Télétravail dans le médical, le risque de cyberattaques

télétravail cybercriminalité dans le domaine de la santé

télétravail cyberattaque dans le domaine de la santé

Le télétravail en milieu médical

Le médical fait partie des secteurs professionnels qui semblaient incompatibles avec le télétravail. L’importance de la présence physique du professionnel de santé auprès de son patient est indiscutable. Il n’est pas seulement question de l’efficacité de la prise en charge médicale : la proximité physique est un marqueur de confiance entre le soignant et le soigné. C’est aussi un gage de sécurité et de confidentialité des échanges.

Pour autant, certaines formes de travail à distance concernent les professionnels de santé. La période de confinement provoquée par la crise du Coronavirus – COVID-19 a nettement fait progresser la téléconsultation par exemple. Mais au sens strict du terme, le télétravail ne touche qu’une partie des travailleurs du médical. C’est notamment le cas des secrétaires médicales, dont les missions cadrent bien avec les principes du travail à distance.

Les risques de cyberattaque en télétravail

Les professionnels de santé travaillant à distance sont des cibles pour les hackers, qui n’hésitent pas à exploiter la crise du coronavirus.

Des professionnels de santé particulièrement visés

Le recours au télétravail en milieu médical s’accompagne d’un sujet majeur : protéger la confidentialité des données traitées à distance. Le Conseil national de l’Ordre des médecins rappelle que le principe de secret professionnel s’étend aux collaborateurs du médecin, assistants et prestataires. Comme tous les agents médicaux travaillant à distance, ils traitent des données à caractère sensible. Ce sont des informations personnelles strictement protégées par la loi au niveau européen, dans le cadre du RGPD.

L’actualité récente a mis en lumière une forte augmentation des cyberattaques. Le phénomène se nourrit directement de la crise sanitaire, de la période troublée du confinement, et de la mise en œuvre généralisée du télétravail. Le contexte difficile et inédit a largement inspiré les cybercriminels, qui n’hésitent pas à exploiter à des fins malhonnêtes les doutes et les peurs de leurs cibles.

Ces attaques touchent tout particulièrement les établissements médicaux. Quant aux particuliers qui travaillent à distance dans l’univers médical, ils peuvent devenir de véritables proies pour les hackers. L’ANS a alerté le monde de la santé sur le sujet dès le 16 mars, via sa cellule ACSS (Accompagnement cybersécurité des structures de santé). Ces mises en garde évoquaient déjà des communications frauduleuses autour de la crise sanitaire, officielles en apparence, mais porteuses d’un virus informatique.

Les formes courantes des cyberattaques

Arnaque à la webcam piratée, hameçonnage, faux ordres de virement… Les cyberattaques prennent différentes formes.

L’hameçonnage (phishing)

Les attaques par hameçonnage représentent le risque principal pour le travailleur à distance. Ce sont des e-mails ou des SMS qui semblent provenir d’un contact de confiance. Ils cherchent à récupérer des identifiants de connexion pour accéder à des données sensibles, et voler des informations confidentielles.

Les rançongiciels (ransomware)

Un rançongiciel permet aux cybercriminels de bloquer l’accès à un ordinateur ou à certains de ses fichiers. Le retour à la normale est promis en échange d’un paiement, évidemment non garanti. Ce type de logiciel peut infecter un système de diverses manières : par un simple clic sur un lien corrompu, par le téléchargement d’une pièce jointe à un e-mail…

Le vol de données

Le vol de données peut être le but poursuivi lors d’une attaque par hameçonnage ou ransomware. Les données dérobées font l’objet d’un chantage, d’une revente ou d’une diffusion malveillante. Le vol de données est la conséquence d’une intrusion sur le réseau ou sur les solutions d’hébergement d’une structure.

Les faux ordres de virement (FOVI/BEC)

Aussi connue sous le nom de fraude ou d’arnaque au président, cette technique consiste à pousser un collaborateur de la structure visée à effectuer un virement bancaire. Pour cela, l’auteur usurpe l’identité d’un interlocuteur de confiance : un dirigeant, un fournisseur, un prestataire…

Les bonnes pratiques pour travailler à distance

Le professionnel du médical qui travaille à distance traite toutes sortes de fichiers dématérialisés. Il peut envoyer un dossier patient, un compte rendu d’examen, de l’imagerie médicale… Manipulant des données sensibles, il doit observer les règles du code de déontologie médicale et du Règlement général sur la protection des données (RGPD).

En télétravail, la sécurité des données traitées passe aussi par un ensemble de bonnes pratiques à adopter. La vigilance est de mise ! Le télétravailleur doit constamment se méfier des e-mails et SMS douteux, même s’ils ont une allure officielle. Surtout, les courriels qui contiennent des liens à cliquer ou des pièces jointes à télécharger appellent à la prudence. Dans le doute, une prise de contact auprès de l’émetteur (hiérarchie, organisme officiel) est nécessaire.

D’autres règles s’appliquent, qui portent sur l’équipement et les systèmes informatiques du télétravailleur :

  • Assurer la sécurité de sa connexion Wifi ;
  • Protéger ses appareils avec un antivirus efficace ;
  • Créer des mots de passe complexes et différents selon les appareils et comptes utilisés ;
  • Distinguer les appareils entre usage professionnel et usage privé ;
  • Appliquer les mises à jour régulières sur ses outils de travail ;
  • Effectuer des sauvegardes régulières.

Les outils DropCloud pour télétravailler dans le médical

Les experts en cybersécurité encouragent les entreprises à utiliser des outils de télétravail qui reposent sur le Cloud Computing pour renforcer la sécurité de leurs fichiers. Les données sont ainsi hébergées sur des serveurs externes ultra-sécurisés.

Concernant les établissements et structures de santé, les règles de sauvegarde externe des données sont strictes et clairement posées par la loi. Le choix d’un prestataire certifié ISO27001-HDS est indispensable afin de mettre en place un environnement de travail multisites pleinement sécurisé pour ses différents collaborateurs.

Certifié ISO27001-HDS, DropCloud est un éditeur français de solutions logicielles en mode SaaS. Il propose deux outils utiles pour télétravailler en toute sécurité en milieu médical :

  • WeDrop Santé pour le partage de fichiers et la synchronisation multipostes ;
  • WeSend Santé pour l’envoi sécurisé de fichiers médicaux volumineux.

Ces solutions en ligne offrent de riches fonctionnalités qui facilitent le travail des collaborateurs à distance. Elles ont été spécialement développées pour répondre aux besoins des professionnels de santé.

 

télétravail et cyberattaque Tester wesend et wedrop

Olivier CARRE
Olivier CARRE
Directeur Marketing et Commercial – DropCloud