Un cabinet médical travaille avec des données de patients sensibles. D’un autre côté, rares sont les médecins qui possèdent les connaissances nécessaires pour protéger l’informatique de leur cabinet contre les cyber-attaques externes. Cela peut coûter cher à bien des égards. Et ceux qui pensent que le danger ne concerne que les grands hôpitaux et les centres, alors que les “petits” praticiens ne sont pas intéressants pour les pirates, sous-estiment le mode opératoire des criminels.
Si vous n’avez pas encore été victime d’une attaque de ransomware, réjouissez-vous, mais ne soyez pas à l’abri. Car tôt ou tard, il est fort probable que chaque propriétaire de cabinet médical soit touché. Un ransomware est un logiciel malveillant qui sert à infiltrer des données ou des infrastructures informatiques entières, à voler des données, à les crypter partiellement ou totalement et à en empêcher ainsi l’accès (aperçu 1).
Selon le rapport sur les ransomwares publié chaque année par Sophos, fournisseur mondial de solutions de sécurité informatique, environ 60% des entreprises du secteur de la santé ont été touchées par des attaques de ransomwares en 2023. La raison en est probablement “l’obsolescence des technologies et des contrôles d’infrastructure”, comme le souligne le rapport : ainsi, il est probablement “plus difficile pour les entreprises de sécuriser les équipements, de limiter les mouvements latéraux et d’empêcher la propagation des attaques”. En revanche, dans le secteur de l’informatique, de la technologie et des télécommunications, le pourcentage d’appareils concernés n’était que de 33%.
L’objectif est clair : le déblocage des données n’est possible que contre le paiement d’une rançon. Selon Sophos, le montant moyen des rançons versées s’élevait à 1 470 000 dollars. Les sommes parfois exorbitantes demandées ne sont toutefois qu’un aspect du problème. Avant d’en arriver là, le propriétaire du cabinet est d’abord confronté au défi de maintenir son activité – et donc ses moyens de subsistance. À l’heure de la numérisation, les professionnels de la santé sont eux aussi très dépendants de l’informatique de leur cabinet : sans accès à celle-ci, il est impossible de consulter les dossiers des patients, d’établir des ordonnances ou d’accéder aux radiographies ou aux IRM. En bref, les patients ne peuvent plus être traités.
Double danger avec la menace de publication
Il existe généralement une protection relativement simple contre la perte de données en créant des sauvegardes. Les systèmes informatiques modernes effectuent cette opération automatiquement, sans que le propriétaire du cabinet ne doive intervenir activement. Il est ainsi possible de restaurer rapidement les données et de minimiser les perturbations de l’activité. Mais si vous pensez que cela suffit à empêcher les cybercriminels de vous atteindre, vous vous trompez : Il est possible d’accéder à nouveau aux données grâce à la sauvegarde, mais cela ne change rien au fait que les pirates sont toujours en possession de ces mêmes données. Leur prochaine étape : un double chantage, non seulement en demandant une rançon, mais aussi en menaçant de publier les données du patient sur Internet.
Avec une telle menace, l’enjeu pour un médecin est bien plus important que la simple perte financière liée au paiement d’une rançon. Lorsque des données sensibles de patients sont volées et se retrouvent librement accessibles sur Internet, cela signifie en premier lieu une immense perte de confiance vis-à-vis des patients concernés – sans parler de l’atteinte à long terme à l’image du cabinet et des éventuelles conséquences juridiques. Les personnes qui ne sont pas inquiétées par la paralysie de leur système informatique envisageront, au plus tard à ce stade, de payer plutôt que de subir des dommages encore plus importants.
La panique s’empare souvent des propriétaires de cabinets médicaux, qui sont bien évidemment dépassés par la situation. De plus, dans de tels cas, ils continuent souvent à essayer de résoudre le problème seuls, sans demander l’aide d’un professionnel. Le rapport de Sophos a révélé que les entreprises touchées ne payaient que rarement la somme initialement demandée par les attaquants. Dans le secteur de la santé, la somme payée était dans 57 % des cas supérieure à la demande initiale des maîtres chanteurs – ce qui témoigne en fin de compte de l’impuissance avec laquelle les victimes font face aux cyber-attaquants.
Les cabinets médicaux aussi touchés que les grands hôpitaux
Mais comment un propriétaire de cabinet médical se retrouve-t-il dans le collimateur des pirates ? En fait, il est très rare qu’ils soient ciblés. Au lieu de cela, les cybercriminels travaillent selon le principe de l’arrosoir : ils attaquent le plus grand nombre possible de cibles au hasard et quelques-unes d’entre elles finissent par mordre à l’hameçon.
Les logiciels malveillants sont spécialement programmés pour les logiciels fréquemment utilisés par les entreprises. Les cibles des criminels sont aléatoires. Les grandes entreprises et les hôpitaux universitaires qui ont été victimes de cyber-attaques ces dernières années l’ont été uniquement parce qu’ils utilisaient un logiciel spécifique.
C’est pourquoi aucun propriétaire de cabinet médical ne devrait se bercer de la certitude trompeuse que son petit cabinet individuel n’est pas du tout intéressant par rapport aux grands hôpitaux. Les grandes structures informatiques telles que les hôpitaux sont plus susceptibles d’être attaquées de manière ciblée, mais elles sont généralement aussi beaucoup plus coûteuses et mieux protégées. Les pirates se tournent donc de plus en plus vers les petites et moyennes entreprises, dont les mécanismes de protection ne sont pas aussi efficaces et peuvent offrir des failles.
Le facteur de risque humain
Peu importe combien vous avez investi dans un pare-feu, un antivirus et autres, le plus grand danger pour un système informatique provient toujours des médecins et des collaborateurs du cabinet médical eux-mêmes. Il suffit d’un simple clic sur une pièce jointe ou un lien inconnu pour que le logiciel malveillant se charge sur l’ordinateur, siphonne les données du système, parfois pendant des semaines, jusqu’à ce qu’il ferme les portes et ne permette plus aucun accès.
Une nouvelle dimension des cyberattaques est en outre atteinte avec le développement constant de l’intelligence artificielle : les images, les courriers électroniques et même les clips vidéo générés par l’IA sont si factices qu’il est de plus en plus difficile pour un médecin ou une assistante médicale de reconnaître la tentative d’escroquerie dans le stress quotidien du cabinet. Des perspectives peu réjouissantes !
| série medizinonline “Danger sur Internet” La série “Danger sur Internet” présente en trois parties les menaces et les conséquences possibles des cyber-attaques ainsi que les mesures de prévention. Dans le prochain numéro du Cabinet du médecin de famille, vous pourrez lire dans la deuxième partie la meilleure façon de procéder si votre système informatique a été piraté : Faut-il payer ou non en cas de demande de rançon ? Vous apprendrez également comment récupérer vos données, quelles sont les possibilités juridiques et comment faire face à vos patients en ce qui concerne la perte de confiance et les éventuelles demandes de dommages et intérêts. |
Mais comment se protéger en tant que cabinet ? Tout d’abord, il est possible de minimiser les risques en sensibilisant l’ensemble de l’équipe du cabinet. Des formations spéciales ou des ateliers sont appropriés pour attirer l’attention sur les dangers potentiels. Si un membre du personnel n’est pas sûr d’avoir commis une erreur et d’avoir ouvert la porte à un logiciel malveillant, il convient d’aborder la question ouvertement et sans se rejeter la faute. Une prudence particulière s’impose lorsque, par exemple, un lien a été cliqué mais qu’aucune page ne s’est ouverte, ou lorsque l’ordinateur devient très lent pour des raisons non évidentes. Pour plus de sécurité, il est conseillé de contacter le prestataire de services informatiques dès l’apparition de ces signes afin qu’il puisse procéder à une vérification plus approfondie. En effet, aussi qualifié et expérimenté que soit le professionnel de la santé dans son domaine, un profane est perdant dans la lutte contre les pirates informatiques.
HAUSARZT PRAXIS 2024 ; 19(10) : 42–43 (publié le 17.10.24, ahead of print)
InFo ONKOLOGIE & HÄMATOLOGIE 2024 ; 12(5) : 34–35
