Comment mener la prévention et l’éducation contre la cybercriminalité dans les hôpitaux?

14 juin 2021 time to read 3 min read
Person typing with a laptop and there is a padlock covering all the image.

La formation du personnel est une priorité pour les différents acteurs afin de réduire le piratage.

Pour le Dr Benoît Debande, Directeur Général Administratif et Financier du CHIREC (Centre Hospitalier Interrégional Edith Cavell), «le plus gros risque est ce qui se passe entre le clavier et la chaise». L’une des principales portes d’entrée reste l’email malveillant qui installe des logiciels espions. Éduquer le personnel, c’est compliqué. «On a des catégories de personnes très différentes (personnel administratif, médical,…). Il faut vraiment des trésors d’ingéniosité pour les conscientiser. On va lancer des plans d’éducation encore plus ciblés, même si on le fait déjà aujourd’hui à partir de l’intranet… on va aussi faire des faux phishing

Jeux de rôle

À Vivalia, Yves Henri Serckx rappelle qu’en interne, des campagnes régulières d’information et de sensibilisation sont menées. «Avant le début de la seconde vague, on a refait une campagne à l’attention du personnel :il faut que le personnel informatique ait une bonne relation avec l’utilisateur (personnel soignant, administratif…). Je sais qu’il existe aussi des techniques d’autoformation, comme des jeux de rôle… Ils posent des questions du type Comment estimez-vous votre comportement par rapport à la sécurité? et provoquent des interactions qui amènent des échanges fructueux. Ce n’est pas le choix que nous avons fait, mais cela existe dans certains hôpitaux. La sécurité est l’affaire de tous, et tout le personnel doit le comprendre.»

Des fausses attaques

À la Citadelle, la réflexion va dans le même sens, selon Jean-Michel Bertho, Directeur du pôle «Système d’Information» du CHR (Centre Hospitalier Régional): «On organise régulièrement des scénarios catastrophes avec des sociétés externes qui tentent de nous hacker. On fait aussi des tests réguliers de simulation de phishing avec de faux emails frauduleux pour voir le niveau de maturité de nos utilisateurs.» Il voit que le personnel est sensible à la question: «Les médecins sont souvent demandeurs de communications sécurisées pour la transmission de données. Ils nous demandent des conseils et des outils.»

Changer de mot de passe

Il n’y a pas que les données médicales qui ont de la valeur pour les hackers. Chaque membre du personnel peut être lui aussi une victime intéressante pour eux. Comment savoir si l’on s’est fait avoir? C’est à cette question que, par exemple, le site «Have I Been Pwned ?», répond si vous introduisez une adresse email et un mot de passe dans son moteur de recherche.

Jean-Michel Bertho fait le point sur ces types de sites: le site haveibeenpwned existe toujours, tout comme https://ghostproject.fr, qui se concentre sur les mots de passe. Il s’agit toutefois généralement de sites qui se contentent de comparer les informations fournies par le visiteur avec des listes de mot de passe qui ont «leaké» sur Internet (data leak, généralement de gros sites ou forums s’étant fait hacker). Même si cela arrive toujours très régulièrement (vol de bases de données utilisateurs, cartes de crédit, etc.), le risque n’est réellement haut que pour les personnes utilisant toujours le même mot de passe pour tous leurs comptes (ce qui va à l’encontre des bonnes pratiques de cybersécurité!).

Il se veut toutefois prudent: «Maintenant que les utilisateurs sont de plus en plus conscients des bonnes pratiques en termes de cybersécurité (ce n’est toutefois pas pour cela qu’ils les appliquent à 100%), il ne suffit pas de ne pas figurer sur un tel site pour être à l’abri. Les autres risques me semblent davantage être les attaques de type social engineering ou phishing, qui ne consistent pas à exfiltrer une grosse base de données d’utilisateurs/mots de passes, mais plutôt à viser spécifiquement une personne afin de l’utiliser pour entrer dans un système d’information. En tant qu’hôpital, c’est l’une des menaces très réelles, raison pour laquelle nous devons sensibiliser nos utilisateurs à ces pratiques.»

Il ajoute une précision: «À noter également que des navigateurs tels que Google Chrome offrent aussi une fonctionnalité native de vérification des mots de passe similaire à haveibeenpwned. D’une façon générale, l’utilisation d’un outil de type password manager (Dashlane, LastPass,…) est plus que conseillée pour garder ses informations de connexion en sécurité.»

Ceci est une communication des laboratoires MSD. Ce numéro a été réalisé grâce au support de MSD. Son contenu reflète l’opinion des auteurs mais pas nécessairement celle de MSD.

Autres Catégories

BE-NON-00696 | Date of last revision 12/2020