La cyber-résilience des entreprises de santé
Quel est désormais le pire cauchemar des entrepreneurs ? Si l’on en croit le Risk Barometer 2020 de l’assureur Allianz, ce n’est ni la grève ni les catastrophes naturelles, mais bien les cyberattaques. Rançonnage, paralysie du système, vol de données… ces agressions se sont multipliées à l’occasion de la pandémie de Covid, visant tout particulièrement les structures de santé. Aujourd’hui, la plupart des entrepreneurs sont bien conscients des enjeux de la cybersécurité. Mais savent-ils que celle-ci n’est désormais plus suffisante ? Il faut également organiser la cyber-résilience de l’organisation.
La cyber-résilience en santé, qu’est-ce que c’est ?
La cybersécurité désigne un ensemble de pratiques et de systèmes destinés à identifier des menaces numériques et à y faire face. Elle est pour l’essentiel l’apanage des directions informatiques.
La cyber-résilience est une attitude qui vise à considérer l’impact global d’une agression cyber sur l’entreprise. Issu du vocabulaire de la psychologie, le mot résilience désigne en effet la capacité à surmonter un traumatisme puis à se reconstruire. Dès lors, la cyber-résilience ne se focalise pas sur l’attaque en elle-même. Elle prend également en compte son anticipation et la réponse de l’organisation à l’agression. Elle veut garantir la continuité de l’activité en toutes circonstances. La cyber-résilience agit selon trois axes :
- Anticiper les cyber-risques et se protéger des attaques visant les données médicales.
- Organiser la gestion de crise et limiter les dommages causés à l’organisation.
- Déployer les mesures nécessaires pour relancer ou assurer la continuité de l’activité.
Une nécessité vitale pour les professionnels de santé
Aujourd’hui, on sait que toute entreprise connaîtra au moins une cyberattaque au cours de son existence. De plus en plus connectées, les organisations sont de plus en plus exposées. La banalisation du télétravail depuis la pandémie de Covid a encore augmenté les fragilités de nos systèmes. Dans le travail quotidien, les salariés ne font pas toujours la séparation entre usage public et privé. Le recours à des appareils personnels ou à des logiciels non sécurisés est monnaie courante. Les connexions non protégées, les antivirus non mis à jour constituent autant de failles à exploiter pour les cybercriminels.
Dès lors, rien de plus facile que de voler un mot de passe pour s’introduire dans le système et s’emparer des données sensibles de l’entreprise. Plusieurs centres hospitaliers français en ont fait les frais récemment. Et au-delà du rançonnage, le trafic de données, encore plus lucratif, permet de mettre en œuvre des campagnes massives de phishing. Les salariés sont hameçonnés par mail, SMS ou téléphone.
Organiser la cyber-résilience de son entreprise est donc une nécessité vitale. Sans cela, la continuité de l’activité risque d’être gravement compromise, la confiance des investisseurs comme celle des patients également. De plus, pour un professionnel de santé, sécuriser les données sensibles dont il est le gardien est une obligation légale. Enfin, la résilience est une question de survie. Bien des entreprises ne se relèvent jamais d’une cyberattaque.
Comment établir la cyber-résilience en santé ?
Comment les professionnels de santé peuvent-ils assurer la résilience de leur entreprise ? La première étape consiste à ne pas cantonner la cybersécurité au département informatique. C’est une problématique globale qui concerne tous les membres de l’organisation. Les dirigeants doivent d’ailleurs montrer l’exemple et porter une vision stratégique globale de la sécurité de l’entreprise. Réaliser une analyse de risque en amont apparaît comme indispensable.
La cyber-résilience doit également présider à la conception de l’architecture informatique de l’entreprise, qui doit faire appel à des solutions secured by design. Il s’agit de systèmes et de matériels dont la conception intègre la dimension de sécurité. Par ailleurs, toutes les technologies visant à la protection où à la réparation du système peuvent s’avérer intéressantes. Ainsi des mécanismes d’autoréparation du Bios, ou encore des méthodes de sauvegarde distante permettant une restauration rapide. Il est également intéressant de mettre en place des moyens de communication décentralisés, qui éviteront une saturation du système en cas d’attaque par déni de service.
Bien sûr, tout cela est inutile sans une solide formation des salariés de votre entreprise de santé. Le facteur humain est en effet la principale faiblesse des organisations. Des formations et des exercices réguliers encourageront chacun à se tenir prêt.
Enfin, il faut évidemment élaborer un plan de continuité de l’activité, qui permettra d’organiser la poursuite de l’activité dans les meilleures conditions au moment de l’agression ou dans les heures qui suivront.
S’assurer une restauration des données immédiate pour une résilience optimale
La continuité de l’activité ne peut être garantie que par la possibilité de restaurer en quelques minutes les données perdues ou endommagées. Cela ne s’improvise pas. Il faut avoir défini en amont une solide politique de sauvegarde, grâce par exemple à la méthode 3-2-1. Elle consiste à réaliser trois copies de chaque fichier. Deux copies seront conservées sur place sur des supports non connectés entre eux. Une troisième copie sera sauvegardée sur un support distant.
C’est le service que vous propose NeoBe Santé, de DropCloud. NeoBe est un système de sauvegarde en ligne pour vos fichiers, vos boîtes mails et surtout vos logiciels médicaux et vos bases de données patientes. Vos dossiers sont cryptés puis sauvegardés sur des serveurs sécurisés situés exclusivement en France. Vous pouvez restaurer vos données 24 heures sur 24 en quelques minutes. De plus, NeoBe Santé est certifié ISO 27001 HDS, norme obligatoire pour les hébergeurs de données de santé.
