Les pirates informatiques sont de plus en plus doués pour « craquer » les logiciels et n’hésitent plus à s’attaquer aux cabinets médicaux. La solidité des logiciels Ségur permet d’éviter beaucoup de ces attaques, à condition toutefois d’adopter des bonnes pratiques. D’autres solutions peuvent également être intéressantes pour éviter le vol ou la falsification des éléments les plus précieux : les données de santé.
Quels risques cyber peuvent concerner le cabinet médical ?
Lorsqu’un établissement ou un cabinet fait l’objet d’une attaque, comme par exemple, une tentative d’hameçonnage, le premier risque concerne les données du cabinet. Et c’est de loin le plus important car celles-ci peuvent être falsifiées, volées voire revendues sur ce qu’on appelle le darknet. Car, si elles ne valent rien en elles-mêmes, des données telles qu’un nom et une adresse peuvent suffire à un fraudeur pour usurper l’identité numérique d’une personne et accéder à son compte bancaire. Le deuxième risque qui guette le médecin libéral est le chantage monétaire. L’attaque se déroule alors via un rançongiciel. Il va s’installer sur votre PC via un mail ou une pièce jointe et perturber ou bloquer son fonctionnement. Celui qui a mené l’attaque va la revendiquer et vous réclamer une certaine somme en échange d’un retour au fonctionnement normal de votre installation. Ce risque est fréquent et continue à progresser régulièrement selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI). En 2023, les TPE/PME/ETI représentent 34% de ce type d’attaque et les établissements de santé 10%. Enfin, le troisième risque, dont vous pouvez ne pas vous rendre compte immédiatement, est l’utilisation de votre PC pour viser une autre cible. A travers votre installation, le hacker peut viser un hôpital par exemple.
Quelles conséquences pour le médecin d’une attaque cyber ?
Votre responsabilité est engagée dès lors que l’attaque a un impact sur les données traitées par vos soins. En effet, depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, les professionnels de santé sont responsables des informations personnelles de leurs patients. Les données d’identité, les données de santé, les données de vie – tout ce que vous avez comme informations sur vos patients – doivent donc être sécurisées par vos soins. De même toutes les informations qui transitent par votre système informatique peuvent engager votre responsabilité en cas de manquement à l’obligation de sécurité. Et ce n’est pas anodin, car des sanctions existent. Ainsi, la commission nationale informatique et liberté peut, si un manquement à vos obligations de sécuriser les données est constaté, vous infliger une amende administrative pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de votre société. Cette décision pouvant être rendue publiquement. Votre responsabilité peut être également engagée pénalement avec des sanctions financières pouvant atteindre 300 000 € et jusqu’à 5 ans d’emprisonnement. Pour vous aider à comprendre ce cadre légal et règlementaire, l’Ordre des médecins et la CNIL ont élaboré un guide que nous vous incitons à consulter. Au-delà des questions de responsabilité, une intrusion d’un hacker sur votre installation peut avoir des conséquences très immédiates pour votre cabinet. Toute votre informatique peut se retrouver bloquée pendant plusieurs jours ou semaines, ce qui aura évidemment des répercussions sur l’organisation de vos consultations mais aussi impacter la télétransmission et donc, in fine, vos revenus. Et c’est sans compter l’atteinte réputationnelle et le risque pour les patients. Cependant, pas besoin de vous inquiéter outre mesure : des solutions existent.
Des bonnes pratiques pour réduire le risque
D’abord et comme toujours, il vaut mieux prévenir que guérir. Et réduire le risque cyber passe d’abord par l’adoption de bonnes pratiques. Et en particulier, par celles qui relèvent du bon sens comme avoir un mot de passe personnel, unique et suffisamment complexe pour être difficile à trouver. Ne pas ouvrir un email ou une pièce jointe suspects, ne pas stocker de données sur une clé USB ou sur son téléphone portable ou encore mettre à jour régulièrement ses logiciels et son PC font partie des règles de base que vous connaissez et qui sécurisent l’environnement digital du cabinet. Viennent ensuite les pratiques vertueuses impulsées et encouragées via le Ségur : l’utilisation de la MSSanté ou d’une messagerie instantanée sécurisée de préférence, plutôt que Whatsapp, le dépôt des informations de santé sur le DMP plutôt qu’envoyés par mail par exemple et bien sûr l’adoption d’un logiciel référencé Ségur.
Tabler sur le bon matériel et s’appuyer sur des compétences extérieures
Les bonnes pratiques installées, il est tout aussi fondamental de prendre grand soin de son équipement. Votre PC et son accès Internet constituent le point d’entrée pour les cyberattaques. Mettre à jour régulièrement ses fonctionnalités est la règle numéro un. Il convient également de le doter de pare-feux et autres protections anti-virus. Car les cyberattaques sont souvent sournoises et difficiles à détecter. Le plus souvent lorsque vous allez vous rendre compte d’un problème, l’attaque sera déjà en cours depuis un certain temps. Il est donc très important de se doter des bons outils et, surtout, d’un bon partenaire informatique, capable de vous aider à traiter les risques dès leur identification. C’est tout l’objet du service de cybersécurité inclus dans tous les logiciels et solutions de Cegedim Santé. Il se base sur une supervision informatique constante de votre matériel. Cette surveillance va permettre de détecter et de bloquer à distance les anomalies et de corriger en temps réel les failles de sécurité diagnostiquées. Et ceci sans que vous en ayez conscience : de quoi avoir l’esprit – un peu – plus tranquille ! A cela s’ajoute une protection informatique avancée de vos données. Pour compléter le dispositif, le contrat de Cegedim Santé vous donne accès à l’assistance d’une équipe d’experts en cybersécurité, disponibles 5j/7 au téléphone et directement à votre cabinet si nécessaire. Vous pourrez les solliciter en cas de doute et ils pourront agir avec vous en direct. Avec ce double niveau de mesures de protection – informatique et humaine – votre risque cyber sera entre de bonnes mains !
