Centre hospitalier Sud Francilien de Corbeil-Essonnes a été, fin août, victime d’une cyber-attaque et d’une demande de rançon de 10 millions de dollars. Accès aux systèmes informatiques bloqué, patients transférés, rendez-vous annulés… l’établissement a été durement touché pendant plusieurs jours. Le cas n’est pas isolé : rien qu’en 2021, 733 incidents de sécurité informatique ont été recensés dans le secteur de la santé, dont la moitié imputable à des actes malveillants (1).
Et si les hôpitaux sont la principale cible, les cabinets libéraux ne sont pas à l’abri. La MACSF relate ainsi, sur son site (2), l’exemple d’un cabinet médical de l’ouest de la France paralysé 48 heures après réception d’un mail « étrange ». Une « situation critique » qui a obligé le cabinet « à embaucher temporairement une personne supplémentaire, le temps d’absorber le surplus de travail pour réintégrer les données en informatique après la neutralisation du virus et la résolution de l’attaque »...
Vol de données, usurpation d’identité
Les hackers plébiscitent l’exploitation de failles du système informatique ou encore, les messageries électroniques. Le risque ? Le vol de données sensibles, l’usurpation d’identité… Les dossiers patients « peuvent être rendus inexploitables en étant chiffrés par des pirates informatiques à l’aide d’un rançongiciel » introduit sur un poste de travail, ajoute l’Agence du numérique en santé (ANS) dans un récent mémento (3).
L’accès aux données n’est alors restauré que contre paiement d’une somme d’argent. La technique de l’hameçonnage est également très répandue : par mail, un professionnel ou un particulier est incité, sous prétexte d’un gain, d’une facture non réglée etc., à cliquer sur une pièce-jointe piégée ou sur un lien pour obtenir de lui des renseignements personnels (coordonnées bancaires…).
Une check-list proposée par l’ANS
Sans tomber dans la psychose, il est impératif de respecter quelques règles de base : ne pas ouvrir les mails d’un expéditeur dont on n’est pas certain, éviter les sites de téléchargement, repérer les signes d’une éventuelle infection d’un appareil (ralentissement inexpliqué, redémarrages intempestifs, messages d’erreur étranges)… mais pas que. L’ANS dresse ainsi une « check-list » (3) déclinée en dix items et complétée de précieux conseils : utiliser des mots de passe différents de « minimum 12 caractères de types variés » ainsi qu’un « gestionnaire de mots de passe » pour les conserver facilement et de façon sécurisée, recourir aux messageries sécurisées de santé, n’accéder à des données de patients que depuis un terminal à usage exclusivement professionnel et mis à jour régulièrement (logiciels, pare-feu, antivirus...), sauvegarder fréquemment l’ensemble de ses données…
En annexe du mémento, une « fiche réflexe en cas d’incident » ainsi qu’un « questionnaire fournisseur » à faire remplir et signer par celui-ci sont proposés. « Mettre en oeuvre les principes du guide, et le faire correctement, permet d’assurer aussi bien la sécurité des données que leur disponibilité – enjeu crucial tant notre plateau technique est numérisé », rappelle l’Ordre dans sa Lettre n° 196.
Notes
(1) Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur de la santé. (2) « Les cybercriminels s’attaquent aux professionnels de santé », sur macsf.fr, rubrique « Actualités ». (3) « Mémento de sécurité informatique pour les professionnels de santé en exercice libéral », ANS, Novembre 2021, sur esante.gouv.fr.