Cybersécurité
Le cryptage des données, l’arme de la première ligne face à la cybercriminalité
L’actualité récente met en lumière le manque de moyens des institutions de soins face à la cybercriminalité. Si le gouvernement fédéral, par l’entremise du ministre de la Santé Frank Vandenbroucke, a dégagé un budget de 20 millions d’euros pour améliorer la cybersécurité et la gestion des risques dans les hôpitaux, la première ligne, elle, reste sans moyens. C’est sans compter sur les logiciels médicaux. Medispring, par exemple, a implémenté un système de cryptage dans son logiciel.
Les acteurs des soins de santé doivent désormais regarder à la sécurité des données. Depuis le cas Vivalia, victime d’une cyberattaque mi-mai dernier, les autorités prennent le problème à bras le corps. Mais si les cibles les plus prisées sont les hôpitaux, les plus petites structures, comme les pratiques groupées et les pratiques solo ne sont pas pour autant immunisées.
Selon le SPF Économie, près d’un quart (21%) des PME belges de petite taille ont déjà rencontré un incident de sécurité informatique ayant provoqué, selon les cas, une indisponibilité des services informatiques (18,9 %), la destruction ou corruption de données (6,2 %) et même la divulgation de données confidentielles (1,7 %). Pour ce qui concerne spécifiquement les micro-entreprises (deux à neuf travailleurs), plus de 10 % d’entre elles ont déjà été confrontées à un incident de sécurité. Près de un sur quatre déclare ne mettre en œuvre aucune sorte de mesures de sécurité numérique. Ces chiffres ne représentent que le sommet de l’iceberg car de nombreuses entreprises ne communiquent pas leurs cyber-incidents.
Les conséquences, pour la première ligne, sont un blocage médical et des amendes parfois très importantes pour les prestataires fautifs car au regard du RGPD, les médecins restent les responsables du traitement des données des patients.
Quelle réponse apporter ?
Afin de répondre à cet impératif de sécurité, Medispring a implémenté un système de cryptage dans son logiciel. « Le cryptage des données est utilisé pour rendre des données non-lisibles par toute personne non-autorisée. Le logiciel de cryptage utilise des calculs et des algorithmes mathématiques pour transformer le texte clair en texte crypté », explique la coopérative de médecins généralistes.
« Chez Medispring, l’intégralité des données médicales est stockée de manière cryptées. Toute personne malveillante qui essaierait d’avoir accès à vos données ne sera pas en mesure de les lire sauf si elle possède vos clés. »
Ces clés sont donc d’une importance capitale. « Le support insiste régulièrement sur la nécessité de garder une copie de ces clés en les téléchargeant dans un endroit sécurisé en dehors du PC utilisé au quotidien », prévient Medispring.
Trois recommandations
La coopérative donne trois recommandations pour mieux protéger ses données.
Premièrement, elle préconise de sauvegarder ses clés privées. « Nous attirons l’attention sur le fait que la sauvegarde de ces clés est primordiale. Ces clés sont indispensables pour la lecture du coffre-fort, en l’occurrence, de la base de données du prestataire de soins. » La coopérative recommande donc d’en faire une copie soit sur une clé USB placée dans un coffre, soit une copie dans un répertoire protégé et crypté. Elle déconseille par contre de stocker ces clés dans la même pièce que son ordinateur ou de les transmettre via email et d’autres canaux non sécurisés qui peuvent être piratés.
Deuxième recommandation: adapter ses mots de passe. « Ne stockez jamais vos mots de passe dans des documents (word, excel, ….) et surtout pas sur votre ordinateur ou votre serveur », prévient Medispring. « Prenez régulièrement le temps de changer votre mot de passe. Nous guidons par exemple les prestataires dans les caractères requis afin de choisir un mot de passe suffisamment fort (majuscules, minuscule, chiffre, caractères spéciaux). » Les prestataires peuvent également faire appel à un gestionnaire de mot de passe. Le site web www.cnetfrance.fr recense par exemple les meilleurs gestionnaires actuels. « Autre conseil: il faut garder à l’esprit que la menace ne vient pas de vous mais de l’extérieur. Les mots de passe de type "test", prénoms de vos enfants et autres ne vous offrent aucune sécurité. »
Troisième et dernière recommandation: vérifier la sécurité de l'infrastructure. « Nous conseillons de faire appel à des professionnels pour l’installation et la configuration des différentes parties de l’infrastructure (réseau, Firewall, anti-virus, connexion Internet...) », conclut Medispring.
Bon à savoir
Mi-mars, le SPF Économie a lancé le Cyberscan. Ludique et didactique, le Cyberscan permet d’évaluer gratuitement l’exposition aux risques en matière de cybersécurité au travers de 20 questions réparties en huit thématiques. À l’issue de l’auto-évaluation, le cyberscan donne une série de conseils personnalisés en fonction des réponses apportées, ainsi que des modèles-types de documents et des check-lists. De cette manière, l'entreprise ou l'indépendant pourra mettre en œuvre les mesures recommandées nécessaires pour garantir la sécurité et la poursuite de ses activités en cas d’attaque informatique.
|
