Exercice libéral et cybersécurité : les conseils pratiques d’un expert

France – En tant que professionnel de santé, quels risques encourez-vous face aux cyberattaques ? Comment les médecins, à leur échelle, peuvent-ils se protéger et lutter efficacement contre les cybercriminels ? En dehors des hôpitaux qui sont régulièrement ciblés par des cyberattaques, les professionnels de santé libéraux constituent également des victimes potentielles. Alors comment sécuriser ses mots de passe, sauvegarder ses données et se prémunir contre les e-mails frauduleux quand on est un médecin de ville ? Thibault Granié, directeur produit chez CGM NET, spécialiste en matière de connectivité et de sécurité dédiées aux professionnels de santé, a livré de précieux conseils pour aider les professionnels à sécuriser leurs données lors d’un webinar intitulé « Cybersécurité, être acteur de la protection des données ».

Sécuriser ses mots de passe

Comment faire face aux cybercriminels quand on est médecin ? « La première chose à faire, c’est de sécuriser les systèmes que vous utilisez : SI, sites web, logiciels de patientèle… », explique Thibault Granié. Il est donc important de ne pas divulguer ses identifiants et mots de passe à un collègue de travail ou un remplaçant. Car « si jamais vous avez un problème avec un patient qui vous demande, par exemple « c’est vous qui avez prescrit ce médicament ? », on va regarder dans le logiciel qui l’a prescrit, et le système dira que c’est vous qui l’avez fait ». Vos identifiants et mots de passe doivent donc rester personnels. « C’est la même chose pour la carte vitale, il ne viendrait pas à l’idée de personne de donner sa carte vitale à quelqu’un d’autre », estime Thibault Granié.

Identification sécurisée : utiliser les cartes professionnelles et les smartphones

En dehors des identifiants et des mots de passe « classiques », les professionnels de santé ont aussi la possibilité de s’identifier sur les systèmes en utilisant leur carte CPS (Carte de Professionnel de Santé) qui les identifieront de manière plus forte. « Seuls les professionnels détiennent cette carte qui est protégée par un code confidentiel, donc cela sécurise davantage le système. En effet, quelqu’un qui ne dispose pas de cette carte ne pourra pas se connecter au système à votre place, même à distance », selon Thibault Granié. Il est également possible de s’identifier en utilisant son smartphone qui va vous envoyer un numéro par SMS que vous allez rentrer dans le système, explique le spécialiste. L’identification est alors encore plus marquée parce qu’il faut avoir en main votre téléphone personnel pour rentrer dans le système. »

La fonctionnalité « J’ai oublié mon mot de passe »

La messagerie est également souvent utilisée pour s’identifier. Si vous oubliez votre mot de passe, la fonctionnalité « J’ai oublié mon mot de passe » en génèrera un nouveau en vous envoyant un lien par mail. « On considère donc que c’est vous qui consulter votre boîte mail. Donc, pour y accéder, il faut mettre en place un système sécurisé en utilisant votre téléphone mobile, explique Thibault Granié. Autrement, toute personne ayant accès à votre boîte mail peut accéder à tous les systèmes. Il peut alors activer tous les systèmes « J’ai oublié mon mot de passe » et rentrer son propre mot de passe. Il est important de sécuriser au maximum sa boîte mail. »

A lire aussi : Utiliser une messagerie sécurisée de santé (ameli.fr)

Utiliser un bon mot de passe 

Evitez d’avoir un mot de passe trop simple, mais aussi de stocker tous vos mots de passe dans un fichier car si une personne mal intentionnée le récupère, elle aura accès à tout. « Evitez également de le mettre sur un post-it », conseille Thibault Granié. Vous devez également avoir un mot de passe différent pour chaque système. « Si vous utilisez le même mot de passe pour tous les systèmes, le cybercriminel sait qu’il y a un compte qui est moins sécurisé que les autres. Donc, une fois qu’il aura trouvé le mot de passe, il va l’essayer sur d’autres systèmes. Il aura 90 % de chances, voire plus, d’accéder à tous vos comptes si vous utilisez le même mot de passe. » S’il devait arriver que vous soyez obligé de donner votre mot de passe à quelqu’un, mieux vaut, là encore, que ce ne soit le même pour les autres systèmes. Et si tel est le cas, « il faudra penser à changer le mot de passe une fois que la personne aura terminé son action», précise Thibault Granié.

Créer un mot de passe robuste

Si vous utilisez un mot de passe de 8 caractères, même s’il est complexe (composé de minuscules, des majuscules, des caractères spéciaux et de chiffres), cela prend en moyenne 57 jours pour qu’un cybercriminel finisse par en venir à bout, considère Thibault Granié. « Il ne va pas le faire manuellement mais utiliser des robots pour essayer de casser votre mot de passe. Et pour lui 57 jours ne seront pas de trop si les données que vous avez sont extrêmement sensibles et peuvent rapporter beaucoup d’argent. » La CNIL recommande donc d’utiliser un mot de passe de 12 caractères qui contienne des minuscules, des majuscules, des caractères spéciaux et des chiffres, pour que celui-ci soit protégé suffisamment longtemps. Et propose aussi un outil pour générer un mot de passe solide et simple à retenir.

Le gestionnaire de mots de passe

Si vous suivez toutes les recommandations de cybersécurité, il vous faut donc utiliser un mot de passe unique pour tous les systèmes, le retenir et le renouveler régulièrement (tous les 3 mois). « La situation peut vite devenir ingérable, notamment quand on a une trentaine, voire une cinquantaine de mots de passe à sécuriser et à mémoriser », juge Thibault Granié qui conseille la solution du gestionnaire de mots de passe. « C’est la combinaison d’un coffre fort numérique et d’une boîte à clefs. Vous allez avoir un mot de passe ou une méthode d’identification à double facteur, via votre smartphone par exemple, pour accéder à ce coffre-fort, dans lequel vous avez tous les identifiants et mots de passe de vos systèmes. On n’a pas trouvé mieux pour le moment pour sécuriser vos SI. Vous allez donc pouvoir retenir les mots de passe parce que vous allez les stocker, et vous allez aussi pouvoir les renouveler beaucoup plus facilement. » Il existe d’ailleurs un gestionnaire de mots de passe gratuit : Keepass, validé par l’ANSSI (Agence nationale de la sécurité des systèmes d'information). « Ce n’est pas le plus facile à utiliser, mais il a l’avantage d’être gratuit et robuste », précise Thibault Granié.

Mettre à jour ses logiciels

« Dès que l’on fait du développement, on crée forcément des failles de sécurité », assure Thibault Granié. Et quand cette faille est détectée, on est à risque, quelles que soient les mises à jour que l’on a effectuées ». Mais si la faille est divulguée dans les médias, comme quand Microsoft a annoncé avoir corrigé une faille de sécurité majeure après un signalement de la NSA, tout le monde est au courant que la faille existe. « Les cybercriminels vont donc tout de suite essayer d’attaquer la faille. Si les mises à jour sont activées sur votre ordinateur, cette faille sera corrigée de manière automatique, et vous serez protégés. Il faut donc toujours activer les mises à jour, et pas uniquement Windows. » Même chose pour les antivirus qui doivent être mis à jour régulièrement. Pour les professionnels de santé, Thibault Granié conseille les antivirus qui proposent une analyse heuristique* pour détecter les nouveaux virus, ainsi que les nouvelles variantes d’un virus déjà connu.

*L’analyse heuristique est une méthode basée sur le comportement supposé d'un programme afin de déterminer si ce dernier est ou non un virus.

Emails frauduleux

Nous recevons tous de plus en plus d’emails et de SMS frauduleux qui essayent souvent de se faire passer pour des marques ou des institutions connues : Amazon, les impôts, la CNAM….  Comment s’en protéger ? « Il faut faire très attention aux expéditeurs, regarder de près les adresses email car, souvent, elles ne correspondent à rien du tout », conseille Thibault Granié. Par ailleurs, il faut être particulièrement vigilant quand quelque chose vous parait « louche et bizarre ». Il ne faut pas faire « des actions qui vous paraissent incongrues, pas logiques, même si on vous met la pression. » Comme, par exemple, quand les impôts qui vous demandent par mail, le dernier jour de la déclaration en ligne, votre numéro de carte bleue… 

Clefs USB et disques durs externes

Attention danger ! Les clefs USB et les disques durs externes sont « de parfaits transmetteurs de virus. » Mieux vaut également éviter d’y sauvegarder vos données de santé, car une clef USB ou disque dur externe se perdent facilement. Et, de préférence, les chiffrer, c'est-à-dire qu’il faudra rentrer un mot de passe pour accéder à cette clef ou au disque dur externe.

Sauvegarder ses données 

Vous devez absolument sauvegarder vos données de santé, estime Thibault Granié, car en cas d’incidents de type incendie du cabinet, inondations ou perte de votre ordinateur, vous pourrez récupérer toutes vos données en utilisant un logiciel avec un nouvel ordinateur à l’aide d’un simple mot de passe. » Une bonne sauvegarde doit être « sécurisée, chiffrée et répliquée sur un serveur distant », selon l’expert qui conseille de passer par des prestataires informatiques proposant des systèmes de sauvegarde sur ce type de serveur en s’assurant que le service d’hébergement est certifié HDS pour ne pas rencontrer « un défaut de sécurité. »

Crédit photo : Getty images

 

Actualités Medscape © 2021 WebMD, LLC

Citer cet article: Exercice libéral et cybersécurité : les conseils pratiques d’un expert - Medscape - 23 juin 2021.