Aide et Contact Un sinistre ? Espace personnel
  1. Accueil
  2. Actualités
  3. Cyberattaques : quels risques pour les données de santé ?
Cyberattaques-risques-donnees-professionnels-sante-macsf

Cyberattaques : quels risques pour les données de santé ?

L'équipe éditoriale MACSF

Le 23.06.2023
À 14:00

3 min

Les attaques informatiques de CHU, de laboratoires, de structures de soin ou de professionnels de santé libéraux défraient régulièrement la chronique. La MACSF décrypte les différents risques qui pèsent sur les professionnels de santé et donne des clés efficaces pour s'en protéger.

Les données de santé : un précieux trésor pour les cyberattaquants

Les données de santé comprennent des informations essentielles, qui intéressent les administrations de santé nationales et internationales, comme les laboratoires, chercheurs, et professionnels de santé impliqués dans l'analyse et la gestion des maladies. Synthétisées et anonymisées, ces données sont utiles au progrès de la science. 

Mais, elles intéressent aussi les pirates informatiques qui peuvent : 

  • les “prendre en otage” (lors d’opérations de demandes de rançons, par exemple), 
  • les détourner et les utiliser pour des opérations malveillantes, 
  • les voler afin d'alimenter un marché occulte - qui attise la convoitise d'organisations malhonnêtes. 

Selon l'Observatoire des incidents de sécurité des systèmes d'information pour les secteurs santé et médico-social, en 2022 :
- 17 structures ont dû mettre en place un mode dégradé de fonctionnement ;
- Le nombre d'établissements ayant déclaré au moins un incident a augmenté de 33 % ;
- Les incidents ayant mené à la divulgation ou l'accès à des informations à caractère personnel sont en hausse et représentent 18 % des signalements ;
- Le Cert Santé est intervenu auprès de 97 établissements concernant 101 incidents.

Quels risques pèsent sur les données de santé ?

Les dangers concernant les données numériques de santé se situent à plusieurs niveaux.

Une attaque peut d’abord empêcher la structure de soins ou le professionnel de santé libéral de travailler : les données des patients deviennent chiffrées ou sont complètement effacées. Cela entraîne un blocage – parfois durant plusieurs semaines – des outils de travail essentiels : dossiers historiques de maladies et traitements, imagerie médicale, plannings, transmissions CPAM, etc. Cette interruption involontaire est souvent synonyme de pertes d’exploitation.

Une attaque peut aussi entraîner le vol de données non anonymisées, diffusées à mauvais escient : noms et coordonnées du patient, numéro de Sécurité sociale, maladies et traitements passés et en cours. Des données considérées comme hautement confidentielles et protégées par le secret médical

Ces informations sont, par ailleurs, protégées par la loi (notamment le RGPD, Règlement Général de Protection des Données Personnelles). La responsabilité civile de la structure de soins ou du professionnel de santé libéral vis-à-vis des patients est alors engagée : si les données sont compromises, le RGPD oblige à notifier les patients, mais également la Cnil.

Une assurance contre les risques cyber

En 2022, seules 12 028 entreprises étaient assurées contre le risque cyber en France (source Amrae). Pour protéger votre activité professionnelle contre les risques de cyberattaques, vous pouvez opter pour la garantie cyber de la MACSF. Vous disposez d’une assistance technique pour gérer et solutionner l’incident, ainsi que d’une couverture pour les dommages subis et causés à des tiers.

Comment protéger efficacement les données de santé ?

De simples gestes-barrière permettent de repousser la grande majorité des tentatives de cyberattaques :

  • Contrôler et surveiller l’accès à vos matériels fixes et mobiles ; 
  • Gérer strictement l’usage de votre carte CPS ;
  • Utiliser des mots de passe forts*, dédiés à chaque application, bien gardés au secret - voire utiliser une authentification à deux facteurs ; 
  • Sauvegarder les données systématiquement et hors réseau ; 
  • Utiliser une messagerie sécurisée pour transmettre des documents confidentiels ; 
  • Connaître et respecter les contraintes du RGPD concernant les données de santé ; 
  • S’informer et se former régulièrement aux risques numériques.

Dès que vous avez un doute sur l’authenticité ou la licéité d’un message, ne prenez pas de risque et demandez de l’aide à notre hotline 24/7

*Un mot de passe considéré comme “fort” comporte au moins douze caractères incluant des lettres minuscules et majuscules, des chiffres, des symboles comme &, _, ! etc. Et bien entendu, il ne doit servir qu’à un seul accès et ne pas être évident à deviner.

Pour en savoir plus :
guide pratique du CNIL et du Conseil de l'Ordre à l'attention des médecins
guide RGPD du CNIL et du Conseil de l'Ordre à l'attention des pharmaciens

Face à l’introduction massive des nouvelles technologies numériques dans le monde médical, l’Agence numérique de santé souhaite sensibiliser les professionnels de santé, et les usagers à la cybersécurité en proposant des formations en ligne sur les bonnes pratiques individuelles et sur les actions à mettre en place en cas de cyberattaque.

Les termes à connaître sur les cyber risques

  • Darkweb : pages Internet accessibles uniquement via des navigateurs spéciaux. Elles sont notamment le lieu d’activités illégales (vente de données, de drogues…). 
  • Déni de service (DoS) : action (malveillante ou accidentelle) qui a pour résultat de bloquer ou de ralentir un système d’information. Si elle est lancée à partir de plusieurs machines, on parle alors de « Déni de service distribué » (DDoS). 
  • Hameçonnage (ou « phishing » en anglais) : technique qui consiste, pour les pirates informatiques, à envoyer un mail aux couleurs d’un partenaire ou d’un prestataire de confiance, dans le but de dérober des informations. 
  • Harponnage (ou « spear-phishing » en anglais) : une déclinaison de l’hameçonnage, qui s’appuie sur une connaissance de la cible et une personnalisation du message. 
  • Homme du milieu (ou « man in the middle » en anglais) : technique à travers laquelle un pirate informatique intercepte les données échangées entre deux parties, à leur insu. 
  • Ingénierie sociale (ou « social engineering » en anglais) : manipulation psychologique exercée dans le but d’obtenir la confiance de la victime et de lui soutirer des informations, de l’argent… 
  • Logiciel malveillant (ou « malware » en anglais) : programme informatique destiné à nuire à un système informatique. Il peut prendre la forme par exemple d’un rançongiciel ou encore d’un botnet, qui utilisera votre machine et sa capacité  à votre insu pour faire partie d'un réseau pirate d'ordinateurs malveillants. 
  • Pare-feu (ou « firewall » en anglais) : outil permettant de protéger les ordinateurs connectés à un réseau. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant). 
  • Rançongiciel (ou « ransomware » en anglais) : logiciel malveillant qui crypte les données de ses cibles, avant de demander le paiement d’une rançon pour le déblocage des informations retenues en otage. 
  • Réseau de machines zombies (ou « botnet » en anglais) : ensemble de machines infectées par un logiciel malveillant et utilisées par les pirates informatiques, le plus souvent dans le cadre d’attaques DoS. 
  • Shadow IT : logiciels installés sur des ordinateurs professionnels sans l’autorisation préalable de la DSI. 
  • Test d’intrusion (ou « pentest » en anglais, pour « penetration test ») : attaque volontairement menée contre son propre réseau, afin d’en détecter les failles de sécurité. 
  • Ver : logiciel malveillant qui se caractérise par sa capacité à se propager et s’exécuter en toute autonomie, sans programme hôte (tel qu’un fichier exécutable). 
  • Virus : logiciel malveillant qui se diffuse à partir de programmes hôtes (tel qu’un fichier exécutable).

La responsabilité des professionnels de santé augmente à l’ère du tout numérique : déjà lourde par ses enjeux, s’ajoute aujourd’hui celle de protéger aussi les données personnelles confiées par les patients.

Conseiller MACSF

Vous souhaitez discuter avec un conseiller MACSF ?

Faites le point sur vos besoins lors d'un rendez-vous.

Souscription, informations et accompagnement,
nos conseillers sont à votre écoute !

Je prends rendez-vous

Ces sujets pourraient vous intéresser

Guide cybersécurité : prévention et bonnes pratiques
Livre blanc : Cybersécurité - MACSF

19.01.2023

Guide cybersécurité : prévention et bonnes pratiques

Le monde de la santé n'est pas épargné par les cyberattaques. Les attaquants sont de plus en plus professionnalisés et ont de plus en p

La plateforme 17Cyber : le dispositif national d’assistance pour les victimes de cyberattaques
Cyberattaques-risques-donnees-professionnels-sante-macsf

30.01.2025

3 min

La plateforme 17Cyber : le dispositif national d’assistance pour les victimes de cyberattaques

Appels de faux conseillers bancaires : la banque doit-elle rembourser les opérations frauduleuses ?
Femme étonnée regarde son téléphone portable - MACSF

24.10.2024

6 min

Appels de faux conseillers bancaires : la banque doit-elle rembourser les opérations frauduleuses ?

Chaque mois, recevez toute l’actualité sur votre profession et votre spécialité

Ok

Les solutions MACSF

Cyber-risques MACSF

Assurance cyber-risques

Protégez votre activité des conséquences d’une cyberattaque (compromission ou fuite des données, demande de rançon, interruption d’activité…)

En savoir plus sur l'assurance cyber
Lieu de Travail MACSF

Assurance multirisque professionnelle

L’assurance multirisque professionnelle protège votre cabinet médical ou paramédical ainsi que votre matériel contre les risques professionnels. Elle garantit la poursuite de votre activité en cas de sinistre.

En savoir plus
/

L’application MACSF

Accédez à votre espace personnel et toutes ses fonctionnalités sur votre mobile !

Bouton Apple Store Appli MACSF
Bouton Google Play Appli

En savoir plus sur l'application

Suivez-nous

/Facebook - MACSF /Instagram - MACSF /Youtube - MACSF /Linkedin - MACSF