Protégez votre cabinet médical des hackeurs
Protégez votre cabinet médical des hackeurs
Veiller à la protection des personnes contre les virus et autres maladies constitue le quotidien des cabinets médicaux. Mais bien souvent, les hackeurs diffusent délibérément des virus informatiques qui deviennent alors une menace d’une toute autre nature pour les établissements de santé et leurs patients.
Les dossiers médicaux électroniques comprennent une multitude d’informations d’une valeur inestimable. Les escrocs en tout genre le savent bien et c’est pour cette raison qu’ils ciblent les cabinets médicaux privés, les cliniques et les systèmes de santé, et ce, quelle que soit la taille de l’établissement. En volant ces précieuses données, les hackeurs peuvent recueillir les données financières des patients, y compris les numéros de leurs cartes de paiement et de leurs comptes bancaires, mais aussi leurs numéros de sécurité sociale, les noms de certains des membres de leur famille, leurs adresses et, bien entendu, des informations sensibles concernant leur état de santé.
Les informations provenant de dossiers médicaux peuvent rapporter aux hackeurs jusqu’à 10 fois plus que des numéros de cartes bancaires volés. Trustwave, une entreprise spécialisée dans la cybersécurité, a estimé que la valeur au marché noir des dossiers médicaux pouvait atteindre 250 € par dossier, alors que les numéros de cartes bancaires se vendent à 5 € par carte environ sur le « dark web ».
Selon le département de la Santé et des Services sociaux des États-Unis, les menaces qui pèsent sur la cybersécurité dans le secteur de la santé proviennent généralement des types d’attaques suivants :
• Malware : il s’agit d’un logiciel malveillant composé de virus ou de codes dangereux qui ont été spécialement pensés pour perturber, causer des dégâts ou accéder sans autorisation à un système informatique.
• Hameçonnage (ou « phishing ») : il s’agit de l’envoi d’e-mails en masse, sans cibler de destinataires particuliers, dont le principe est de toucher le plus grand nombre de personnes pour leur demander de fournir des informations sensibles ou les inciter à se rendre sur de faux sites Web.
• Rançongiciel (ou « ransomware ») : il s’agit d’une cyberattaque visant à bloquer toute utilisation de vos données et de vos systèmes informatiques jusqu’au paiement d’une rançon.
Dans quelle mesure les violations de la cybersécurité sont-elles courantes ?
Selon les services de l’Administration pour la préparation et la réponse stratégiques du gouvernement américain :
• Quatre médecins sur cinq aux États-Unis ont fait l’expérience d’une forme de cyberattaque
• 5 150 violations de données de santé provenant de 500 dossiers médicaux ou plus ont eu lieu au cours des 13 dernières années
• 382 262 109 dossiers médicaux ont été exposés à de telles violations de données
• En 2022, 700 violations de données provenant de 500 dossiers médicaux ou plus ont eu lieu au sein d’établissements de santé
Ce dernier chiffre ne vous semble peut-être pas astronomique, mais les chiffres et autres statistiques n’auront plus d’importance si les hackeurs parviennent à atteindre votre cabinet ou votre système de santé. Il en va de votre responsabilité, non seulement de traiter vos patients, mais aussi de protéger leurs données sensibles et dossiers médicaux. D’ailleurs, vous devriez considérer la cybersécurité comme un prolongement de la sécurité de vos patients. Ce point est d’autant plus important que les hackeurs sont capables d’accéder aux logiciels qui contrôlent certains dispositifs médicaux tels que des pacemakers ou des pompes à perfusion.
Investissez dans une police d’assurance spécialement pensée pour la cybersécurité
Votre modèle économique et votre budget devraient toujours inclure une assurance spécialisée dans la cybersécurité qui sera en mesure de couvrir votre responsabilité en cas de violations des données impliquant des informations sensibles relatives à vos patients. Les fraudes commises en ligne peuvent engendrer d’énormes coûts pour votre cabinet sous forme de pénalités, d’audits, de contentieux, mais peuvent aussi avoir des répercussions sur l’exercice de votre activité et entamer votre réputation. En outre, les hackeurs peuvent réclamer des rançons considérables.
Les coûts de rétablissement suite à une violation des données de santé sont presque trois fois supérieurs à ceux engendrés dans d’autres secteurs. Ils atteignent en moyenne 408 € pour chaque dossier médical volé, contre 148 € pour tout autre type d’informations volées qui ne sont pas d’ordre médical.
Une assurance spécialisée dans la cybersécurité vous permettra de faire tout ce qui suit :
• Informer vos patients de la survenue d’une violation de leurs données
• Obtenir des services juridiques en cas de poursuites engagées sur des questions de vie privée
• Compenser toute perte de revenus d’activité engendrée par une violation des données
• Récupérer les données compromises
• Réparer les systèmes informatiques endommagés
• Restaurer les identités personnelles des patients concernés
Selon une étude menée par AdvisorSmith qui a recueilli les devis, les prévisions et les déclarations de taux provenant de plus de 43 compagnies d’assurance réparties à travers les États-Unis, les primes des assurances spécialisées dans la cybersécurité oscillent entrent 650 € et 2 357 € par mois pour les entreprises dont les risques sont considérés comme modérés.
Par conséquent, veiller à la protection des dossiers médicaux de vos patients ne signifie pas seulement les prémunir contre des conséquences graves. Vous protégez aussi votre cabinet médical en vous épargnant toute perte de temps, tout stress, toute pénalité financière et tout risque d’atteinte à votre réputation.
Externalisez vos besoins en matière d’informatique
Votre spécialisation concerne la santé, et non pas la technologie ou l’informatique. Alors, tout particulièrement si votre cabinet médical est de taille modeste, il est dans votre meilleur intérêt d’externaliser vos besoins en matière d’informatique. Commencez par une simple recherche Internet pour trouver des services de cybersécurité consacrés à la santé et servez-vous du guide fourni par le département de la Santé et des Services sociaux des États-Unis pour déterminer vos besoins.
Créez un plan de réponse aux incidents
Votre partenaire informatique peut vous aider à élaborer un plan de réponse aux incidents et mettre en relief les étapes à suivre en cas de violation des données en ligne. Même si vous ne faites pas appel à un conseiller en informatique, élaborez votre propre plan de réponse aux incidents afin que votre cabinet soit préparé à cette éventualité.
Il est probable que les employés qui ne sont pas souvent confrontés à des cyberattaques ne se souviennent pas de la marche à suivre dans une telle situation, et il en va de même pour l’équipe de direction. C’est pourquoi le fait de disposer d’un plan de réponse prévu à l’avance vous garantira que chacun saura comment réagir.
Dans le cadre de ce plan, vous devriez aussi désigner une personne chargée de surveiller les problèmes liés à la sécurité informatique. Même si vous disposez d’un conseiller en informatique, il convient d’avoir une personne de confiance parmi les membres de votre équipe qui agira comme point de liaison. Concentrez-vous sur la fonction même que cette personne assumera, de sorte que ce point de liaison disposera d’un niveau d’autorité, de statut et d’indépendance suffisants pour agir efficacement.
Il est également important de limiter l’accès aux logiciels informatiques aux personnes qui en ont besoin. Cette mesure de sécurité réduira considérablement toute exposition à un risque de violations.
Revoyez vos connaissances de base en matière de sécurité
Bien que les termes techniques sont rarement des plus intuitifs, vos employés peuvent revoir votre plan de réponse aux incidents et en tirer quelques notions de base en matière de sécurité. Cette simple mesure peut vous prémunir contre toute personne mal intentionnée qui erre dans le cyberespace.
Votre plan de réponse aux incidents devrait inclure les précautions de sécurité suivantes :
• Encourager le recours à des authentifications multi-facteurs et à des mots de passe complexes : ces mesures de sécurité supplémentaires contribueront à rendre la tâche des hackeurs plus difficile.
• Installer des logiciels antivirus : les hackeurs s’attaquent principalement à des ordinateurs présents dans des bureaux de taille modeste par le biais de virus et autres techniques de codes similaires qui tirent parti de vulnérabilités existantes.
• Tirer profit des pare-feux : ces dispositifs de sécurité surveillent le trafic entrant et sortant du réseau. Ils autorisent ou bloquent tout accès aux données en se basant sur des règles de sécurité.
• Nettoyer les ordinateurs et tout autre appareil : pensez à effacer toutes les données sauvegardées avant de vous débarrasser de vos appareils, que vous prévoyiez de les donner ou les jeter.
• Faire attention avant d’installer un logiciel et se demander s’il est vraiment nécessaire : n’acceptez aucun paramètre par défaut sans effectuer de vérifications préalables. Veillez également à réaliser régulièrement toutes les mises à jour qui vous sont recommandées.
Le fait d’avoir un plan de cybersécurité pensé scrupuleusement devrait être une partie intégrante de votre modèle économique, non seulement pour protéger vos patients, mais également pour protéger l’établissement que vous avez fondé avec tant d’efforts. "