Les cyber-risques pour les cliniques : un danger sous-estimé

Les cyber risques pour les particuliers est un danger sous-estimé car la sécurité des données est essentielle. Si les entreprises l’ont reconnu, les cliniques ne protègent pas suffisamment leurs réseaux contre les cyberattaques. Le danger potentiel est généralement sous-estimé.

Les installations contenant des données personnelles 

Les attentats de la clinique Arnsberg et de l’hôpital Lukas à Neuss l’ont notamment déjà montré : Le système de santé peut également devenir le point de mire de la cybercriminalité. Toutefois, ce ne sont pas seulement les grands hôpitaux, mais aussi les petits et moyens cabinets qui courent un risque élevé de devenir victimes de la cybercriminalité. Cela n’est pas surprenant, car deux groupes sont particulièrement touchés, à savoir :

  • Les entreprises qui travaillent avec un grand nombre de données à caractère personnel et dans lesquelles la confiance des clients et la réputation jouent un rôle majeur dans la vie quotidienne
  • Les petites et moyennes entreprises qui ne peuvent pas se protéger suffisamment contre les attaques en raison de leur taille et de leurs restrictions budgétaires – les pratiques médicales relèvent souvent des deux catégories.

La criminalité sur le réseau peut, dans certaines circonstances, entraîner la défaillance de l’ensemble de l’infrastructure informatique, avec des conséquences pour la sécurité des patients et le risque de dommages aux biens, à la réputation ou même aux personnes. En outre, les cabinets médicaux sont également exposés au risque de responsabilité, qui est plus sévère dans le cadre du DSGVO, résultant d’une violation de la protection des données. Par exemple, en vertu de la DSGVO, les médecins sont légalement tenus de signaler immédiatement à l’autorité de contrôle compétente toute attaque de pirates informatiques au cours de laquelle des tiers accèdent sans autorisation aux données des patients.

En fonction du risque que la violation de la protection des données fait courir à la personne concernée, tous les patients doivent également être informés immédiatement de l’incident. Mais bien que les cabinets médicaux et les cliniques soient particulièrement exposés à la cybercriminalité, les résultats d’une étude récente montrent maintenant que presque tous les médecins en pratique privée interrogés continuent de sous-estimer les risques et ont un certain retard à rattraper en matière de sécurité informatique.

Les causes et conséquences des intrusions de logiciels malveillants dans un PC

Les raisons du nombre élevé d’attaques sont principalement dues aux nouvelles formes d’attaques. Bien que le danger dans le réseau vienne de l’extérieur, la plus grande faiblesse se situe devant l’ordinateur – l’utilisateur lui-même. De nos jours, la plupart des attaques contre les petites entreprises sont menées par le biais de l’hameçonnage (phishing), de l’ingénierie sociale et, par exemple, de pièces jointes à des courriels déguisés en demandes d’emploi.

Dans un cas typique, l’assistant d’un médecin ouvre un e-mail avec pour objet “Demande non sollicitée” et le fichier joint active un cheval de Troie qui a été introduit clandestinement, qui entre ensuite dans le système informatique interne. Le logiciel malveillant démarre alors au niveau du système d’exploitation, mais ne modifie pas l’interface utilisateur avant d’avoir pleinement accès à l’ordinateur ou à l’ensemble du réseau. La plupart sont programmés pour collecter des données sur l’ordinateur infecté. Les chevaux de Troie dits de chantage sont particulièrement perfides, en paralysant tout le système et ne libèrent les données que contre paiement. Par crainte d’une perte totale de données, mais aussi par manque d’alternatives évidentes, de nombreuses personnes touchées paient encore volontiers les sommes exigées, même si les experts le déconseillent clairement.

Mais même sans rançon, une attaque génère rapidement des coûts élevés. En effet, la restauration des logiciels et des données peut prendre plusieurs jours. Pendant cette période, le fonctionnement normal est généralement impossible et les dommages peuvent rapidement s’accumuler pour atteindre des montants importants. Afin de libérer les systèmes informatiques concernés des logiciels malveillants, il faut faire appel à des spécialistes de la police scientifique des technologies de l’information. Si l’attaque a lieu à la fin du trimestre, cela peut entraîner des retards dans le règlement des CT ou des goulots d’étranglement dans les liquidités. En outre, il existe des risques financiers incalculables liés à la responsabilité à l’égard de tiers, tels que les patients dont les données ont été exposées à un accès non autorisé. Dans ce cas, il est également nécessaire de consulter un avocat spécialisé dans le droit de la protection des données.

Une source de danger pour toutes personnes

Une lacune de sécurité souvent sous-estimée est le personnel. Pour le clore, il faut tout d’abord être ouvert et prêter attention au thème de la cybercriminalité. D’après les analyses, les participants du secteur de la santé ne sont toujours pas conscients de leur risque accru. Par exemple, seulement un tiers des personnes interrogées avait entendu parler de cyberattaques contre des collègues. Il est essentiel que tous les employés en prennent conscience. Ils doivent être sensibilisés aux risques résultant de la navigation privée sur Internet ou de l’utilisation des médias sociaux au travail, par exemple. Après tout, des employés bien formés sont l’une des composantes essentielles d’un concept global de cybersécurité.

Comment protéger correctement un cabinet medical?

Afin d’établir la protection la plus efficace possible pour un cabinet médical, la sauvegarde technique du propre système informatique du cabinet à l’aide de logiciels de sécurité et de mises à jour régulières du système reste le moyen de choix. Les sauvegardes régulières de données sont également élémentaires et souvent négligées, mais près d’un tiers des entreprises interrogées dans le cadre de l’étude ne disposent pas de sauvegardes régulières des données, ce qui peut rapidement entraîner des pertes de données irréparables en cas d’attaque. Afin de combler les lacunes en matière de sécurité “humaine”, le personnel des cabinets et des cliniques doit être impérativement sensibilisé et formé.