Avec la directive NIS 1 et NIS 2, l’Union Européenne veut aujourd’hui un cadre sécuritaire quant à la protection cybersécurité de ses états membres. Mais alors, qui est concerné par la directive NIS 2 ?

Directive NIS 2 : Qui est concerné ?

La directive NIS 2 est actuellement en cours de discussion parmi les États membres de l’Union européenne. Cette disposition vise à renforcer la première directive NIS (Network and Information System Security), votée le 6 juillet 2016. Sa transposition dans la loi française a eu lieu en 2018. Il s’agit ici, bien entendu, de cybersécurité. Dans ce cadre, l’élaboration de NIS 2 s’inscrit dans un processus de réévaluation classique. La seconde directive entend étendre les obligations en matière de sécurité à de nouveaux acteurs, face à une cybercriminalité galopante. Dès lors, chaque entreprise ou organisation se doit de vérifier si elle est concernée par cette mesure à venir.

Petit rappel de NIS 1

Les directives NIS ont pour but la protection des systèmes de sécurité. La NIS 1 le déclinait ainsi en quatre objectifs : gouvernance des États en matière de cybersécurité, coopération entre États membres, sécurité des opérateurs de services essentiels (OSE) et sécurité des fournisseurs de services numériques (FSN). Les OSE sont les organisations dont l’activité est essentielle à la vie économique et sociale du pays. Les FSN regroupent les moteurs de recherche, les marketplaces de grande dimension, les opérateurs de stockage en ligne… La NIS fixe à ces opérateurs deux types d’obligations. Tout d’abord, ils doivent mettre en œuvre les moyens techniques, physiques et organisationnels pour assurer la sécurité de leurs réseaux et systèmes d’information. Ensuite, ils doivent notifier aux autorités tout incident de sécurité d’une certaine ampleur.

Quelles nouveautés pour NIS 2 ?

La situation, depuis 2018, n’a cessé d’évoluer. La crise du Covid a notamment mis en lumière la fragilité numérique de certains secteurs. La pandémie a en effet servi de cadre à des attaques informatiques de grande ampleur, visant notamment les structures de santé. De plus, la numérisation rapide de l’économie crée de nouvelles failles de sécurité. Or, toutes les organisations ne sont pas conscientes de ces risques. Dans l’Union, le niveau de protection des entreprises s’avère très hétérogène. La révision de la NIS était donc au programme dès 2020. La présidence française de l’Union, débutée en janvier 2022, a marqué une volonté nouvelle d’avancer dans ce domaine. L’accord européen intervenu en mai 2022 doit aboutir à une nouvelle directive, la NIS 2.

La NIS 2 entend prolonger la NIS 1 en l’améliorant. Il s’agit avant tout de concevoir une politique de cybersécurité européenne efficace. Un véritable « bouclier cyber ». Dans cette optique, le nombre des OSE devrait être considérablement élargi et leurs obligations renforcées. Selon La Tribune, jusqu’à 150 000 entreprises et organismes seraient concernés. Par ailleurs, si jusque là les autorités favorisaient la bienveillance et la pédagogie pour faire appliquer les règles de sécurité fixée, les contrôles devraient être renforcés.

Qui est concerné par NIS 1 & 2 ?

A la question, qui est concerné par la directive NIS 2, il y a d’abord NIS 1. Elle définissait sept secteurs sensibles dont les opérateurs se voyaient qualifiés d’OSE. Avec la NIS 2, ce chiffre s’élève à une quinzaine de secteurs. Santé, banque et services financiers, transport, énergie, eau potable, télécoms, fournisseurs d’accès à internet, datacenters, services des eaux usées et de gestion des déchets, certaines entreprises industrielles (comme les laboratoires pharmaceutiques), alimentation, services postaux, secteur spatial et administrations publiques sont concernés.

Dans chaque secteur, c’est au Premier ministre de définir les organisations considérées comme OSE. Parmi les critères retenus figure bien sûr la taille de l’entreprise. Il s’agit pour l’essentiel de grandes ou moyennes entreprises. Le nombre d’utilisateurs entre également en ligne de compte, ainsi que son importance dans le secteur donné. L’impact qu’aurait un incident cyber grave sur la vie économique et sociale du pays est également déterminant.

Les OSE ainsi désignés se voient prescrire un certain nombre d’obligations légales. Ils doivent nommer un représentant auprès de l’ANSSI et identifier leurs systèmes d’information essentiels (SIE). Elles doivent appliquer à ceux-ci les règles de sécurité imposées par la directive. Elles doivent enfin déclarer tout incident significatif et se soumettre aux contrôles de l’ANSSI ou de ses prestataires qualifiés.

La NIS 2 devrait entrer en vigueur en avril 2024. Ce délai est indispensable au vu de l’ampleur de la tâche. Les OSE vont devoir identifier leurs besoins et faire appel aux spécialistes de la cybersécurité. Cela représente pour certains un investissement non négligeable. Quant aux prestataires de solutions informatiques sécurisées, ils vont devoir faire face à une explosion des demandes. Le marché de la cybersécurité n’en est sans doute qu’à ses balbutiements.

Quelles solutions pour les OSE ?

Comment répondre aux nombreuses obligations qui s’imposent désormais aux OSE ? En matière de sauvegarde, d’accès distant ou encore de partage sécurisé, les entreprises concernées peuvent s’appuyer sur les solutions santé de DropCloud. DropCloud Santé est spécialiste des solutions sécurisées pour le travail en ligne du secteur de la santé et du médical. Le service NeoBe Santé, par exemple, propose un système de sauvegarde en ligne entièrement sécurisé. Le stockage s’effectue sur des serveurs situés en France. Le contenu est accessible à tout moment, la restauration possible 24 h sur 24. WeSend Santé permet l’envoi de fichiers volumineux en toute sécurité. WeDrop Santé est une plateforme de travail collaboratif en ligne limitant les risques de fuite ou d’intrusion. Toutes ces solutions sont certifiées ISO 27001 HDS. Un gage certain de sécurité !

Aujourd’hui, tout organisme hébergeant des données de santé ou y ayant accès doit être certifié HDS. L’exigence de ce certificat permet de mieux protéger le secret médical dans un contexte de numérisation croissante. Mais alors Quels sont les documents nécessitants une certification HDS ? Pour des questions d’efficacité, en effet, de plus en plus de structures de santé stockent leurs données en ligne. Et si cela simplifie grandement la gestion des données, ce n’est évidemment pas sans danger.

Mais alors, Quels sont les documents nécessitants une certification HDS ? DropCloud vous propose de faire le point.

La certification HDS, pour quelles activités ?

Instaurée par le Code de la santé, la certification HDS, pour Hébergeurs de données de santé, est une homologation exigée de tout prestataire ou organisme stockant ou gérant des données de santé. Elle est notamment obligatoire dans le cadre des activités ainsi définies :

Stockage des données de santé.

Gestion et exploitation des données de santé.

Conception et maintenance de sites assurant un traitement de données de santé.

Conception et maintenance des infrastructures matérielles dédiées.

La délivrance du certificat HDS garantit que le prestataire applique les règles de sécurité et de confidentialité exigées aux données de santé qu’il héberge.

Qui est concerné ?

Toute structure se livrant à l’une des activités ci-dessus doit obtenir une certification HDS. Cela concerne donc, à des degrés divers, tous les acteurs du secteur de la santé. S’ils ne sont pas encore certifiés, c’est à eux d’effectuer les démarches nécessaires en ce sens.

Parmi les organismes concernés, citons les hôpitaux, les pharmacies, les industries pharmaceutiques et les laboratoires d’analyse biomédicale. S’y ajoutent les cabinets médicaux, la médecine du travail, les compagnies d’assurance, les mutuelles de santé. Ajoutons encore les associations œuvrant dans le domaine de la santé. Cette liste, bien sûr, n’est pas exhaustive. Tout organisme gérant des données de santé doit obtenir ce certificat. C’est d’ailleurs un excellent moyen de rassurer les clients comme les patients.

De quelles données parle-t-on ?

« Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. » Ainsi dispose l’article 8 de la Convention européenne des droits de l’homme. Il constitue le fondement de la protection des données personnelles. Afin de mieux garantir ce droit, la certification HDS s’attache à assurer la sécurité de ces données dans le domaine de la santé. Elle concerne donc tout document recelant des informations médicales à caractère personnel.

Informations sur la santé physique ou mentale

L’état de santé d’une personne est hautement confidentiel. Sa divulgation peut avoir des répercussions graves sur son travail ou sa vie sociale. Elle peut subir des pressions, un chantage ou des violences. Une confidentialité totale s’applique donc aux informations sur ce sujet. C’est la teneur même du secret médical. Seuls le patient et son médecin doivent y avoir accès. Tout organisme qui héberge ou traite ces données doit donc veiller à les protéger contre toute intrusion, attaque ou fuite.

Informations sur les antécédents

Les antécédents sanitaires d’une personne sont également un sujet délicat. Leur divulgation peut notamment entraîner le refus de prêts ou de contrats de travail ou d’assurance. C’est au patient, et à lui seul, de décider à qui et comment les diffuser. Pour être certifié HDS, un prestataire doit donc démontrer qu’il applique à ces données les mêmes protections qu’aux précédentes.

Pronostics médicaux

Le pronostic vise à interpréter l’état passé et présent du patient pour anticiper l’évolution de sa santé. Ce sont des informations cruciales, notamment pour les personnes souffrant de pathologies dégénératives ou de cancers. Là encore, leur divulgation peut avoir des conséquences graves. Licenciement, refus de prêt, stigmatisation… les effets peuvent être dévastateurs. On comprend dès lors que le stockage et la gestion de telles données exigent de l’opérateur une certification HDS.

Vie privée

À ces informations purement médicales s’ajoute un certain nombre de données privées plus générales. Il s’agit de la situation familiale du patient, son état matrimonial, le nombre de ses enfants, les pathologies héréditaires… La détention de telles informations pourrait en effet permettre, par croisement de données, de connaître la santé du patient. Elles sont donc elles aussi protégées par la certification HDS. En résumé, tout organisme qui traite ou stocke des données ayant trait à la santé, aux antécédents médicaux et aux informations familiales des patients doivent obtenir le certificat HDS.

DropCloud santé, une solution complète pour vos données de santé

Pour garantir la sécurité de vos données de santé, DropCloud Santé vous propose un ensemble de solutions adaptées.

NeoBe Santé assure la sauvegarde en ligne sécurisée de toutes vos données, sur des serveurs exclusivement situés en France. Elle vous garantit un accès immédiat à vos données, et une restauration disponible 24 heures sur 24.

WeSend Santé vous offre une solution de partage de fichiers volumineux. Elle est idéale pour des documents lourds de type imagerie médicale. Elle permet d’échanger avec les patients et les médecins.

WeDrop Santé est une plateforme de travail collaboratif, ergonomique et intuitive. Elle vous permet de gérer les accès, inviter des personnes, partager des documents. Vous pourrez créer des comptes patients pour la consultation des résultats. L’interface est personnalisable, et pourra donc arborer vos couleurs.

Toutes ces applications répondent à la norme ISO 27001 sur la sécurité des données. Elles bénéficient d’un certificat HDS. Elles reposent sur l’usage de serveurs situés en France, car DropCloud est une entreprise française. Vous pouvez lui confier vos plus précieuses données en toute confiance.

Vous êtes un professionnel de santé ? Découvrez comment s’assurer de la conformité HDS dans le choix d’une solution de stockage en ligne.

Conformité HDS : Ce qu’il faut savoir

Pour un professionnel de santé, il est indispensable de confier ses précieuses données à un hébergeur certifié HDS. Or, dans le marché pléthorique des applications de stockage à distance, nombreuses sont celles qui revendiquent cette conformité. Mais qu’en est-il vraiment ? En quoi consiste le certificat HDS et comment l’obtient-on ? Quel est le cahier des charges imposé ?

Afin de vous permettre de choisir votre hébergeur en connaissance de cause, DropCloud vous en dit plus sur les subtilités de la certification HDS.

Les critères d’obtention d’un certificat HDS, une histoire de normes

Mis en place par le Code de la santé, le certificat HDS, comme son sigle l’indique, s’impose aux Hébergeurs de Données de Santé. Pour l’obtenir, les prestataires de stockage en ligne doivent répondre à un certain nombre de normes et de garanties en termes de sécurité informatique.

ISO 27001 et l’assurance de la conformité HDS

Tout repose sur la norme ISO 27001, qui constitue à elle seule les quatre cinquièmes de la certification. Cette norme précise les caractéristiques exigées d’un système de management de la sécurité de l’information (SMSI) pour qu’il soit jugé satisfaisant. Le SMSI doit être en mesure de garantir la sécurité du système d’information de l’entreprise ou de l’organisme concerné. Il doit notamment être capable de prévenir toute intrusion, altération ou perte de données. Mais de quelles données parle-t-on ici ? Il s’agit des données à caractère personnel, financier, intellectuel ou toute autre information confidentielle que détient l’organisme. La certification ISO 27001 des structures de santé permet donc aux patients de s’assurer de la protection de leurs données personnelles.

ISO 20000 

ISO 20000 est une norme de certification des services informatiques des organisations. Elle permet de s’assurer du respect d’un certain nombre d’exigences de qualité. Un organisme certifié ISO 20000 a démontré qu’il avait su mettre en place un système de management des services rigoureux et sûr. Il a su se montrer vigilant lors de sa mise en place. Il surveille étroitement son exécution, sa sécurité et sa maintenance. La norme ISO 20000 garantit un contrôle régulier des systèmes d’information de l’organisme, qui veille donc à rester en permanence à la pointe de la sécurité informatique. Elle représente un réel avantage concurrentiel.

Comme ISO 27001, ISO 20000 fait partie du cahier des charges pour l’obtention d’un certificat HDS. Cela permet de garantir la vigilance de l’hébergeur de données de santé. Celui-ci doit exercer une veille active face aux dangers qui guettent les systèmes connectés. Elle constitue une assurance que les données de vos patients ne subiront pas de fuite, de rançonnage ou de destruction.

Outre la conformité à ces normes, les hébergeurs de données de santé s’engagent à respecter la stricte confidentialité des données qui leur sont confiées.

La protection des données à caractère personnel

L’engagement à respecter la protection des données repose sur une coopération totale avec le client dans la gestion de ces informations. Ainsi, aucun hébergeur de données de santé ne peut s’autoriser à traiter, modifier ou utiliser les données qui lui sont confiées à d’autres fins que leur hébergement. Le prestataire doit par ailleurs définir avec son client un délai de détention des informations. Au-delà de ce délai, il s’engage à les effacer intégralement.

Par ailleurs, si la justice opère une saisie des données dont il est dépositaire, il doit en informer immédiatement son client. Si, avec l’autorisation de ce dernier, il transmet les données à un tiers, il doit en assurer la traçabilité. Il doit également sécuriser les transferts entre son client et lui. Enfin, il ne peut en aucun cas sous-traiter la gestion des informations confiées, sauf autorisation expresse du client.

Le transfert et le stockage des données personnelles doivent faire l’objet d’un cryptage préalable. En cas d’intrusion dans son système de stockage, l’hébergeur doit immédiatement informer son client. Enfin, dans la perspective de la fin du contrat d’hébergement, les modalités de restitution des données confiées sont fixées à l’avance.

L’engagement au respect de la protection des données personnelles par l’hébergeur est indispensable à l’octroi d’un certificat HDS. Il en découle la responsabilité de l’hébergeur aux termes du contrat signé avec son client. En cas de non-respect des clauses prévues dans cet accord, le client peut attaquer son hébergeur devant la justice.

Ce dernier point est fondamental. Il permet en effet de distinguer un hébergeur certifié HDS d’un prestataire qui se prétendrait « conforme » HDS. Le premier engage sa responsabilité par contrat, ce que le second se gardera bien de faire, du moins à un tel niveau.

DropCloud santé, une solution certifiée HDS

DropCloud Santé est une solution complète de travail en ligne pour les professionnels de santé. Ses nombreuses applications de sauvegarde, de transfert et de partage sont toutes certifiées ISO 27001 et certifiées HDS. De plus, DropCloud est une entreprise française dont les serveurs sont situés en France. Les données que vous nous confiez sont donc protégées par la législation française. Par ailleurs, nous nous engageons contractuellement à leur restitution.

Avec DropCloud Santé, vos données sont accessibles 24 heures sur 24, depuis n’importe quel ordinateur. Vous bénéficiez d’une sauvegarde automatisée et d’une restauration accessible en quelques clics. De plus, grâce à nos solutions de partage et de transfert, vos collaborateurs peuvent télétravailler en toute simplicité. Vous pouvez également créer des comptes patients pour la consultation des dossiers personnels. Vous pouvez même personnaliser l’interface pour afficher votre identité visuelle.

Avec DropCloud Santé, adoptez une solution complète et sûre pour la protection des données de vos patients.

Vous êtes un professionnel de santé ? Découvrez comment choisir votre logiciel de partage de fichiers.

Choisir son logiciel de partage de fichiers  

Dossiers médicaux, imagerie, factures… le partage de fichiers est aujourd’hui indispensable pour une entreprise de santé. Les solutions de partage en ligne permettent de fluidifier les échanges et garantissent une meilleure productivité de vos collaborateurs. Le sujet, néanmoins, est sensible. Les professionnels de santé manipulent des données confidentielles, qui ne peuvent faire l’objet de tels partages sans précaution.

Dès lors, quelle solution adopter ? La question est d’autant plus complexe que l’offre est pléthorique. Le bon réflexe ? Établissez une liste de critères allant des incontournables aux plus optionnels. DropCloud vous guide dans cette réflexion.

La sécurité d’abord 

Pour un professionnel de santé, la priorité, c’est la sécurité des données. Les entreprises de santé abritent en effet des données personnelles sensibles, qu’elles ont l’obligation de protéger. Il en va du secret médical. De plus, le RGPD fait obligation à toutes les entreprises de protéger les données personnelles, même non médicales. Cela concerne donc les dossiers de vos patients, mais aussi les renseignements concernant vos fournisseurs, vos salariés ou vos collègues.

Or, les risques sont importants. La cybercriminalité progresse de façon fulgurante, les cas d’attaques, de vol ou de détournement de données se multiplient. Ils visent malheureusement souvent les structures de santé, comme ce fut le cas début 2021 dans plusieurs centres hospitaliers. Personne ne doit donc se croire à l’abri d’une cyberattaque, avec des conséquences parfois très graves. Demande de rançon, données perdues ou détruites… l’image de votre entreprise risque d’en pâtir sévèrement.

Sans précaution, le partage en ligne peut exposer vos données. Néanmoins, certains logiciels vous offrent une protection optimale. Votre premier critère de choix doit donc être celui-ci. Optez pour un prestataire certifié ISO 27001 HDS. La norme ISO 27001 garantit la capacité du logiciel à protéger vos données. L’habilitation HDS est requise pour les hébergeurs de données de santé. L’application WeSend Santé de DropCloud bénéficie de cette double certification. Elle offre une protection par mot de passe, un transfert sous certificat SSL 128 bits, le chiffrement de vos fichiers partagés et leur suppression après leur téléchargement.

L’indépendance, une évidence

Votre prestataire héberge vos données dans des serveurs situés en France, et c’est une bonne chose. Mais est-ce suffisant ? Malheureusement, non. Car elles n’échappent pas pour autant à la législation d’autres pays. Aux États-Unis par exemple, le Cloud Act autorise le gouvernement à accéder aux données des entreprises présentes sur le sol américain. Et ce, même si le serveur qui les abrite se situe à l’étranger ! Aussi, votre prestataire américain a beau stocker vos données en France, il n’en est pas totalement le maître. Choisissez donc plutôt un prestataire français ou européen, dont les serveurs sont implantés sur le sol français, comme DropCloud. Vos données seront alors protégées par la loi française.

L’accessibilité, une priorité 

Côté sécurité, vous avez donc pris vos précautions. Mais si vos données ne sont pas accessibles à tout moment, est-ce suffisant ? Un logiciel qui ne vous permettrait pas d’accéder à volonté à vos fichiers risquerait fort d’être contourné par des collaborateurs pressés. Or en matière de santé, l’urgence s’impose bien souvent. Et il n’est pas question de devoir attendre. L’accessibilité est donc un critère de choix fondamental. Le partage de fichiers n’a d’intérêt que s’il peut s’opérer à tout moment. Vos dossiers doivent rester accessibles de jour comme de nuit. Ils doivent être consultables depuis vos bureaux, depuis l’étranger ou depuis le domicile de vos collaborateurs dans le cadre du télétravail.

WeSend Santé de DropCloud permet à chacun, médecins, patients et collaborateurs, d’accéder à ses dossiers partout et à tout moment. Chaque modification est immédiatement prise en compte. Les personnes concernées peuvent donc suivre l’évolution d’un dossier en temps réel.

L’ergonomie, clef de l’efficacité

Si les qualités évoquées jusque là sont indispensables, celle-ci est essentielle. En effet, un logiciel trop complexe ou rébarbatif sera peu et mal utilisé. Si vos collaborateurs ne sont pas convaincus, ils ne l’adopteront pas. Au contraire, s’il propose une interface agréable et une prise en main instinctive, ils ne pourront plus s’en passer. En quelques clics, ils auront accès à leurs dossiers, pourront identifier les versions, partager un fichier… Leur travail sera plus productif et plus agréable. Si la solution de partage de fichiers possède toutes les caractéristiques que nous venons d’évoquer, pourquoi ne pas chercher mieux encore ? Certaines applications offrent des fonctionnalités encore plus avancées. Vous pouvez par exemple privilégier une solution avec versioning. Cette fonction, disponible dans WeSend Santé, permet de conserver l’historique des différents fichiers stockés depuis leur création. Avec le versioning, vous pouvez à tout moment restaurer un document détruit ou modifié accidentellement.

Autre fonction intéressante, WeSend Santé vous permet de recevoir des notifications pour toute modification de vos fichiers : téléchargement, accès, etc. Vous pouvez également décider à tout moment des droits d’accès à ces documents. Consultation simple pour les patients, modification pour les médecins, etc

WeSend Santé, la solution

WeSend Santé répond à toutes vos exigences. Cette application constitue une solution de partage de fichiers idéale pour les professionnels de santé.

Avec WeSend Santé, vous pouvez envoyer des fichiers volumineux très facilement : imagerie, bilans, dossiers… Vous pouvez également créer des comptes invités pour vos patients, ou partager des fichiers lourds avec vos collègues. L’interface administrateur vous permet de créer, gérer et supprimer ces comptes selon vos besoins.

WeSend Santé comporte en outre un espace de stockage important et facile d’usage. Enfin, votre interface WeSend Santé est personnalisable. Vos patients comme vos fournisseurs pourront ainsi vous identifier clairement. DropCloud et WeSend Santé satisferont tous vos critères.

En matière de cybersécurité, toutes les précautions du monde seront inutiles si elles ne sont pas appliquées. Leur efficacité dépend en effet largement de la bonne volonté des opérateurs. Or, ceux-ci s’autorisent parfois certaines libertés. Il ne s’agit pas, ici, d’ignorance des règles, mais bien d’une volonté délibérée de s’en dispenser. Mais alors pourquoi les employés enfreignent ils les protocoles ? Comment expliquer cette attitude et surtout, comment s’en protéger ? À l’heure du télétravail, cette question est d’une brûlante actualité, surtout pour les professionnels de santé qui manipulent des données particulièrement sensibles.

Pourquoi les salariés enfreignent-ils les protocoles ? 

Deux chercheurs américains, Mindy Ross et Clay Posey, ont souhaité répondre à cette question en interrogeant 330 salariés en télétravail. Les résultats de leur étude, publiés dans la Harvard Business Review, sont éclairants. Si les employés violent les protocoles de cybersécurité, ce n’est presque jamais par malveillance, mais plutôt dans un but louable. Pourquoi les employés enfreignent ils les protocoles ? Dans les deux tiers des cas, ils se montrent simplement désireux de gagner en efficacité en contournant les procédures. Ils espèrent ainsi améliorer leur productivité. Parfois, c’est par altruisme qu’ils agissent ainsi. En effet, dans un cas sur cinq, les opérateurs contournent le protocole pour aider un collègue en difficulté. Enfin, soumis à une situation de stress, certains salariés choisissent volontairement de passer outre les règles de cybersécurité. Ce stress peut trouver son origine dans le milieu professionnel, la situation familiale ou encore le protocole de sécurité lui-même !

Avec l’explosion du télétravail, auquel ont recours de nombreux professionnels de santé, cette situation s’avère problématique à double titre. Tout d’abord, les connexions distantes requièrent des précautions supplémentaires qui ne sont pas toujours appliquées ni même connues. De plus, le salarié en télétravail, plus facilement laissé à lui-même, peut avoir à opérer seul un arbitrage entre efficacité et sécurité au détriment de cette dernière. Les structures de santé doivent donc, à tout prix, prendre les mesures qui s’imposent.

Sensibilisation et adaptation des protocoles

Pourquoi les employés enfreignent ils les protocoles ? Si les salariés réagissent ainsi, c’est en partie parce que les protocoles de cybersécurité ne sont pas adaptés. Ceux-ci doivent être régulièrement mis à jour et ajustés aux pratiques de la structure de santé. Le télétravail ou le BYOD requièrent par exemple l’application de règles spécifiques. Par ailleurs, les règles édictées doivent être simples, claires et faciles à mettre en œuvre.

Cela, bien sûr, ne suffit pas, si les opérateurs demeurent peu convaincus. Mais comment les convaincre ? S’ils connaissent les règles et les contournent néanmoins, que peut-on y faire ? À vrai dire, la connaissance de la règle ne suffit pas si elle ne s’accompagne pas d’une compréhension profonde. En d’autres mots, les salariés doivent être formés, non seulement aux bonnes pratiques, mais également aux enjeux vitaux de la cybersécurité. On applique toujours mieux une règle que l’on comprend bien. Ce travail de pédagogie passe par le recours à des mises en situation et à des exemples concrets. L’effort de formation doit être fréquent et constant. Il n’est pas inutile, en outre, de rappeler aux salariés leurs obligations en matière de sécurité et les contraintes qui pèsent sur les professionnels de santé quant à la confidentialité de leurs données.

Les bonnes pratiques

Par ailleurs, il est important d’insister sur certains détails, qui n’ont rien d’accessoire. La politique de mise en œuvre des mots de passe est notamment essentielle. Car la bonne pratique consistant à changer de mot de passe tous les mois ne s’applique que dans un tiers des entreprises. Les responsables informatiques doivent adopter en la matière une politique d’incitation active. Ils doivent proposer aux salariés des outils de gestion de mots de passe performants. Les dirigeants doivent également montrer l’exemple.

Autre sujet crucial, le phishing, dont malheureusement trop de salariés sont encore victimes. Cette pratique malveillante repose sur des techniques de plus en plus précises, qui ciblent le maillon faible de la sécurité informatique : l’élément humain. Il est toujours plus facile de manipuler un salarié que de s’attaquer à un logiciel sécurisé. Les salariés des structures de santé doivent donc apprendre à repérer les mails suspects : adresse, rédaction, liens, incitation à agir immédiatement… Ils doivent également apprendre à se méfier d’eux-mêmes. Aider un pseudo collègue, céder à des menaces, cliquer sur un lien par curiosité sont autant de réactions bien humaines et potentiellement dangereuses.

Un environnement de travail propice

Les professionnels de santé doivent respecter des obligations drastiques en matière de sécurité des données. Pour encourager leurs salariés à respecter les règles et leur faciliter la tâche, ils doivent leur proposer un environnement de travail simple et ergonomique, déployant des outils efficaces.

DropCloud vous propose un panel de solutions performantes et sécurisées. Notre plateforme de travail collaboratif WeDrop, très adaptée aux télétravailleurs, permet de sécuriser le travail à distance. Le logiciel WeSend permet l’envoi de fichiers volumineux en toute sécurité. Enfin, NeoBe assure la sauvegarde de vos données de santé sur des serveurs distants, situés en France, afin de permettre une restauration 24 h sur 24.

Les outils DropCloud sont certifiés ISO27001 HDS, norme propre aux hébergeurs de données de santé. Ils bénéficient d’un certificat SSL 128 bits. Toutes les données sont cryptées, et protégées par mots de passe et certificats.

Avec DropCloud, vos salariés bénéficient d’un environnement de travail ergonomique et performant. La mise en œuvre des protocoles de sécurité en est facilitée, et vos obligations en matière de protection des données de santé sont ainsi mieux assurées.

Les chiffres du ministère de l’Intérieur sont inquiétants. Pour l’année 2020/21, 380 à 460 plaintes pour cyber rançonnage ont été déposées. D’après les chiffres révélés par l’ANSSI, ce type d’attaque aurait augmenté de 255 % entre 2019 et 2020. Alors comment réagir aux risques cyber en santé ?

Face aux risques cyber en santé, l’ANSSI tire la sonnette d’alarme

Dès lors, quelle entreprise ou organisme de santé peut-il encore se permettre d’ignorer la réalité de cette menace ? Les entreprises de santé, qui abritent des données particulièrement sensibles, sont concernées au premier chef. Mais cette prise de conscience ne suffit pas : il faut agir ! Or, les entreprises de santé peuvent se trouver relativement démunies face aux problématiques de sécurité informatique, car ce n’est pas leur cœur de métier. Elles peuvent heureusement s’appuyer sur les outils mis à leur disposition par l’ANSSI. Fiches pratiques, exercice de simulation de crise cyber, cours en ligne, ces ressources ont pour ambition d’expliquer les bonnes pratiques et de préparer les organisations aux cyberattaques. La mise en œuvre d’une politique de sauvegarde des données sérieuse doit venir en appui de cette démarche.

La puissance croissante des cyber rançonneurs

Le quatrième rapport commun de l’ANSSI et de son homologue allemand, le BSI, paru en 2021, est consacré au phénomène de cyber rançonnage, dont la croissance exponentielle a de quoi inquiéter sérieusement les professionnels et les pouvoirs publics. Et si les chiffres sont impressionnants, l’évolution des modes opératoires ne l’est pas moins. D’initiatives individuelles visant à soutirer de l’argent à des particuliers, on est passé à un véritable système. Le rapport franco-allemand explique que les ransomware se trouvent aujourd’hui au cœur d’un vaste marché, et va même jusqu’à évoquer une pratique de RaaS, ransomware as a service. Plus encore, il place les attaques perpétrées par ces cybercriminels « au niveau des attaques traditionnellement associées à des groupes d’attaquants étatiques ».

Qui sont les victimes ? Selon le rapport de l’ANSSI et du BSI, elles représentent l’ensemble des organisations privées et publiques. Et si les transports, l’hôtellerie-restauration, l’industrie et les collectivités locales forment des cibles privilégiées, nul ne peut se dire à l’abri. En témoignent les tristes épisodes qui ont marqué l’année 2020 dans le secteur de la santé. Plusieurs hôpitaux français ont dû faire face à des rançongiciels, en pleine crise du Covid.

Des outils pour réagir

Yves Verhoeven, sous-directeur stratégie de l’ANSSI, résume ainsi la situation : « il y a deux types d’organisations : celles qui ont déjà été victimes d’une cyberattaque et celles qui ne tarderont pas à l’être ». Il est donc urgent d’anticiper cette menace.

Pour ce faire, les professionnels de santé peuvent s’appuyer sur les outils proposés par l’ANSSI. Le guide de gestion de crise cyber publié par l’agence le 6 décembre 2021 s’adresse aux divers échelons des structures publiques et privées. Il n’a pas été conçu pour les seuls responsables informatiques, mais pour toute personne jouant un rôle dans la mise en œuvre des SSI. L’ANSSI a travaillé avec le Club des directeurs de sécurité et de sûreté en entreprise (CDSE) pour élaborer les 18 fiches pratiques qui le composent.

À travers ce document, l’agence nationale pointe avant tout la nécessité pour une organisation de bien connaître son système d’information, les éléments qui le composent, ses points faibles. En réaliser une sorte de cartographie permet d’anticiper les formes d’une éventuelle attaque. On peut ainsi mesurer l’impact d’une telle crise et mener des actions préventives.

Autre point crucial, la sensibilisation des salariés. Dans une structure de santé, ceux-ci doivent être particulièrement avertis des enjeux d’une crise cyber sur les données ultra-sensibles qu’une telle entreprise détient. Cette sensibilisation peut passer par l’organisation d’exercices, comme ceux que propose le guide Organiser un exercice de gestion de crise cyber réalisé par l’ANSSI et le Club de la continuité d’activité.

Pour la formation des salariés comme des managers, l’ANSSI propose également un cours en ligne gratuit, accessible à tous. Disponible sur la plateforme SecNumacadémie, il inclut quatre modules : panorama de la SSI, sécurité de l’authentification, sécurité sur internet et sécurité du poste de travail et nomadisme. C’est une formation non certifiante, qui délivre une attestation de suivi.

 

Anticiper : savoir protéger ses données

La formation des salariés est essentielle, car les ransomware profitent généralement de l’ignorance ou de la négligence des utilisateurs. Mais les professionnels de santé ne peuvent faire l’impasse sur une politique de protection des données sérieuse. C’est l’une de leurs obligations légales. La perte ou l’altération des données prises en otage engage leur responsabilité et peut les mener au dépôt de bilan. Et même le paiement d’une rançon ne garantit pas que les données seront restituées intactes. Ni d’ailleurs qu’elles ne seront pas divulguées sur le dark net.

DropCloud accompagne les professionnels de santé dans la mise en place d’une solution de sauvegarde de leurs données. Notre solution NeoBe Santé est certifiée ISO-27001et agréée HDS (hébergeur de données de santé).

Simple d’utilisation, NeoBe Santé vous offre toutes les garanties. Les sauvegardes s’opèrent de façon automatique, selon le rythme que vous choisissez. Vous disposez d’un rapport de sauvegarde. Le stockage des données s’effectue sur des serveurs distants, tous situés en France. Les données stockées sont chiffrées. Accessibles 24 heures sur 24, elles permettent une restauration immédiate en cas d’attaque et garantie par assurance. NeoBe vous permet de conserver une longueur d’avance face aux cyber agresseurs.