Cybersécurité : une seule question permet de savoir si votre cabinet médical est bien protégé
Savez-vous ce qu’est l’ingénierie sociale ? Si oui, votre cabinet est probablement bien protégé, sinon, votre système informatique est probablement insuffisamment sécurisé.
Pour protéger un système informatique, il faut prendre des mesures techniques (mises à jour de vos programmes, antivirus, mots de passe complexes, etc.) mais aussi des mesures humaines, c’est-à- dire former l’ensemble de votre personnel à cette problématique de la sécurité informatique. Comme les systèmes sont devenus plus sûrs sur le plan technique, les pirates exploitent toujours plus la vulnérabilité humaine pour accéder à votre système ou obtenir des informations confidentielles. Cette technique de manipulation porte le nom d’ingénierie sociale.
La vulnérabilité humaine
Il s’agit d’une technique de manipulation qui exploite l’erreur humaine dans le but d’obtenir des informations confidentielles. Dans le domaine de la cybercriminalité, ces escroqueries qui reposent sur le « piratage de l’être humain » ont tendance à amener les utilisateurs sans méfiance à divulguer des données, propager des programmes malveillants ou octroyer un accès à des systèmes contrôlés. Ces attaques peuvent se dérouler en ligne, par téléphone ou par n’importe quel canal de communication. Comme cette approche exploite la vulnérabilité humaine, personne n’est à l’abri, le risque est cependant moindre si vous avez sensibilisés votre personnel à cette forme d’escroquerie.
Pour mieux comprendre les mécanismes de l’ingénierie sociale, il faut connaître les biais utilisés par les escrocs :
- Biais d’autorité : les cybercriminels se font passer pour des figures d’autorité pour inciter à l’obéissance ou la confiance, persuadant ainsi les victimes de révéler des informations confidentielles ou d’effectuer des actions spécifiques sans les remettre en question.
- Biais d’urgence : la création d’une fausse urgence incite les victimes à agir précipitamment, court-circuitant leur réflexion critique.
- Biais de rareté : ce biais exploite la tendance des individus à accorder davantage de valeur à des objets, opportunités ou ressources perçus comme limités, rares, ou en diminution. Les attaques utilisant le biais de rareté suscitent également, en règle générale, un sentiment d’urgence.
Concrétement, ces attaques peuvent prendre différentes formes
- L’hameçonnage : Il s’agit d’un des moyens les plus répandus. L’attaquant envoie un email semblant provenir d’une source légitime, comme un fournisseur de matériel médical ou une administration de santé. Le but est de pousser le destinataire à cliquer sur un lien frauduleux ou à fournir des informations d’accès.
- Le prétextage: cette méthode implique de convaincre la victime de partager des informations confidentielles en se faisant passer pour une autorité légitime, comme un représentant d’une compagnie d’assurance ou d’une institution de santé publique.
- L’appâtage : dans ce cas, l’attaquant propose un appât attrayant, comme une offre promotionnelle pour des équipements médicaux, mais en échange, il demande des informations personnelles ou des accès à des systèmes critiques.
- L’usurpation d’identité : l’attaquant peut se faire passer pour un collègue ou un prestataire de service, sollicitant une action rapide sous prétexte d’une urgence médicale ou administrative.
Pourquoi les cabinets médicaux sont-ils si vulérables?
Les médecins et leurs équipes sont souvent sous pression, jonglant entre la gestion des consultations, des urgences, et la documentation des dossiers médicaux. Cette charge de travail crée un environnement propice à l’erreur humaine, notamment une baisse de vigilance face aux emails suspects ou aux demandes inhabituelles.

Image. Des mesures techniques, mais aussi humaines, sont nécessaires pour réduire le risque de cyberattaque.
Mesures à prendre pour se protéger contre l’ingénierie sociale
La première ligne de défense contre l’ingénierie sociale est la sensibilisation. Il est crucial de former tous les membres du personnel médical aux différentes techniques d’attaque. Un personnel bien formé saura détecter les signes avant-coureurs d’une tentative d’hameçonnage ou d’usurpation d’identité.
Vous devez impérativement former votre personnel, lui dire qu’il se méfie d’une demande urgente, inhabituelle, d’une demande d’informations personnelles, même si celle-ci provient d’une apparente autorité (police, fournisseur informatique, etc.).
Il faut créer une « culture de la vigilance » : encourager une culture où chaque membre de l’équipe est responsable de la sécurité peut faire la différence. Les employés doivent être à l’aise pour signaler des emails suspects ou des comportements inhabituels sans craindre des répercussions.
A la prochaine pause-café, demandez à votre personnel s’il connait l’ingénierie sociale et comment chacun réagirait en recevant une demande urgente provenant de votre fournisseur informatique ou d’une autre autorité.
Pour aller plus loin
Consultez la page « Sécurité informatique : comment se protéger ? » au sein de la rubrique informatique de CabinetMedical.ch. Si vous avez besoin d’aides et de conseils, vous trouverez sur cette page Informatique les noms de plusieurs partenaires qui connaissent le monde médical et les besoins des médecins.
Jean Gabriel Jeannot, le 05.10.24
Super ce blog Jean-Gabriel, merci beaucoup! Cela nous permettra de mieux identifier en équipe les risques liées à l’utilisation du système informatique de nos cabinets.
Amitiés
Sébastien Jotterand Aubonne.
Merci Sébastien pour ton commentaire. Pour intéresser les médecins, j’écris des articles que j’aimerais pouvoir lire, j’espère ainsi publier des informations utiles. Si tu trouves ce site et ce blog utile, n’hésite pas à en parler autour de toi 😉
Je profite aussi pour te dire que ce blog est ouvert à toute publication qui intéresse les médecins de Suisse romande, donc si tu veux publier un article ou un autre, je le publierai volontiers.