La cybersécurité expliquée aux docteurs

Plus on est connecté sur l’espace numérique, plus on entend parler de « Cybersécurité ». De cyberattaques des établissements de santé évoquées dans les médias, avec demande de rançon, blocage de tout l’établissement, et perte de nombreuses données.

Il est temps de cesser d’ignorer ce risque ou de penser que l’on n’en sera jamais victime dans son petit établissement de santé que constitue le cabinet médical solitaire ou de groupe. Avant une attaque informatique, on se demande toujours à quoi sert de se responsabiliser sur le risque des systèmes d’information…

Car à l’heure actuelle, la cybersécurité n’est pas seulement une histoire technique, elle concerne tous les utilisateurs d’informatique. Vous avez un ordinateur ou un réseau informatique, une ou plusieurs adresses de messagerie, un téléphone portable, une tablette, une montre connectée, une télésurveillance connectée et plus encore : des comptes sur différents réseaux sociaux, voir un site internet personnel. ? Si réponse oui à au moins un seul objet ou une seule question : la cybersécurité vous concerne bien.

Et c’est important de penser à l’impact pour votre organisation pro ou perso si un de ces systèmes venait à être piraté ou inutilisable.

Pour autant, cette notion de cybersécurité est si loin de la pratique médicale qu’on ne prend pas le temps de s’y pencher.

Il  est bon de se prémunir des risques numériques les plus courants, et en plus, étonnamment, ce n’est pas si compliqué, il y a quelques gestes d’hygiène numérique pratiques à apprendre et à suivre.

La base de la sécurité informatique est d’avoir conscience que  80% des risques sont liés à l’humain et 90% des risques cyber proviennent d’un mail frauduleux par technique d’hameçonnage (pishiing)

Chacun dans sa petite tête de se dire qu’il ne cèdera pas aux sirènes du mail ou du SMS frauduleux…. Ah bon ?

Exemples de mails sur lesquels vous avez éventuellement déjà cliqué juste pour voir :

  •  l’attrait de la bonne affaire : recevez un nouvel appareil pour 5 euros, il suffit de remplir un formulaire pour le recevoir : cliquez sur le lien suivant
  • La peur de perdre des données, la méconnaissance : votre ordinateur est infecté par un virus. Contactez rapidement les équipes Windows pour une assistance. Désinfection immédiate (appel gratuit.
  • La peur d’être mis en cause dans une affaire judiciaire : vous vous êtes rendu coupable d’un délit pédopornographique et vous allez devoir passer en jugement
  • Le besoin d’avoir des documents à jour : votre carte vitale doit être remise à jour, cliquez sur ce lien.

Ou aux SMS frauduleux qui vous ont fait tiquer :

  • reçu par beaucoup de gens : « Salut maman/papa J’ai perdu mon telephone peux-tu m’envoyer un message sur WhatsApp a ce numéro + 33XXXXXXXXX ? »
  • vous avez une contravention impayée
  • votre règlement Netflix est en retard, connectez-vous pour actualiser votre abonnement
  • nous n’avons pas pu livrer votre paquet, connectez-vous pour donner des directives.

Sachez que la sensibilisation seule ne suffit pas. Elle doit être répétée dans le temps. Voici en exemple, l’histoire de la ville de Vannes. Après sensibilisation des élus et des agents administratifs à déjouer les pièges des mails malveillants, la direction des SI a fait une campagne de faux mails d’hameçonnage, sans en informer les concernés : le taux d’ouverture de ces messages restait encore de l’ordre de 23%. Ce n’est qu’après plusieurs sensibilisations que ce taux est descendu à 6% après un an de campagne d’information

Si actuellement vous n’avez pas vraiment d’idée sur votre niveau de protection contre une attaque cyber : Ne coincez pas sur cette question : en effet, 80 % des cyberattaques pourraient être évitées par l’application de mesures simples et à faible coût 

Car en gros, c’est hélas un peu toujours vous ou une personne de votre équipe qui laisserez une porte ouverte aux virus, en ne sécurisant pas assez les portes d’entrée de votre informatique, que ce soit vos mails, vos logiciels. Ou même parfois en confiant de manière bien involontaire vos données aux pirates ( de faux services techniques par exemple, ce qui se produit actuellement avec les services bancaires)

1)     La plus grande technique d’introduction de virus c’est l’Hameçonnage par un mail ou un message frauduleux (qui peut se mettre en surbrillance sur une page que vous êtes en train de consulter)

  • Par les pièces jointes des mails qui peuvent laisser entrer des logiciels espions (spywares) charger de
    • Piratage de votre logiciel métier avec vol de données
    • De rançogiciel avec blocage des données et demande de rançon
  • Par les liens douteux des mails ayant pour objectif de vous conduire à donner vous-même les informations pour vous infecter, par exemple en vous incitant à contacter des faux services techniques

Ce qui facilite l’hameçonnage : c’est d’avoir un mot de passe (mdp) unique pour tout ou un mot de passe trop simple avec des éléments qu’on retrouve dans vos réseaux sociaux. Le nom de vos enfants, de votre chat, votre date de naissance… .

Il faut sécuriser les mdp +++ pas seulement celui de votre boite de messagerie.

  • MDP différents sur chaque site
    • Mdp différents pour les services personnels et pro
    • Ne pas mélanger messagerie perso et pro
  • Mdp solides complexes. Pas avec des noms d’enfants ou votre date de naissance
  • Les mdp ne sont pas stockés dans un cahier, ni dans votre téléphone, mais dans un gestionnaire de mdp
  • Le maximum de connexions doit se faire, si possible, avec une double authentification

Avant de cliquer sur un lien dans un mail, vérifier l’expéditeur : Il est recommandé de

  • ne jamais ouvrir une pièce jointe sans vérifier au préalable l’adresse électronique de l’expéditeur.
  • Ne pas installer des logiciels que l’on vous propose sans que vous ne les ayez demandés

2)     Comme il vaut mieux prévenir mais aussi être capable de guérir, l’important est d’avoir des sauvegardes de ce qui est important, et de ce qu’on ne pourra pas retrouver si on le perd.

Il faut donc sauvegarder ses données régulièrement (une fois par semaine est recommandé)

Soit sur support externe : disque dur, clé USB, DVD. Support qui doit être débranché, sinon en cas de cyberattaque il sera infecté aussi et ne servira pas

Sur un service de stockage en ligne. Mais attention, les sites sont destinés au grand public. Pour des données professionnelles, il existe des solutions spécifique professionnels. Même si c’est payant, il le faut.

3) Il faut faire les mises à jour de sécurité sur tous ses appareils, dès qu’elles sont disponibles.

Mises à jour des systèmes d’exploitation ainsi que des logiciels installés

  • Et pas seulement de son ordinateur : de tous les appareils communicants +++ (ordin, tél mobile, tablette, serveur, objets connectés…) et de tous les composants
    • Le mieux pour ce faire est de les éteindre 2 à 3 fois par semaine. Cela vide la mémoire vive et les clés d’accès stockées dans cette mémoire vive, et permet aux mises à jour de s’installer automatiquement lors de l’allumage.
    • Quand l’ordinateur vous propose la mise à jour, il faut accepter tout de suite, même si cela implique le redémarrage de l’ordinateur. Si elles sont payantes pour les logiciels, il vaut mieux payer….

Car la mise à jour apporte de quoi combler les failles de sécurité qui chaque jour se créent

Mais attention, il ne faut accepter que les maj de l’éditeur ou des sites officiels. Ou mieux, planifier des maj automatiques.

En revanche, il faut être très prudent vis-à-vis des mises à jour proposées par des sites internet. Ce peut être une occasion d’introduire des virus. Les appli doivent être téléchargées uniquement sur les sites officiels.

4) il est bon d’installer un antivirus, qui sera vigilant en plus de vous. Et d’en assurer les mises à jour

Afin de ne pas installer de logiciel ou équipement dont l’origine est douteuse, de surveiller l’entrée potentielle de virus,

5) Quand vous êtes dans une organisation en réseau,

Même avec tous les antivirus du monde, les firewall, les VPN en entreprise, si vous laissez votre ordinateur allumé seul et identifié sous votre nom, n’importe qui pourra utiliser le compte laissé vacant pour accéder aux applications et informations.

On ne laisse pas un ordinateur connecté sur sa session sans surveillance surtout dans une organisation en réseau, surtout en établissement de santé, même pour quelques minutes. Soit on déconnecte la session à son nom, soit on la verrouille. Manip simple : appuyer sur les touches Windows+L

D’autre part, il est évident que tout utilisateur doit avoir une identification  et qu’on ne doit travailler sur un ordinateur du réseau qu’avec sa propre identification, pas avec celle du médecin qui n’a pas fermé la sienne sur la session précédente !

6) Vous avez un portable, une tablette.

Ce sont de véritables petits ordinateurs et il faut maintenant penser à sécuriser tous les appareils mobiles qui contiennent beaucoup de données

  • Code de déblocage et code pins sécurisés
  • Installer les maj dès que proposées
  • Sauvegardes régulières
  • Appli de sites ou magasins officiels
  • Attention aux autorisations données aux appli lors de l’installation. Si doute en installer une autre

    7)   Si par malheur, vous perdez votre  smartphone

    • Essayer de le localiser
    • Changer immédiatement le mdp google
    • Effacer ou sécuriser les données à distance
    • Faire bloquer la ligne par l’opérateur
    • Porter plainte en donnant le numéro IMEI : numéro qu’il faut noter en faisant la manip suivante sur votre téléphone  (avant de le perdre, donc !) *#06#
    • Il faut  choisir chiffrement des données dans les paramètres
    • Eviter les réseaux wifi publics ou inconnus car pas sécurisés

    8) Et enfin, derniers conseils, pour ceux qui fréquentent les réseaux sociaux

    • Mdp spécifiques robustes et différents
    • Double authentification si possible
    • Pas de photo des enfants, jamais : cela ne s’effacera jamais….
    • Ne pas se connecter sur des sites internet avec son compte de réseau social +++ créer un compte dédié pour chaque usage avec son mail et mdp spécifique
    • Vérifier les paramètres de confidentialité et les restreindre car souvent très ouverts par défaut
    • Eviter ordi et wifi publics, et réseaux wifi inconnus

    En cas de connexion a un wifi public

    • Ne pas être en partage de connexion : déconnecter les paramètres de partage
    • Ne pas faire d’opération sensible : le faire en 3 ou 4 G en déconnectant le wifi pour qu’il ne se connecte pas

    En conclusion : Voici donc quelques réflexes assez simples donnés aux médecins par un médecin qui n’en connait guère plus qu’eux..

    Il est clair que l’on n’aimerait pas voir piratées ou perdues toutes les données confidentielles confiées par les patients , les conséquences étant possiblement désastreuses pour eux, mais aussi pour vous !

    En commentaires, racontez si cela vous est déja arrivé, et ce qu’il en est advenu, et aussi complétez mes conseils par d’autres conseils avisés que j’ai probablement oublié de donner ici.

    Référence: le site très bien fait https://www.cybermalveillance.gouv.fr/ et sa formation de sensibilisation SENSCYBER https://www.cybermalveillance.gouv.fr/sens-cyber/apprendre

    Laisser un commentaire

    Un Site WordPress.com.

    Retour en haut ↑