Établissements de santé : comment concilier transformation digitale et cybersécurité

Les hôpitaux, cibles privilégiées des hackers

Alors que l’épidémie de Covid19 était toujours au plus haut et que les établissements de santé occupaient une place centrale dans notre société, les mois de février et d’avril 2021 n’ont pas été de tout repos pour les DSI et RSSI de ces établissements. En effet, nous avons fait face à une augmentation inquiétante et non négligeable des cyberattaques à destination des hôpitaux sur cette période.  

Avec, pendant ce laps de temps, une attaque par semaine recensée auprès des établissements de santé, ces derniers ont donc dû faire face à une pression morale et un stress supplémentaire qui auraient dû être évités.

Et cela, sans évoquer les conséquences de ces attaques. Car oui, même si de nombreux établissements ont un niveau de protection suffisant, une grande partie d’entre eux a malheureusement subi les différents impacts de ces attaques : 

• Ralentissements des services de soins à cause de la paralysie du matériel informatique 
• Pertes de données médicales de nombreux patients 
• Réduction des capacités opérationnelles de l’établissement 
• Difficultés à transmettre des informations entre hôpitaux 
• Voire même, dans certains cas, la mort de patients (exemple : hôpital de Düsseldorf) 
• …   

Précieuse pour notre société et vitale dans des périodes comme celle que nous traversons, l’activité des établissements de santé ne doit être ralentie sous aucun prétexte. C’est pour cela qu’il est primordial de garantir une protection maximale et adaptée à ces établissements ainsi qu’à leurs données. 

Vous souhaitez en savoir plus sur la protection des hôpitaux et sur les menaces informatiques existantes ?

Le SI hospitalier, entre lourd héritage et nouveaux challenges

Une des premières failles de sécurité que l’on peut retrouver chez les établissements de santé, se trouve au sein de leurs systèmes d’informations. En effet, ces derniers peuvent être plus fragiles que ce que l’on peut penser. Ce qui peut s’avérer problématique. 

Ils sont composés, pour la plupart, de plus de 200 applications, et ont donc autant de failles et de vecteurs d’attaques potentiels. Il est essentiel que chacune de ces applications soit sécurisées dans un premier temps, mais cela ne s’arrête pas là. La majorité de ces systèmes sont encore composés en mode « best of breed », c’est-à-dire qu’ils sont concentrés sur un domaine très précis et très technique (celui de la santé). Ajouté à cela, on peut noter l’ancienneté et le manque d’évolution de ces systèmes au fil des années, qui offrent au final une protection pouvant être vite dépassée par des attaques nouvelles ou plus évoluées qu’auparavant.    

Mais alors comment augmenter le niveau de protection de ces systèmes ?   

Dans un premier temps, il est important d’améliorer l’interopérabilité de ces derniers. 

C’est-à-dire de développer la capacité de l’établissement de santé à pouvoir travailler et à échanger des données avec d’autres systèmes informatiques et outils, le tout dans le respect des règles de confidentialité établies. Le but de cela est donc de s’assurer d’un échange et d’une conservation des données de santé dans le cadre d’une paralysie ou d’un vol de données à la suite d’une cyberattaque.    

Deuxièmement, il est très important pour ces établissements de pouvoir mettre en place et encadrer le développement des télé-activités. Car oui, avec la pandémie que nous avons traversée, la notion de télétravail est devenue omniprésente dans notre société et dans le monde professionnel. Et le secteur de la santé n’y échappe pas.  

Ainsi, il va falloir que cette nouvelle pratique puisse être déployée le plus simplement et le plus efficacement possible. Le tout en garantissant aux équipes, mais aussi aux différents patients ayant fourni leurs informations, que tout soit protégé de la meilleure manière qu’il soit.   

Appliqué de manière massive, sans forcément de vraies mesures de sécurité mises en place, le télétravail s’est aussi avéré être une solution risquée tout au long de l’année 2020 et 2021. Entre connexions au Wi-Fi non sécurisé, utilisation de cloud, échanges de données confidentielles par emails ou encore utilisation d’ordinateurs personnels à des fins professionnelles, les failles de sécurité sont nombreuses. Et dans un milieu aussi important que celui de la santé, il faut s’assurer que ces dernières ne puissent en aucun cas être exploitées. 

Vous souhaitez en savoir plus sur les risques informatiques liés au télétravail ? Découvrez notre infographie sur le sujet. 

Placer l’humain au cœur de la sécurité ou comment conduire le changement

Bien que la cybersécurité soit liée à de nombreux termes techniques et technologiques, il ne faut pas oublier un facteur très important de ce domaine : l’humain !  

Car oui, les équipes qui composent les établissements de santé ont aussi un rôle à jouer dans la protection des données, et il est désormais l’heure d’en prendre conscience.    

Malgré le contexte délicat et les multiples conséquences de ce dernier, il est important d’en tirer des leçons et de conduire à un changement. DSI, RSI, DG ou encore DPO se doivent d’être au courant des véritables enjeux cyber existants et d’impliquer chaque membre de leur structure dans leurs démarches de protection.

Bien que l’accompagnement IT et la protection numérique doivent aussi être renforcés et consolidés sur le long terme, il faut désormais intégrer la sécurité informatique dans son ensemble. 

Vous souhaitez en savoir plus sur la cybersécurité à 360 ° et sur la responsabilité de vos équipes dans la lutte contre la cybercriminalité ? Mailinblack vous explique tout en vidéo 😉  

Le levier de la micro-éducation

Les vertus et avantages du micro-apprentissage ne sont plus à prouver ! Et c’est ce que nous croyons chez Mailinblack. C’est donc dans cette optique de démocratisation de ce type d’éducation que nous avons pensé et conçu notre dernière solution : Cyber Coach (anciennement Phishing Coach). Visant à former vos utilisateurs aux attaques de phishing et à ses différentes conséquences, cette solution vous permet de :    

• Simuler en interne des attaques d’hameçonnage personnalisées 
• Obtenir des résultats détaillés sur les réactions de vos équipes 
• Former vos collaborateurs avec des contenus de formation personnalisés et adaptés à tout type de profil et tout niveau de compétences 

Et parce que nous savons que la compréhension et l’enseignement doivent se faire en fonction du niveau de chacun, nous avons développé nos contenus de formation de manière à ce que chaque collaborateur puisse évoluer à son rythme et devenir, petit à petit, un acteur à part entière de votre sécurité informatique. 

Vous souhaitez sensibiliser vos équipes à la thématique du phishing ? Augmenter le niveau de vigilance de vos équipes tout en réduisant votre taux de vulnérabilité ? Alors n’attendez plus et adoptez le réflexe !