Accueil
>
Ressources
>
Blog
>
Établissements de santé : comment concilier transformation digitale et cybersécurité
Les hôpitaux, cibles privilégiées des hackeurs
Les hôpitaux sont devenus des cibles privilégiées pour les hackeurs en raison de la grande valeur des données médicales et des conséquences potentiellement désastreuses des attaques. Les cybercriminels exploitent souvent des failles dans les systèmes informatiques obsolètes des établissements de santé pour accéder à des informations sensibles. De plus, les attaques de rançongiciels perturbent gravement les opérations médicales, obligeant les hôpitaux à payer des rançons pour retrouver l’accès à leurs données. Ces incidents soulignent la nécessité d’investir dans des mesures de cybersécurité robustes et des protocoles de réponse aux incidents pour protéger à la fois les patients et les institutions.
Le SI hospitalier, entre lourd héritage et nouveaux challenges
Une des premières failles de sécurité que l’on peut retrouver chez les établissements de santé, se trouve au sein de leurs systèmes d’informations. En effet, ces derniers peuvent être plus fragiles que ce que l’on peut penser. Ce qui peut s’avérer problématique.
Ils sont composés, pour la plupart, de plus de 200 applications, et ont donc autant de failles et de vecteurs d’attaques potentiels. Il est essentiel que chacune de ces applications soit sécurisées dans un premier temps, mais cela ne s’arrête pas là. La majorité de ces systèmes sont encore composés en mode « best of breed », c’est-à-dire qu’ils sont concentrés sur un domaine très précis et très technique (celui de la santé). Ajouté à cela, on peut noter l’ancienneté et le manque d’évolution de ces systèmes au fil des années, qui offrent au final une protection pouvant être vite dépassée par des attaques nouvelles ou plus évoluées qu’auparavant.
Mais alors comment augmenter le niveau de protection de ces systèmes ?
Dans un premier temps, il est important d’améliorer l’interopérabilité de ces derniers.
C’est-à-dire de développer la capacité de l’établissement de santé à pouvoir travailler et à échanger des données avec d’autres systèmes informatiques et outils, le tout dans le respect des règles de confidentialité établies. Le but de cela est donc de s’assurer d’un échange et d’une conservation des données de santé dans le cadre d’une paralysie ou d’un vol de données à la suite d’une cyberattaque.
Deuxièmement, il est très important pour ces établissements de pouvoir mettre en place et encadrer le développement des télé-activités. Car oui, avec la pandémie que nous avons traversée, la notion de télétravail est devenue omniprésente dans notre société et dans le monde professionnel. Et le secteur de la santé n’y échappe pas.
Ainsi, il va falloir que cette nouvelle pratique puisse être déployée le plus simplement et le plus efficacement possible. Le tout en garantissant aux équipes, mais aussi aux différents patients ayant fourni leurs informations, que tout soit protégé de la meilleure manière qu’il soit.
Appliqué de manière massive, sans forcément de vraies mesures de sécurité mises en place, le télétravail s’est aussi avéré être une solution risquée tout au long de l’année 2020 et 2021. Entre connexions au Wi-Fi non sécurisé, utilisation de cloud, échanges de données confidentielles par emails ou encore utilisation d’ordinateurs personnels à des fins professionnelles, les failles de sécurité sont nombreuses. Et dans un milieu aussi important que celui de la santé, il faut s’assurer que ces dernières ne puissent en aucun cas être exploitées.
Placer l’humain au cœur de la sécurité ou comment conduire le changement
Bien que la cybersécurité soit liée à de nombreux termes techniques et technologiques, il ne faut pas oublier un facteur très important de ce domaine : l’humain !
Car oui, les équipes qui composent les établissements de santé ont aussi un rôle à jouer dans la protection des données, et il est désormais l’heure d’en prendre conscience.
Malgré le contexte délicat et les multiples conséquences de ce dernier, il est important d’en tirer des leçons et de conduire à un changement. DSI, RSI, DG ou encore DPO se doivent d’être au courant des véritables enjeux cyber existants et d’impliquer chaque membre de leur structure dans leurs démarches de protection.
Bien que l’accompagnement IT et la protection numérique doivent aussi être renforcés et consolidés sur le long terme, il faut dorénavant intégrer la sécurité informatique dans son ensemble.
Le levier de la micro-éducation
Les vertus et avantages du micro-apprentissage ne sont plus à prouver ! Et c’est ce que nous croyons chez Mailinblack. C’est donc dans cette optique de démocratisation de ce type d’éducation que nous avons pensé et conçu notre dernière solution : Cyber Coach. Visant à former vos utilisateurs aux attaques de phishing et à ses différentes conséquences, cette solution vous permet de :
- Simuler en interne des attaques d’hameçonnage personnalisées
- Obtenir des résultats détaillés sur les réactions de vos équipes
- Former vos collaborateurs avec des contenus de formation personnalisés et adaptés à tout type de profil et tout niveau de compétences
Et parce que nous savons que la compréhension et l’enseignement doivent se faire en fonction du niveau de chacun, nous avons développé nos contenus de formation de manière à ce que chaque collaborateur puisse évoluer à son rythme et devenir, petit à petit, un acteur à part entière de votre sécurité informatique.
Vous souhaitez sensibiliser vos équipes à la cybersécurité ? Augmenter le niveau de vigilance de vos équipes tout en réduisant votre taux de vulnérabilité ? Alors n’attendez plus et adoptez le réflexe !