Les cybercriminels s'attaquent aux professionnels de santé

Le 15.06.2020
Partager sur Facebook Partager sur Twitter Partager sur LinkedIn

Attention, danger ! Les hackers n'hésitent plus désormais à viser les cabinets médicaux et les centres hospitaliers. Leur but ? Dérober les précieuses données médicales pour les revendre, et par la même occasion, vous extorquer de l'argent...Découvrez notre vidéo sur les cyber-risques ainsi que notre quiz sur les bonnes pratiques à adopter.

Cyber-risques et professionnels de santé : attention danger !

Risques numériques : tous concernés par les cybermenaces !

Espionnage économique, fraude, demande de rançon, utilisation de données confidentielles… Les entreprises françaises font désormais l’objet d’attaques informatiques répétées. De nouveaux logiciels malveillants apparaissent tous les jours. En 2018, les cyberincidents ont augmenté de 25% dans les grandes entreprises et huit entreprises sur dix ont été touchées.

Désormais, les cybermenaces se propagent aux plus petites structures. En effet, 42% des PME ont déjà subi une ou plusieurs attaques informatiques et parmi elles, de nombreux établissements médicaux. Trop souvent sous-estimée par les professionnels de santé, la menace est pourtant bien réelle. « Aujourd’hui, pour les hackers, il est beaucoup plus facile d’infecter 1000 petites structures qu’un seul grand groupe », décrit Aurore Vasseur, responsable des partenariats MACSF.

Tous les établissements de santé sont donc, à présent, dans le viseur de réseaux criminels toujours plus organisés. Le développement des objets connectés dans différentes spécialités comme la cardiologie, la réanimation, ou encore la néphrologie, et la méconnaissance des moyens à allouer à la sécurité informatique, font des professionnels de santé des proies faciles.

Des hôpitaux et des cabinets médicaux attaqués

En mai 2019, des cybercriminels lancent une attaque de grande ampleur aux Etats-Unis. Grâce au phishing, technique de piratage destinée à récupérer des informations personnelles, ils parviennent à voler 129 000 dossiers médicaux à un hôpital du Montana, exposant les patients à l’usurpation d’identité et à la fraude.

En France, de nombreux établissements de santé ont été la cible de rançongiciels, ces virus informatiques qui cryptent les données et exigent une rançon pour leur restitution. Parmi eux, 120 cliniques du groupe Ramsay, le CHU de Rouen, de Saint-Denis et de Montpellier, ou encore le centre hospitalier d’Issoudun. Résultat, des établissements paralysés par un logiciel malveillant plusieurs heures, voire plusieurs jours, et des professionnels de santé contraints à revenir au papier et au stylo pour des tâches habituellement informatisées, comme la gestion des plannings ou les prescriptions.

La tendance, déjà marquée, s'est encore accentuée pendant la crise du coronavirus, sur laquelle les hackers ont su capitaliser. Dimanche 22 mars 2020, l'assistance publique-Hôpitaux de Paris (AP-HP) a été victime d'une cyberattaque par déni de services (DDos). Brutalement surchargés de requêtes inutiles, une partie des serveurs informatiques ont été noyés et rendus inaccessibles. Pendant une heure, l'AP-HP a dû couper l'accès aux mails et aux outils à distance pour ses salariés en télétravail. Une semaine plus tôt, l'hôpital de Brno, second plus grand centre de soins de République tchèque et lieu de tests au coronavirus avait été conduit à éteindre tous ses ordinateurs et à reporter plusieurs opérations chirurgicales. Aux Etats-Unis, c'est le site du département de la santé qui a été lui aussi rendu inaccessible par une attaque DDos, le 16 mars...

Secrétaire dans un cabinet médical de l’ouest de la France, Émilie se souvient du jour où une cyberattaque a atteint son petit établissement de santé : « L’une de mes collaboratrices a reçu un message étrange sur son écran. Elle a immédiatement appelé le service informatique, qui lui a dit de tout éteindre. Nous n’avons pu réutiliser nos ordinateurs que quarante-huit heures plus tard ». Une situation critique qui a obligé le cabinet médical à embaucher temporairement une personne supplémentaire, le temps d’absorber le surplus de travail pour réintégrer les données en informatique après la neutralisation du virus et la résolution de l’attaque.

Gestion des risques numériques : un enjeu majeur

Outre la paralysie du système informatique qui entraîne un blocage de l’activité et des pertes financières, les cyberattaques exposent les professionnels de santé à un autre risque majeur : la modification ou la perte de confidentialité des données médicales, strictement personnelles et à forte valeur.

Mais au-delà du simple impact technique ou financier, des conséquences en termes d’image et de crédibilité sont également à craindre. Une cyberattaque peut nuire à la réputation du cabinet et engendrer une perte de confiance de la patientèle. De plus, si les dossiers médicaux ont été divulgués, il peut également y avoir des conséquences juridiques puisque les patients ont le droit d’exiger des dommages et intérêts.

Pour minimiser les risques de cyberattaque et leurs conséquences, les professionnels de santé doivent aujourd’hui redoubler de vigilance à tous les niveaux. Parmi les bons réflexes à adopter, vérifier que son contrat multirisque professionnel couvre les cyber-risques et augmenter son niveau de garantie, le cas échéant.

Avec le RGPD, votre responsabilité est doublement engagée

Pour les professionnels de santé et leurs collaborateurs, des mesures de sécurité incomplètes ou inadaptées sont des manquements au RGPD (Règlement général sur la protection des données) et donc entraînent des sanctions financières par la CNIL : entré en vigueur le 25 mai 2018, le RGPD renforce la responsabilité des organismes de santé.

La toute première amende post-RGPD a d’ailleurs concerné un hôpital européen. Courant 2018, l’établissement portugais Barreiro-Montijo a été condamné à une amende de 400 000 euros pour violation des principes d’intégrité, de confidentialité et de minimisation des données.

Afin de structurer leurs systèmes d’information et garantir en permanence un haut niveau de protection des données, la CNIL a édité aux côtés du Conseil de l’Ordre des Médecins un guide pratique à destination des professionnels de santé. Ce document très complet vise à les orienter et à leur permettre d’adopter les bons réflexes, au quotidien. Ces réflexes doivent être connus et adoptés par tous les intervenants de l’équipe médicale.

A lire également, le mémento de cybersécurité à l’usage des directeurs d’établissements de santé, édité par le ministère des Solidarités et de la Santé . Rendez-vous enfin sur le site du CNOM et de la CNIL, pour des conseils pratiques vous permettant de renforcer encore davantage la protection de vos données médicales.

Quelles protections contre les cyber-risques ? 

Pour vous protéger contre les cyber-risques et leurs conséquences sur votre activité professionnelle, nous vous conseillons : 

Partager sur Facebook Partager sur Twitter Partager sur LinkedIn
La solution MACSF
Assurance cyber-risques

Protégez votre activité des conséquences d’une cyberattaque (compromission des données, demande de rançon, interruption d’activité…)

La communauté MACSF

Un forum avec plus de 500 000 professionnels de santé prêts à échanger sur vos pratiques professionnelles, votre mode d’exercice ou votre matériel…

Solliciter la communauté

L'application MACSF

Accédez à votre espace personnel et toutes ses fonctionnalités sur votre mobile !

Les newsletters

Recevez toute l’actualité sur votre profession/spécialité ainsi que nos offres dédiées.

S'abonner

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour une navigation optimale et bénéficier de contenus et services adaptés.

×