(8 min. de lecture)

Comment reconnaître une cyberattaque et protéger votre organisation, vos patients et vos collègues d’une violation de données

Un dossier médical typique contient le nom complet du patient, son adresse, sa date de naissance, son numéro de téléphone, son adresse courriel, son numéro d’assurance sociale (ou l’équivalent), les coordonnés de la personne à contacter en cas d’urgence, des détails sur son assurance maladie et, dans certains cas, des informations sur sa carte de crédit et son compte bancaire.

Avec toutes ces données en main, il est facile pour un cybercriminel de commettre un vol d’identité et de perpétrer un nombre incalculable d’attaques contre la victime.

En moyenne, un dossier médical volé vaut environ 1 000 $ US sur l’Internet clandestin (Dark Web). C’est un montant très élevé si on le compare aux données de carte de crédit, qui se transigent environ 110 $.

C’est pour cette raison que le secteur de la santé est une cible de choix pour les cyberattaques. Peu importe la taille, l’emplacement ou la spécialité de l’établissement – la seule chose qui intéresse les cybercriminels, ce sont les dossiers médicaux.

*Les liens sont en anglais

  • Attaque contre l’hôpital universitaire de Brno, République tchèque. En pleine pandémie de la COVID-19, l’hôpital a dû fermer l’entièreté de son réseau informatique, forçant l’annulation de chirurgies et le transfert des patients vers d’autres hôpitaux. L’hôpital universitaire de Brno est le deuxième plus grand laboratoire de dépistage du coronavirus en République tchèque.
  • L’agence américaine de la santé est la cible d’une cyberattaque pendant la COVID-19. Le département de la Santé et des Services Sociaux des États-Unis a été victime d’une cyberattaque contre son système informatique. Selon certains, il s’agirait d’une campagne de perturbation et de désinformation, possiblement perpétrée par un acteur étranger, et visant à saboter les mesures mises en place pour lutter contre la pandémie.
  • Les attaques de rançongiciel contre les fournisseurs de soins de santé ont augmenté de 350 % dans le dernier trimestre de 2019. Une analyse réalisée par Corvus révèle que la vaste majorité des attaques de rançongiciel contre les fournisseurs de soins de santé découlent d’incidents d’hameçonnage. Les attaques ont bondi de 350 % dans le dernier trimestre de 2019.

Les cybercriminels savent que la migration vers les dossiers électroniques, l’IdO médicaux, le partage de données entre les fournisseurs, les entreprises de soins de santé et des tiers ainsi que les délais dans la mise à jour des réseaux informatiques ont ouvert de nombreuses brèches qui sont mûres pour une attaque.

Les infirmières, les médecins et les professionnels de la santé sont trop occupés à faire face à des situations de vie ou de mort. Ils n’ont pas le temps de remarquer une cyberattaque ou un appareil qui a été infecté par un maliciel.

Un article paru en 2019 dans Healthcare Business & Technology s’intéresse aux taux de risque que représentent les cybermenaces dans l’industrie de la santé :

  • Plus de 2 500 cas de violation de données ont été rapportés entre 2009 et 2018
  • 62 % des établissements de santé ont fait face à une violation sur une période de 12 mois
  • Le coût moyen d’une violation de données dans un centre médical est de 3,62 millions $

Dans le cadre de notre Gone Phishing TournamentTM 2019, nous avons compilé le taux de clics des entreprises en fonction de leur secteur, de leur taille et de leur emplacement géographique. Nous avons découvert que, parmi les établissements de santé participants, 32 % des individus hameçonnés qui ont ouvert le courriel et cliqué sur le lien ont soumis leurs identifiants.

Bon nombre de cybercriminels se fient à cette tactique pour s’introduire dans les établissements de santé et voler les dossiers des patients, infecter les réseaux et ainsi interrompre les soins de santé.

Les principaux défis de cybersécurité du secteur de la santé

Les établissements de santé du monde entier subissent une pression énorme pour fournir les meilleurs soins aux malades, gérer les coûts et suivre les nouvelles règles et règlementations entourant la tenue de dossiers médicaux électroniques, la sécurité informatique et la sécurité des données des patients.

Cela met à rude épreuve une main d’œuvre et un système qui fonctionnent déjà sous pression 24 h/24, 7 j/7. Malheureusement, c’est cette réalité qui rend le secteur de la santé si attrayant pour les cybercriminels. Ils savent que dans le contexte actuel, les professionnels de la santé doivent également être des experts en sécurité des données – mais qu’ils n’ont ni la formation ni le temps de s’en préoccuper.

Dans leur lutte contre les cybercriminels et les cyberattaques, les experts de la santé, les leaders en sécurité, les CISO et les organisations font face à trois défis majeurs :

  • Sécurité des dispositifs médicaux. Avec le déferlement des nouvelles technologies, l’IdO médicaux, les tablettes et les téléphones intelligents, il peut être difficile pour les leaders en sécurité d’assurer la protection des dispositifs médicaux. Dans le secteur de la santé, il est essentiel de maintenir les dispositifs médicaux opérationnels afin d’être en mesure de continuer à offrir des soins aux patients, et même de sauver des vies.

Assurez-vous que tous les dispositifs médicaux, réseaux, logiciels, systèmes d’exploitations, tablettes et téléphones intelligents sont régulièrement mis à jour.

  • Comportement humain. L’être humain a naturellement tendance à faire confiance et à vouloir aider les autres. Cela fait de nous une cible de choix pour l’ingénierie sociale, l’hameçonnage, les rançongiciels et d’autres types de cyberattaques.

Assurez-vous que tous les employés suivent régulièrement des formations en sensibilisation à la sécurité. Ces formations doivent mettre de l’avant des scénarios réalistes qui soulignent les risques de sécurité inhérents aux courriels, messages textes et appels téléphoniques. Un programme de sensibilisation peut vous aider à clarifier et à communiquer les responsabilités nécessaires pour gérer les ressources informationnelles et technologiques. De cette façon, chacun se sent interpellé et comprend son rôle dans la protection de la sécurité de l’organisation.

  • Pressions économiques. Les hôpitaux, centres de recherche, cliniques, etc. opèrent tous avec des budgets restreints. Il est difficile de prioriser la sécurité informatique et la formation en sensibilisation à la sécurité. Mais pour régler le problème, il est important de penser au-delà des coûts. Vous devez également tenir compte de la productivité. Par exemple, quels seraient les coûts liés à la main d’œuvre et aux retards engendrés si un appareil d’IRM arrêtait de fonctionner pendant plusieurs jours?

Assurez-vous que les gestionnaires et les dirigeants comprennent les coûts économiques d’une cyberattaque et d’une violation de données, et comment les prévenir en effectuant la mise à jour des logiciels et en lançant des campagnes de formation en sensibilisation à la sécurité innovantes.

6 meilleures pratiques en cybersécurité pour les CISO et les leaders en sécurité du domaine de la santé

En tant que CISO ou leader de la sécurité dans le domaine de la santé, rappelez-vous les six meilleures pratiques en cybersécurité suivantes :

  1. Créez une culture de cybersécurité. Prévoyez régulièrement des formations en sensibilisation à la sécurité et des simulations d’hameçonnage pour vos employés. Offrez-leur des formations interactives et stimulantes, basées sur des scénarios réalistes, qui permettent de changer les comportements humains.
  2. Contrôlez régulièrement le niveau de sensibilisation de vos employés à l’hameçonnage et aux rançongiciels et leur taux de rétention des connaissances à l’aide de simulations.
  3. Rappelez à vos employés de créer et d’utiliser des mots de passe forts sur tous leurs appareils mobiles. Si votre organisation fonctionne en mode PAP (prenez vos appareils personnels), planifiez des séances de formation régulières sur la cybersécurité des appareils mobiles.
  4. Évaluez régulièrement les risques liés à votre réseau, vos technologies, vos logiciels et applications, et vos employés. L’identification des risques vous permet d’installer des correctifs, des mises à niveau et des nouveaux logiciels. Cela vous permet également d’offrir une formation adaptée en sensibilisation à la sécurité.
  5. Limitez l’accès au réseau. Accordez un accès seulement aux gens qui en ont besoin. Assurez-vous qu’ils ont des connaissances supérieures en sensibilisation à la sécurité et qu’ils reçoivent régulièrement des formations sur les plus récents types de cyberattaques.
  6. Assurez-vous que tous les logiciels internes, applications, outils réseau et systèmes d’exploitation sont à jour et sécurisés. Utilisez des coupe-feu et une liste blanche des applications, installez des logiciels de protection contre les maliciels et les pourriels, et effectuez un contrôle des accès physiques et virtuels.

 


La prochaine section est destinée spécifiquement
aux utilisateurs et aux employés du secteur de la santé

 

Comment rester en cybersécurité au travail – 7 conseils pour les utilisateurs

Vous êtes notre première ligne de défense contre les cyberattaques. Les cybercriminels utilisent des tactiques d’ingénierie sociale qui peuvent prendre la forme de courriels, de messages textes ou d’appels téléphoniques pour vous convaincre de cliquer sur des liens, de remplir des formulaires en ligne et de divulguer des informations confidentielles.

Souvenez-vous de ces sept meilleures pratiques en cybersécurité et mettez-les en pratique. Vous contribuerez ainsi à garder notre établissement de santé cybersécuritaire.

  1. Ne jamais ouvrir, cliquer ou répondre au courriel d’un expéditeur inconnu. La meilleure approche est de se méfier de tous les courriels externes ou provenant d’une tierce partie.
  2. Lisez attentivement chaque courriel reçu. Prêtez attention aux fautes d’orthographe ou grammaticales, aux irrégularités de langage, à l’adresse de l’expéditeur et aux hyperliens. En cas de doute, ne répondez ou ne cliquez pas.
  3. Participez aux formations de sensibilisation à la sécurité. Nous savons que votre emploi du temps est chargé, mais mieux vous comprendrez le mécanisme des cyberattaques, plus il sera facile pour vous de reconnaître un courriel, un message texte ou un appel téléphonique malicieux.
  4. Utilisez des mots de passe différents pour votre courriel, votre accès au réseau, vos appareils mobiles, votre tablette et vos logiciels. Consultez votre équipe de support informatique pour obtenir de l’information sur les gestionnaires de mots de passe. Ces outils vous permettent de facilement accéder à vos mots de passe en cas d’oubli.
  5. Ne laissez pas traîner des documents, des dossiers, des graphiques ou des dossiers médicaux sur votre bureau, votre poste de travail ou d’autres aires communes. Respectez les politiques concernant la sécurité des patients et la confidentialité des données.
  6. Si vous utilisez votre téléphone intelligent personnel ou votre tablette au travail, consultez votre chef d’équipe en cybersécurité pour optimiser la protection de vos appareils.
  7. Si vous n’êtes pas certain de la validité d’un courriel, d’un message texte ou d’un appel téléphonique, ne répondez pas. Si la communication provient d’une connaissance, validez l’information auprès de cette personne de vive voix. Souvenez-vous que les cybercriminels masquent leur identité et prétendent être un ami, un membre de la famille, un collègue ou un collaborateur.

Ensemble, nous pouvons créer un environnement de travail cybersécuritaire. Protégeons-nous, et protégeons nos patients, nos organisations et nos partenaires, des cybercriminels qui n’ont qu’un objectif – voler et causer du tort.

Si vous avez des questions sur la cybersécurité ou nos formations internes en sensibilisation à la sécurité, discutez-en avec votre gestionnaire ou votre chef d’équipe en sécurité.

 

 


Trousse de protection contre les cybermenaces liées à la COVID-19

Restez en sécurité et à l’abri des cybercriminels pendant la pandémie de COVID-19. Téléchargez ce kit pour connaître les meilleures pratiques de sensibilisation à la sécurité.