Cybersécurité – le guide

À quoi pense un médecin lorsqu’on lui parle de cybersécurité ? Que c’est un domaine qu’il ne connaît pas et qui ne l’intéresse pas, et que de toute façon, il n’a pas de compétences dans ce domaine. Il dira aussi qu’il y a bien eu des problèmes dans certains cabinets mais que cela n’arrive souvent qu’aux autres. Et pour finir, que son prestataire informatique a probablement tout réglé. Les médecins qui ont eu la malchance de souffrir d’une cyberattaque tiennent eux un langage différent.

Malgré la montée des cyberattaques dans le secteur médical, beaucoup de professionnels de santé sous-estiment encore la gravité du risque. Certains considèrent que leur activité, souvent perçue comme « locale » ou « de petite échelle », est à l’abri de telles menaces. Pourtant, les cybercriminels ne font pas de distinction entre un cabinet de quartier et une grande institution : toute faille de sécurité représente une opportunité.

Il est donc indispensable d’adopter une approche proactive pour diminuer les risques d’attaques informatiques, pour éviter le vol de données patients mais aussi simplement pour pouvoir continuer à travailler. Cela implique de mettre en place des mesures techniques mais aussi des mesures humaines. Les mesures à prendre ne sont pas très complexes sur le plan technique, la plupart des médecins sont donc capables de s’en occuper (aider de leur partenaire informatique).

1. Fixez la date du check-up annuel de votre infrastructure informatique

Il existe un certain nombre de mesures qui permettent de protéger l’infrastructure informatique d’un cabinet médical. Pour qu’elles restent toujours effectives, il est impératif de les contrôler régulièrement, au minimum une fois par an. Vous devez donc planifier à une date fixe le check-up annuel de votre infrastructure informatique, un jour durant lequel vous vérifierez que vos logiciels sont à jour, que votre sauvegarde est opérationnelle, que les mots de passe utilisés sont sûrs et que tout le personnel de votre cabinet sait reconnaître un courriel frauduleux. Chaque 5 février a lieu la journée mondiale du Nutella, chaque 25 mars la journée de la procrastination (le 25 pas le 26 !), vous pourrez vous-même choisir la date du jour de la cybersécurité de votre cabinet !

Action : fixer la date du check-up annuel de votre structure informatique, vous pouvez choisir la date que vous voulez (sauf le 5 février et le 25 mars qui sont déjà occupés).

Le document Exigences minimales pour la sécurité informatique des cabinets médicaux – D3 de la FMH peut aussi servir de liste pour connaître l’ensemble des éléments à contrôler.

Même si votre partenaire informatique fera certainement des contrôles beaucoup plus réguliers, ce jour peut être l’occasion pour le « responsable » cybersécurité de votre cabinet de faire le point avec lui.

2. Mettez régulièrement à jour vos logiciels et systèmes d’exploitation

La mise à jour régulière des logiciels et des systèmes d’exploitation est cruciale pour la cybersécurité des cabinets médicaux. Ces mises à jour incluent des correctifs de sécurité qui comblent des vulnérabilités exploitées par les cybercriminels pour accéder aux systèmes ou voler des données sensibles, comme les dossiers patients. Les mises à jour sont donc une mesure essentielle pour prévenir les risques et garantir la sécurité des données.

Actions : lorsque c’est possible, activer les mises à jour automatiques : configurer les logiciels et systèmes d’exploitation pour qu’ils se mettent à jour automatiquement dès que des correctifs sont disponibles. Pour les logiciels ne permettant pas les mises à jour automatiques, planifier des vérifications régulières. Sensibiliser votre personnel en leur expliquant l’importance de ces mises à jour.

3. Définissez des règles pour les mots de passe

Utilisez des mots de passe forts et uniques pour chaque compte, et envisagez l’authentification à deux facteurs lorsque c’est possible (par exemple associer un mot de passe et un code envoyé sur votre smartphone). Lorsque c’est possible, utilisez ce qu’on appelle des « clés d’accès » (passkeys, en anglais), qui utilisent notamment la biométrie. Ces systèmes, plus sûrs que les mots de passe, sont appelés à les remplacer.

Donc :

Un nom utilisateur
Un mot de passe complexe
Une double authentification ou un système biométrique, par exemple de reconnaissance faciale (lorsque c’est possible)
Un gestionnaire de mot de passe

Actions : définissez des règles de mot de passe et veillez à ce qu’un mot de passe distinct soit défini pour chaque système. Définissez également la manière dont les mots de passe sont conservés. Vérifier régulièrement, mais au moins une fois par année, que ces règles sont respectées.

Pour en savoir plus sur les mots de passe sûrs, lisez, sur le blog de HIN, l’article « Mots de passe sécurisés: ce que vous devez savoir ».

Image. La cybersécurité ? Des mesures techniques mais aussi humaines.

4. Formez votre personnel

Former l’ensemble de votre personnel aux risques liés à la cybersécurité et organisez des formations régulières sur les bonnes pratiques en matière de sécurité informatique.

Pour protéger un système informatique, il faut prendre des mesures techniques (mises à jour de vos programmes, antivirus, mots de passe complexes, etc.) mais aussi des mesures humaines, c’est-à- dire former l’ensemble de votre personnel à cette problématique de la sécurité informatique. Comme les systèmes sont devenus plus sûrs sur le plan technique, les pirates exploitent toujours plus la vulnérabilité humaine pour accéder à votre système ou obtenir des informations confidentielles.

Actions : formez votre personnel en leur donnant les moyens d’acquérir de nouvelles connaissances et compétences en cybersécurité. Profitez de votre journée « cybersécurité » pour vérifier que toutes les règles sont suivies (mises à jour des logiciels, mots de passe, gestion des mails suspects, etc.). Si ce n’est pas vous, réfléchissez à désigner au sein de votre cabinet une personne responsable de la cybersécurité (même si elle ne remplacera bien sûr pas votre partenaire informatique).

Pour former votre personnel :

Proposez à votre personnel de prendre connaissance du guide Sécurité numérique : Un guide pratique pour PME (élaboré par la Trust Valley),
Proposez à votre personnel de suivre la formation proposée par le Département du développement économique (DDE) du canton de Genève. Entièrement gratuite, cette formation se décline sous la forme de huit vidéos interactives.
Proposez à votre personnel de parcourir le site du Centre national pour la cybersécurité pour avoir un aperçu des risques mais aussi savoir que faire en cas d’attaque.
Faites lire à votre personnel l’article Cybersécurité : une seule question permet de savoir si votre cabinet médical est bien protégé publié sur notre blog et qui explique pourquoi les pirates exploitent toujours plus la vulnérabilité humaine pour accéder à votre système ou obtenir des informations confidentielles.

Le courrier électronique = danger

Le courrier électronique est un moyen de communication très utile mais c’est aussi pour la sécurité de votre informatique un danger potentiel. Il est frappant de voir à quel point de nombreux internautes continuent de croire à l’authenticité des e-mails frauduleux. Ainsi, lorsque vous recevez des messages prétendument envoyés par Migros, DHL, Swisscom, la Poste ou Digitec, examinez toujours avec attention l’adresse e-mail de l’expéditeur, ainsi que, le cas échéant, l’URL du site vers lequel le message vous dirige. Ces vérifications permettent de repérer une grande partie de ces tentatives d’escroquerie. Restez également vigilant face aux appels de faux policiers ou au célèbre faux support technique de Microsoft, des arnaques qui continuent encore aujourd’hui de piéger de nombreuses personnes.

On peut lire dans l’article « Nous sommes toujours des cancres en cybersécurité » publié dans le journal Le Temps le 20.01.2025 :

Fin 2024, les autorités vaudoises ont envoyé un faux mail de phishing, donc de hameçonnage, à 47 000 collaborateurs. Le but était de déterminer s’ils allaient tomber dans le piège et livrer des informations à cette fausse Léa Rossier qui leur envoyait une demande urgente : 29 % des destinataires du faux mail malveillant ont cliqué sur le lien, 11 % ont saisi un identifiant et un mot de passe.

Le site du Centre national pour la cybersécurité propose une page sur la gestion sûre du courrier électronique, vous pourrez en savoir plus sur le phishing (l’email avec appât) sur le site iBarry.ch.

Pour savoir ce qu’est un rançongiciel

Vous trouverez des informations sur cette menace grandissante sur le site du Centre national pour la cybersécurité. Vous trouverez sur le site Hin.ch l’article Rançongiciels: les données comme moyen d’extorsion qui donne des conseils très pratiques sur les mesures préventives à prendre.

5. Sauvegardez régulièrement vos données

La sauvegarde des données médicales est essentielle pour garantir la sécurité des informations des patients. Il est important de définir clairement quelles données doivent être sauvegardées et à quelle fréquence. Une sauvegarde incrémentielle quotidienne (les fichiers qui ont été modifiés ou ajoutés depuis la dernière sauvegarde) et une sauvegarde complète hebdomadaire sont recommandées. En outre, au moins une copie de sauvegarde doit être stockée à l’extérieur du cabinet, dans un lieu sécurisé, pour éviter toute perte en cas d’incident.

La règle 3-2-1 pour les sauvegardes signifie qu’il faut conserver au moins 3 copies de vos données, sur 2 types de supports différents et au moins 1 de ces copies doit être située à l’extérieur de votre emplacement principal. Cela garantit une protection maximale contre la perte de données en cas de dommages à l’un des supports de sauvegarde, y compris les erreurs de logiciel, les défaillances matérielles et autres dommages (incendies, pertes, etc.).

Une vérification annuelle de la capacité de restauration des données est essentielle pour éviter les mauvaises surprises en cas de besoin.

Action : s’assurer auprès de son partenaire informatique que le système de sauvegarde répond aux exigences techniques et légales, si besoin en se référant aux recommandations de la FMH.

6. Choisissez des partenaires fiables

Première possibilité: vous trouverez les noms de spécialistes informatiques qui ont une expérience avec les cabinets et les centres médicaux sur la page Informatique de CabinetMedical.ch.
Deuxième possibilité: HIN en collaboration avec d’autres partenaires proposent « Health Secure Solutions », un écosystème de solutions de cybersécurité pour les cabinets médicaux et les professionnels de santé. La belle idée de cette initiative est de s’appuyer sur les 11 recommandations de la FMH en matière de cybersécurité.

Il faut aussi savoir que la Caisse des médecins propose un check-up informatique: examen de l’état de l’informatique du cabinet, mises à jour et contrôle des versions de logiciel et des antivirus, nettoyage des données, suppression des fichiers inutiles, contrôle de la fonction de sauvegarde des données, vérification des performances et de la sécurité de l’accès Internet, établissement d’un compte-rendu écrit avec évaluation de la situation actuelle et proposition de mesures pour le confort d’utilisation et la sécurité d’exploitation le cas échéant.

7. Définissez une stratégie d’action en cas de cyberattaque

Vous trouverez de précieuses informations sur l’attitude à adopter en cas de cyberattaques, de fuite de données, de rançongiciel ou de site piraté sur le site du Centre national pour la cybersécurité (NCSC). Au-delà de la théorie, vous devez vous préparer, et le personnel de votre cabinet avec, pour réagir en cas d’attaque informatique. Vous trouverez des informations très utiles dans l’article agir correctement en cas de cyberattaque sur le site hin.ch: a) les mesures que vous devez prendre immédiatement b) où trouver de l’aide c) à qui signaler la cyberattaque. Vous devez surtout préparer un document papier (Word / PDF) que votre personnel trouvera en quelques secondes et cas de problème et qui présentera ce qui doit être fait dans l’urgence, étape après étape.

Pour aller plus loin (et savoir ce que vous devez demander à votre partenaire informatique)

La FMH propose une page Sécurité informatique, vous y trouverez les documents « Exigences minimales pour la sécurité informatique des cabinets médicaux ». Ils contiennent les 11 exigences minimales pour la sécurité informatique des cabinets médicaux de la FMH, disponibles en trois formats différents: une représentation graphique (D1), un programme en 11 points (D2) et un document détaillé avec les recommandations et les mesures préconisées (D3).

Il est important de comprendre que les documents D1 et D2 sont destinés aux médecins, aux propriétaires de cabinets et à leur personnel. Ils offrent une vue d’ensemble des principales recommandations et mesures pour la sécurité informatique des cabinets médicaux. Le document D3 approfondit les recommandations et les mesures et, de ce fait, il est plutôt destiné aux prestataires informatiques (externes mandatés ou responsables internes). Vous pourrez donc utiliser ce document D3 pour définir ce que vous devez demander, ou plutôt exiger, de votre partenaire informatique.

HIN avec sa solution « Health Secure Solutions » a eu la bonne idée de s’appuyer sur ces 11 recommandations de la FMH pour les proposer son offre de vingt-quatre presations regroupés en cinq catégories (stratégie en santé numérique, sensibilisation et formation avancée en cybersécurité, audits externes, sécurité d’entreprise et gestio de crise et anticipation).

Image. Malgré la montée des cyberattaques dans le secteur médical, beaucoup de professionnels de santé sous-estiment encore la gravité du risque. Certains considèrent que leur activité, souvent perçue comme « locale » ou « de petite échelle », est à l’abri de telles menaces.