Sécurité informatique: comment se protéger?
Pour un cabinet, un centre médical ou un hôpital, les menaces informatiques sont nombreuses. Vous trouverez ci-dessous les sites qui vous permettront de vous informer mais aussi de vous former à cette problématique. L’objectif est bien sûr de vous permettre de mettre en place les mesures qui éviteront de voir les données de vos patients détruites ou un rançongiciel bloquer toute votre infrastructure informatique.
Schématiquement, il existe deux types de mesures. Les premières, des interventions techniques, les secondes, des actions humaines. Pour ce qui est des mesures techniques, la plupart concerne l’ensemble du personnel de votre cabinet ou centre médical, d’autres devront être effectuées par votre fournisseur informatique. Pour ce qui est des mesures humaines, cela nécessite la formation du personnel de votre cabinet / centre médical, c’est l’objectif de cette page.
La longue liste de ces sites ci-dessous pourrait bien sûr vous décourager. Il n’y a pas besoin de transformer le médecin que vous êtes en spécialiste de la sécurité informatique mais prenez tout de même un petit moment pour vous informer.
Prévenir vaux mieux que guérir (difficilement)
Le personnel de votre cabinet doit acquérir des connaissances de bases sur la cybersécurité, il pourra se former en suivant la formation proposée par le Département du développement économique (DDE) du canton de Genève. Vous pourrez découvrir comment sécuriser son poste de travail sur le site du centre informatique de l’Unil. Vous pourrez enfin parcourir le site du Centre national pour la cybersécurité pour avoir un aperçu des risques mais aussi savoir que faire en cas d’attaque.
Etape 1. Mieux comprendre les risques
Le site du Département du développement économique (DDE) du canton de Genève sera très utile pour former l’ensembles des membres de votre cabinet. Il propose une formation à distance pour apprendre à se prémunir contre les cyberrisques. Entièrement gratuit, le cursus se décline sous la forme de huit vidéos interactives qui s’adressent en premier lieu aux employés des PME genevoises.
Vous pourrez aussi, pour rester informé, vous inscrire à la newsletter de la FMH consacré à la cybersécurité (en écrivant à cybersecurity@fmh.ch).
HIN propose des formations en ligne sur la sécurité informatique et sur la protection des données.
Etape 2. Sécuriser son poste de travail
Le site du centre informatique de l’Unil propose une page intitulée Sécuriser son poste de travail qui est un bon point de départ pour découvrir les mesures à prendre pour sécuriser les ordinateurs de votre cabinet. Même si cette page est destinée aux utilisateurs de l’Unil, la plupart des conseils sont aussi applicables à un cabinet ou à un centre médical.
La page Assurez votre sécurité en ligne de l’Etat de Vaud est aussi une façon de comprendre les mesures à prendre pour vous protéger.
Vous trouverez aussi sur le site de la FMH une page Exigences minimales pour la sécurité informatique des cabinets médicaux. Le document Exigences minimales pour la sécurité informatique des cabinets médicaux – D3 peut servir de liste pour connaître l’ensemble des éléments à contrôler.
Vous trouverez aussi sur le site HIN un article Sécurité informatique: voici comment vous protéger contre les cyberattaques qui résume les principales mesures à prendre.
La Caisse des médecins propose un check-up informatique: examen de l’état de l’informatique du cabinet, mises à jour et contrôle des versions de logiciel et des antivirus, nettoyage des données, suppression des fichiers inutiles, contrôle de la fonction de sauvegarde des données, vérification des performances et de la sécurité de l’accès Internet, établissement d’un compte-rendu écrit avec évaluation de la situation actuelle et proposition de mesures pour le confort d’utilisation et la sécurité d’exploitation le cas échéant.
Etape 3. Comment choisir ses mots de passe ?
Les abonnés au journal Heidi.news pourront lire l’article Pourquoi et comment gérer ses différents mots de passe en ligne. L’article Top 8 des meilleurs gestionnaires de mode de passe pourra aussi vous être utile.
Etape 4. Le courrier électronique, danger
Le courrier électronique est un moyen de communication très utile mais c’est aussi pour la sécurité de votre informatique un danger potentiel. Le site du Centre national pour la cybersécurité propose une page sur la gestion sûre du courrier électronique, vous pourrez en savoir plus sur le phishing (l’email avec appât) sur le site iBarry.ch. Pour tout savoir sur les règles à suivre pour une utilisation sûre du courrier électronique en médecine, vous pourrez lire l’article Utilisation du courrier électronique en médecine générale : recommandations pratiques publié en 2017 dans la Revue médicale suisse et qui, contrairement à ce que son titre dit, s’applique à toutes les spécialités médicales.
Etape 5. Savoir ce qu’est un rançongiciel
Vous trouverez des informations sur cette menace grandissante sur le site du Centre national pour la cybersécurité, vous pourrez ainsi comprendre les menaces qui pèsent sur les entreprises et autres institutions. Un article publié en 2016 dans le Bulletin des médecins suisses portait aussi sur ce sujet. Vous trouverez enfin sur le site Hin.ch l’article Rançongiciels: les données comme moyen d’extorsion qui donne des conseils très pratiques sur les mesures préventives à prendre.
Etape 6. Faut-il souscrire à une cyber assurance ?
Une question simple mais une réponse complexe. Vous trouverez des éléments de réponde dans cet article du journal Le Temps: Cyberassurance: comment les entreprises se protègent et à quelles conditions mais aussi en visionnant l’émission ABE du 22.02.2022 Dangers du net : que valent les assurances contre les cyber-risques ? Vous y trouverez en particulier un comparatif des assurances contre le cyber-risque.
Etape 7. Que faire en cas d’attaque ?
Vous trouverez de précieuses informations sur l’attitude à adopter en cas de cyberattaques, de fuite de données, de rançongiciel ou de site piraté sur le site du Centre national pour la cybersécurité (NCSC). Au-delà de la théorie, vous devez vous préparer, et le personnel de votre cabinet avec, pour réagir en cas d’attaque informatique. Vous trouverez des informations très utiles dans l’article agir correctement en cas de cyberattaque sur le site hin.ch: a) les mesures que vous devez prendre immédiatement b) où trouver de l’aide c) à qui signaler la cyberattaque. Vous devez surtout préparer un document papier (Word / PDF) que votre personnel trouvera en quelques secondes et cas de problème et qui présentera ce qui doit être fait dans l’urgence, étape après étape.
Etape 8. Planifiez un check-up annuel
Planifiez un check-up annuel de votre infrastructure informatique, un jour durant lequel vous vérifierez que vos logiciels sont à jour, que votre sauvegarde est opérationnelle, que les mots de passe utilisés sont sûrs et que tout le personnel de votre cabinet sait reconnaître un courriel frauduleux.