre régulièrement à jour. En effet, la plupart des outils de ce type se base sur des "signatures", c'est à dire des morceaux de code qui permettent d'identifier les malwares.
Ledocdici
Faut-il privilégier le Mac au PC pour éviter les ennuis ?
Vincent Croisile
Quelle que soit la technologie utilisée, des failles peuvent exister et sont quotidiennement exploitées par les hackers. Le fait d'utiliser un Mac peut donner une fausse impression de sécurité car les attaquants vont cibler en priorité les PC (les plus répandus), mais des attaques existent aussi sur les technologies Mac.
Dr Azerty
Quelles sont les précautions de base à prendre sur son ordinateur pour éviter les piratages ? Un antivirus à jour est-il suffisant ?
Vincent Croisile
La première précaution serait de sauvegarder régulièrement ses données car en cas d'incident de sécurité, on est ainsi capable de restaurer le système et de revenir à l'état dans lequel il était lors de la dernière sauvegarde. Il est important de bien tester la restauration et de bien s'assurer qu'elle fonctionne.

La deuxième précaution que je mettrai en avant est de mettre à jour régulièrement ses outils logiciels. En effet, chaque jour de nouvelles failles de sécurité sont découvertes par des attaquants et il est important d'installer les correctifs afin de se prémunir de ces attaques.

Effectivement, l'utilisation d'un antivirus est une bonne pratique mais elle n'est pas suffisante. Il est aussi essentiel d'avoir un minimum de connaissances sur les attaques potentielles auxquelles on pourrait être confronté afin de bien réagir quand on y est confronté. Par exemple, le site cybermalveillance.gouv.fr donne de l'information orientée grand public à ce sujet.
Serge
Comment effectuer des sauvegardes des données patients en toute sécurité ? Est-ce qu'on peut faire ça sur un disque dur externe perso ? Et si on me vole mon disque dur ?
Vincent Croisile
L'utilisation d'un disque dur externe personnel est possible, toutefois dans ce cas il faudra veiller à ce que le disque soit chiffré afin de limiter le risque d'accès à ces données.

On pourra également recommander d'effectuer la sauvegarde dans ce cas sur deux disques différents pour pallier aux problèmes matériels qui pourraient survenir. Et lorsque cela est possible de les conserver sur des sites différents, par exemple un au cabinet, un au domicile personnel.

D'autres solutions existent et sont proposées par des professionnels (par exemple des solutions de type cloud). Il faut toutefois veiller à ce que le stockage soit réalisé sur un hébergement certifié HDS (hébergement de données de santé).
Journaliste QDM (SL)
Live chat avec Vincent Croisile
 
Journaliste QDM (SL)
Bonjour,
Étant dermatologue avec une difficulté de prioriser les rendez-vous des patients avec des pathologies qui ne peuvent attendre (cancers cutanés évolutifs par exemple versus pathologies bénignes ou non urgentes), l'option d'une priorisation par mail+ photos semble une option intéressante (plus que laisser nos secrétaires harcelées ou les médecins traitants débordés appeler systématiquement nos cabinets).

Légalement existe-t-il un risque à demander au patient de fournir courrier+photo à envoyer sur une adresse mail professionnelle (si possible sécurisée), alors que le patient l'envoie depuis son adresse mail personnelle ?

En cas d'attaque informatique de personne mal intentionnée, le médecin est-il juridiquement attaquable au nom du risque de non protection de données sensibles/perte du secret médical ?
Vincent Croisile
Dans la mesure où des données de santé à caractère personnel doivent être échangées, l'usage d'une messagerie électronique classique est à proscrire. En effet, le professionnel de santé est dans ce cas attaquable juridiquement au titre du RGPD et de la certification HDS, dans la mesure où le canal utilisé ne donne pas de garanties satisfaisantes sur la protection des données.

À terme, des réflexions sont en cours sur la mise à disposition d'une messagerie électronique permettant des échanges fiables et sécurisés entre le professionnel de santé et son patient, via Mon espace santé.
Marie PA
Je suis sur Windows 10 (ou 11) je ne sais plus. Un informaticien m'avait enlevé AVAST en me disant que windows me protégeait car un antivirus était déjà intégré et qu'il y avait incompatibilité entre les deux systèmes de protection, cela m'a surprise et j'ai remis l'antivirus AVAST. Qu'en pensez-vous ?
Vincent Croisile
Il faut s'assurer qu'un antivirus soit bien présent. Windows propose effectivement son propre antivirus. Il faut s'assurer dans tous les cas qu'il est bien actif et paramétré pour une mise à jour quotidienne.
Doc du 78
Je suis assez à l'aise en informatique et j'ai bien conscience des risques d'intrusions informatiques auxquels je suis exposé. Je maintiens à jour mon OS, j'utilise des mots de passe robustes et j'ai un antivirus à jour. Dois-je m'inquiéter ?
Vincent Croisile
La majeure partie des attaques auxquelles les médecins libéraux sont susceptibles d'être confrontés sont des attaques opportunistes. Ce sont donc les médecins les moins sensibilisés aux questions de sécurité informatique qui sont le plus susceptibles d'en être victimes. Toutes les pratiques que vous listez sont donc utiles, je vous encourage toutefois à poursuivre dans cette voie en vous tenant régulièrement informé des nouvelles menaces.
dede
Est-ce ce que peux stocker mes CR de consultation, examens médicaux dans le cloud (Google, dropbox, etc) ? Sinon où ?
Vincent Croisile
Non, le stockage de données de santé à caractère personnel exige l'utilisation d'espaces de stockage certifiés HDS (hébergement de données de santé), car elles doivent faire l'objet d'une protection particulière du fait de leur sensibilité.
Elles peuvent être stockées localement ou en utilisant des services disposant de cette certification HDS.
Journaliste QDM (SL)
Live chat avec Vincent Croisile
 
Duduche
Comment sait-on qu'on a été piraté ? Que faire en cas de piratage ? A qui s'adresser ? Merci pour vos réponses !
Vincent Croisile
On peut s'inquiéter de comportements inhabituels du poste utilisé au cabinet : ralentissement, ouvertures de fenêtres non voulues etc. En cas de doute, il est recommandé de faire appel à un professionnel qui pourra être votre prestataire informatique (si vous en avez un).

Il est dans ce cas recommandé de déconnecter le poste du réseau (filaire ou wifi) et de faire un scan antivirus. Le site cybermalveillance.gouv.fr dispose de plus d'un outil de diagnostic qui pourra vous aider à identifier un éventuel incident de sécurité.
-- Esculape
Peut-on utiliser les messageries type Whatsapp pour communiquer avec un patient, faire une visio avec lui pour un suivi post consultation ? Est-ce qu'il y a un risque de violation du secret médical ?
 
-- Jams
Les consultations en visio présentent-elles des risques particuliers en matière de cybersécurité ?
Vincent Croisile
Il est recommandé d'utiliser des outils dédiés au secteur santé dans la mesure où ceux ci disposent de garanties pour assurer la confidentialité des données échangées. WhatsApp étant un réseau orienté grand public, il ne dispose pas des mêmes garanties (notamment la certification HDS).

Les risques propres aux téléconsultations sont l'atteinte à la confidentialité des échanges ainsi que l'usurpation d'identité. Comme indiqué précédemment, on priorisera des solutions dédiées à la santé qui prennent en compte les risques du secteur.
Duduche
En cas de piratage, de vols de données, un médecin peut-il être tenu responsable ? Les patients dont les données ont été volées peuvent-ils l'attaquer ? Faut-il prendre une cyberassurance pour se protéger ?
Vincent Croisile
Oui, en tant que médecin il est de votre responsabilité d'assurer la sécurité des données de vos patients. Ainsi, il est juridiquement possible de vous attaquer si les données qui vous ont été confiées ont été diffusées. Une cyber-assurance peut rassurer, toutefois il faudra bien analyser les éléments couverts par cette assurance.
JeanD
Est-ce qu'on a connaissance de cabinets libéraux qui auraient été piratés ? Quelles conséquences pour eux ?
Vincent Croisile
Les cabinets libéraux ne déclarent pas leurs incidents de sécurité à la différence des établissements de santé tels que les hôpitaux, qui en ont l'obligation. Il est donc difficile de mesurer l'impact pour les cabinets libéraux.

Les rançongiciels (ransomware) sont des attaques courantes qui peuvent être rencontrées notamment par les cabinets libéraux. Dans ce cas la conséquence est une indisponibilité des données de santé et elles peuvent avoir un impact fort pour les cabinets qui ne réalisent pas de sauvegardes régulières et auront donc une difficulté à revenir à la situation d'exercice initiale.

Globalement, le principal vecteur d'attaque reste la messagerie électronique (que chacun utilise au quotidien). Il est donc important de sensibiliser les personnes présentes au sein du cabinet médical aux attaques courantes.
Journaliste QDM (SL)
Ce Live chat est sur le point de se terminer. Une dernière question.
 
-- Vieuxcarabin
L'Agence du numérique en santé propose-t-elle des formations à la sécurité informatique pour les médecins. Ou sinon, quels organismes pouvez-vous nous conseiller ?
Vincent Croisile
Non, malheureusement. Quelques contenus sont toutefois mis à disposition des médecins. Il s'agit d'animations et de guides de bonnes pratiques qui traitent de sujets de cybersécurité, et sont présents sur notre site.
Journaliste QDM (SL)
Merci, Vincent Croisile, d’avoir participé à ce Live chat avec les lecteurs du « Quotidien ». À vous le mot de la fin
Vincent Croisile
Je vous remercie pour toutes ces questions ! Globalement, vous pouvez retrouver l'essentiel des informations qui vous concernent sur ce sujet, dans un guide de bonnes pratiques qui a été spécialement élaboré à l'intention des libéraux et qui inclut notamment une fiche synthétique qui résume les éléments les plus importants et une fiche réflexe à imprimer et conserver pour bien réagir si vous êtres confrontés à une cyberattaque. Il y a également une liste de points de contrôles que vous pouvez passer en revue avec votre prestataire informatique, ou inclure au contrat qui vous lie. Tous ces éléments sont disponibles dans le package suivant disponible en ligne ici.
Journaliste QDM (SL)
Merci à toutes et à tous pour votre participation. Rendez-vous prochainement pour un nouveau Live chat.

Source : lequotidiendumedecin.fr