Si les cyberattaques contre les hôpitaux et établissements de santé ont montré des signes de ralentissement, il n’en reste pas moins que de nombreuses vulnérabilités persistent dans les systèmes informatiques de ces structures. Ces failles, souvent dues à des erreurs basiques de sécurité, peuvent être corrigées sans grand investissement et contribuent pourtant de manière significative à l’amélioration de la sécurité informatique. Lors d’un récent webinaire organisé par le Centre d’alerte et de rédaction aux attaques informatiques, des erreurs fréquentes et facilement évitables ont été identifiées.
Voici quelques erreurs de sécurité informatique pour lesquelles des solutions simples peuvent ainsi être envisagées afin de protéger les données sensibles des établissements de santé.
🟠 1 – L’oubli des mises à jour logicielles : une faille évitable
L’une des erreurs les plus courantes reste le manque de mise à jour des logiciels, un geste pourtant fondamental en matière de sécurité informatique. Les établissements de santé utilisent souvent des logiciels spécifiques dont les mises à jour sont parfois négligées, faute de temps ou de ressources. Cependant, chaque mise à jour apporte des correctifs qui comblent des failles potentielles exploitées par les cybercriminels.
Des solutions existent pour automatiser ces mises à jour ou pour planifier des créneaux spécifiques de maintenance afin de s’assurer que les outils utilisés sont toujours à jour et sécurisés. Une simple procédure régulière peut ainsi prévenir bien des vulnérabilités.
🟠 2 – Des mots de passe insuffisamment sécurisés
Le choix de mots de passe complexes et leur renouvellement fréquent semblent évidents, mais ils sont souvent ignorés dans les établissements de santé. Beaucoup d’employés utilisent encore des mots de passe simples ou des variantes de leurs identifiants de connexion, augmentant ainsi le risque de piratage.
Pour pallier ce risque, l’instauration de politiques de mots de passe robustes, couplée à une formation des employés sur l’importance de la sécurité, peut suffire à réduire le risque d’intrusion. Une autre option consiste à implémenter des solutions de gestion de mots de passe qui simplifient la création et la gestion de mots de passe forts pour l’ensemble du personnel.
🟠 3 – Une absence de segmentation des réseaux interne
Dans de nombreux hôpitaux et établissements de santé, le réseau informatique est peu ou mal segmenté, facilitant ainsi l’accès des cybercriminels à l’ensemble du système en cas d’intrusion. Cette absence de cloisonnement interne rend l’attaque potentiellement dévastatrice, car une faille dans un sous-réseau peut compromettre tout l’écosystème numérique de l’établissement.
La segmentation des réseaux permet de limiter la propagation des menaces et de protéger les zones les plus sensibles. Par exemple, le réseau dédié aux dossiers médicaux peut être isolé des autres segments du réseau, réduisant ainsi l’impact potentiel d’une brèche de sécurité.
🟠 4 – Des sauvegardes non sécurisées ou incomplètes
Si les sauvegardes sont désormais une pratique courante, beaucoup d’établissements de santé n’appliquent pas de mesures de sécurité suffisantes pour les protéger. Certaines sauvegardes sont même réalisées sur des supports non sécurisés ou sans plan de récupération en cas de perte de données, ce qui laisse les informations sensibles exposées aux cyberattaques.
Pour éviter de tels risques, il est indispensable de stocker les sauvegardes sur des serveurs sécurisés et de tester régulièrement les procédures de restauration. Des sauvegardes sécurisées et fréquentes permettent de garantir la continuité des soins et la protection des données.
🟠 5 – Une sensibilisation insuffisante du personnel aux risques informatiques
Les cyberattaques réussissent souvent en raison d’un manque de vigilance ou d’une méconnaissance des bonnes pratiques par le personnel. Les erreurs humaines, comme l’ouverture de fichiers ou de liens frauduleux, sont l’une des principales sources d’incidents de sécurité.
Investir dans des programmes de formation réguliers et adaptés à tous les niveaux de l’organisation permet de sensibiliser le personnel aux risques informatiques et de leur apprendre à identifier les tentatives de phishing ou autres menaces courantes. La sensibilisation est un investissement peu coûteux mais qui peut s’avérer essentiel pour renforcer la sécurité informatique globale.
🟠 6 – Un manque de contrôle des accès au système
Enfin, de nombreux établissements de santé n’ont pas de politique stricte de gestion des accès. Les droits d’accès des utilisateurs sont souvent trop étendus, laissant un large éventail de personnes accéder à des données sensibles sans justification.
Une bonne pratique consiste à adopter une politique de « moindre privilège », où chaque employé dispose uniquement des accès nécessaires à l’exercice de ses fonctions. Cette approche limite l’exposition des données sensibles en cas de compromission d’un compte.
🟠 Conclusion
Bien que les cyberattaques visant les établissements de santé aient quelque peu ralenti, les erreurs de sécurité de base demeurent un problème récurrent. Les solutions pour y remédier ne nécessitent pourtant ni investissements massifs ni ressources excessives : des mises à jour régulières, des politiques de mots de passe renforcées, une segmentation des réseaux, des sauvegardes sécurisées, la sensibilisation du personnel et une gestion stricte des accès peuvent faire une réelle différence. En appliquant ces mesures simples, les hôpitaux et établissements de santé peuvent mieux protéger leurs données et assurer la continuité des soins en toute sécurité.
Pour en savoir plus / sources :
En 2021, une importante fuite de données a exposé les informations personnelles de plus de 500 millions d’utilisateurs de Facebook, à la suite d’une faille dans la fonction d'importation des contacts. Cette fuite, qui a mis à jour des données sensibles telles que les numéros de téléphone et les adresses e-mail, a eu un impact majeur sur la sécurité et la vie privée des personnes concernées.
La Cour de Justice de l’Union Européenne (CJUE) a récemment apporté des précisions importantes sur la définition des données de santé dans le cadre du RGPD. Par une décision du 4 octobre 2024 (affaire n° C-21/23), elle a jugé que les informations fournies lors de l'achat en ligne de médicaments sont des données de santé, même pour les médicaments sans ordonnance. Cette interprétation renforce la protection des consommateurs et impose aux plateformes en ligne de nouvelles obligations.
Face à une discrimination, la preuve est souvent l’arme décisive pour faire valoir ses droits. Pourtant, dans de nombreux cas, cette preuve repose sur l’utilisation de données personnelles, comme des statistiques ou des éléments factuels liés à des individus. Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), ces pratiques se heurtent désormais à des règles strictes visant à protéger la vie privée. Dès lors, une question se pose : comment concilier la nécessité de prouver des discriminations avec les contraintes imposées par le RGPD ?
Le fichier de Traitement des Antécédents Judiciaires (TAJ), outil indispensable des forces de l’ordre, fait l’objet de critiques de la part de la Commission Nationale de l’Informatique et des Libertés (CNIL). Ce fichier, qui regroupe des données sensibles sur des millions de personnes, enfreint plusieurs dispositions de la Loi Informatique et Libertés, ainsi que les principes du Règlement Général sur la Protection des Données (RGPD).