Article
1. Cybersécurité VS cyber-résilience
« L’art de naviguer dans les torrents » c’est la métaphore du Dr Boris Cyrulnik, neurologue et psychiatre bordelais, pour décrire la résilience. En psychologie, la résilience désigne l’aptitude d’un individu à se construire et à vivre normalement même après avoir vécu des traumatismes.
En informatique, c’est exactement le même principe. La cyber-résilience c’est la capacité d’une organisation à poursuivre son fonctionnement en dépit d’attaque ou de panne. Autrement dit la cybersécurité c’est bien, la cyber-résilience c’est encore mieux ! La cybersécurité désigne l’ensemble de moyens pour assurer la sécurité de son système et de ses données. Elle n’a de poids que si elle fait partie intégrante d’une réflexion plus globale, la cyber-résilience. Ainsi, penser à la sécurité des données médicales en permanence permet de ne pas être dans une logique de survie mais plutôt dans une logique d’anticipation des évènements.
Devenir cyber-résilient pour un médecin lui permet de ne pas être paralysé par un évènement mais de continuer à recevoir sa patientèle et de faire son travail correctement. C’est aussi une philosophie qui aide à se déculpabiliser car c’est avouer que nul n’est à l’abris de cyber-incidents. La sécurité des données de santé des patients n’est donc jamais acquise et nécessite de réfléchir constamment sur le sujet comme un véritable projet.
2. Devenir cyber-résilient, en pratique
A chaque semaine, son lot de cyberattaques (Article Cyberattaques, des menaces 4 fois plus nombreuses en un an). Il n’y a pas de démarche unique sur laquelle il faudrait s’inspirer pour devenir cyber-résilient mais il y a quelques points fondamentaux à prendre en compte. La cyber-résilience est une véritable démarche holistique qui vous permettra d’assurer la sécurité de votre système d’information et d’anticiper les cyberattaques futures. Il s’agit d’adopter une vision à 360° qui vous permettra de vous relever en cas de survenue d’un incident informatique portant atteinte à votre système et aux données qu’il contient.
Tenir compte des erreurs du passé (les siennes ou bien celles des autres) permet d’avancer. Rentrer dans une démarche d’amélioration continue est un point fondamental en cyber-résilience. Comme le précise la CNIL, beaucoup de manquements à la Loi Informatique et Liberté sont évitables. Chaque trimestre, elle répertorie un incident de sécurité consultable par tous.1
Parce que l’environnement numérique évolue constamment, votre rôle est de vous tenir à jour en lisant mais aussi en vous appuyant sur des experts qui sauront vous transmettre des informations fiables. Ainsi, vous former à la cybersécurité peut être une bonne idée. Si vous êtes le responsable du traitement des données, vous comprendrez mieux les enjeux de la protection des données de santé et l’ensemble de l’écosystème numérique dans lequel vous êtes plongé quotidiennement sans vous en rendre compte. Cela vous aidera donc à y voir plus clair, à prévoir les correctifs nécessaires et à être plus à l’aise pour partager des informations précises à vos patients. En plus de vous tenir informé sur l’environnement extérieur, il est évident que vous devrez connaitre votre environnement intérieur pour combler ses failles. Poser vous toutes les questions nécessaires pour vous assurer que votre système de sécurité est fiable. Cela peut-être de vérifier que votre antivirus et votre firewall sont bien mis à jour, par exemple.
Adopter une bonne hygiène informatique au sein de votre cabinet médical est primordial. Cela signifie qu’il va falloir bannir certaines habitudes comme l’utilisation d’un ordinateur personnel plutôt qu’un ordinateur professionnel, ou bien l’utilisation d’un logiciel médical sans authentification forte, ou bien encore arrêter d’échapper aux mises à jour de votre système d’exploitation, de vos antivirus et autres logiciels. Le manque de mises à jour peut rendre votre système vulnérable et vous exposer à des vols de données ou une intrusion malveillante. Bien évidemment la liste n’est pas exhaustive.
Effectuer une analyse d’impact relative à la protection des données est également une action indispensable, elle est même obligatoire pour les structures de santé.2 Elle ne se fait pas en deux minutes, mais, cela vous permettra à la fois de construire un traitement de données conforme au RGPD, d’anticiper les attaques et également d’être en mesure de le justifier en cas de contrôle. Vous pouvez aussi envisager un audit de votre système d’information avec un expert informatique.
« L’arnaque au président » continue de sévir mais n’oubliez jamais que les pirates ont beaucoup d’imagination, faites preuve de bon sens afin de vous prémunir contre les cyberattaques. Pour en savoir plus sur la cyber-résilience, n’hésitez pas à consulter le dernier chapitre du Guide de la cybersécurité pour la médecine libérale.