Cybersécurité ESSMS : 7 mesures pour protéger vos équipements

La cybersécurité en ESSMS est un sujet auquel on ne pense pas naturellement. Pourtant, au même titre que le secteur sanitaire, le secteur social et médico-social peut être confronté aux tentatives de vol, d’exposition ou de modifications des données.

‍

Ces attaques peuvent perturber le quotidien des professionnels et mettre en péril la prise en charge des usagers.

‍

En nous appuyant sur les recommandations de l’Agence du Numérique en Santé*, Qualineo décrypte sept actions à mettre en place rapidement pour la sécurité de votre système d’information.

‍

*Source : La cybersécurité pour le social et le médico-social en 13 Questions. Guide publié par le gouvernement en partenariat avec l’Agence du Numérique en Santé (ANS).

‍

Mesure n°1 : Faire l’inventaire du matériel, des logiciels, des données et des traitements

La démarche préalable pour protéger son système d’information en ESSMS, consiste à inventorier tout ce qui constitue le patrimoine du parc informatique de l’établissement.

‍

À quoi ça sert ?

Procéder à l’inventaire régulier de ses équipements (et à sa mise à jour une fois par an) permet :

d’aider au choix de solutions numériques adaptés
d’Identifier les éventuels points de sécurité à envisager
Faciliter le travail des professionnels en cas d'incident.

‍

Inventorier les équipements et services

Ordinateurs (fixe et portable) et ses périphériques (box, clés 4G, imprimantes, etc.)
Tablettes, smartphones

Serveur local ou distant (service de messagerie, services logiciels en ligne, etc.)

‍

Inventorier les logiciels utilisés

Lister leur nom, leurs fonctions principales, les versions, l’éditeur
Les utilisateurs (ainsi que la dernière formation et utilisateurs concernés)
Vérifier la validité des licences d’utilisation (indispensable d’un point de vue légal ainsi que pour la maintenance)

‍

Inventorier les données et traitements

Il s'agit ici de faire l’inventaire :

des données et traitements liées aux personnes accompagnées
des données sensibles (données de santé) soumises à obligation légale.

‍

Inventorier les accès

Ainsi que le préconise le Règlement Général sur la Protection des Données (RGPD) il s'agit ici de déterminer qui se connecte au système d'information et les modalités de chaque accès :

catégorie de l'accédant (administrateur, utilisateur, invité)
moyen d'accès (connexion locale ou distante)

Il s’agit également de vérifier qu'aucun accès indu n'est maintenu (ancien employé, ancien prestataire).

‍

Inventorier les interconnexions avec l’extérieur

Il s’agit ici de contrôler les droits d’accès et de recenser :

Tout accès internet vers un prestataire ou partenaire
Les accès des employés au SI (en cas de nomadisme par exemple).

‍

Mesure n°2 : Procéder à des sauvegardes régulières

Des sauvegardes régulières permettent de restaurer plus rapidement l’opérationnel en cas d’incident, notamment en cas d’attaque rançongiciel.

‍

Déterminer les données à sauvegarder

Il peut s’agir :

des données personnelles (usagers ou professionnels)
des données financières ou administratives.

‍

Déterminer le rythme des sauvegardes

À définir en fonction du volume de données numériques produites sur un temps donné.

‍

Déterminer le choix du ou des supports à privilégier

Il peut s’agir d’une sauvegarde :

sur un disque dur externe à accès limité (et à déconnecter du SI à l’issue de la sauvegarde)
et/ou sur un cloud sécurisé.

Il est prudent d’opter pour les deux pour les données les plus sensibles notamment.

‍

Évaluer la pertinence d’un chiffrement des données

Le chiffrement des données (appelé aussi algorithme de chiffrement ou code) consiste à convertir des données depuis un format lisible dans un format codé. Cela concerne le stockage dans un service cloud. Ainsi en cas d’intrusion malveillante, les données restent protégées.

‍

Respecter le cadre juridique

En application du règlement général sur la protection des données (RGPD), les données personnelles relatives aux usagers ou au personnel de la structure nécessitent une protection renforcée et ce quels que soient les objectifs du stockage (traitement ou sauvegarde).

‍

Mesure n°3 : Procéder à des mises à jour régulières

Effectuer les mises à jour du système d’exploitation et de tous les logiciels utilisés, et ce, dès la mise à disposition des correctifs de sécurité par les éditeurs, est primordiale.

‍

À quoi ça sert ?

Ces mises à jour régulières des systèmes d’exploitation et de tout logiciel permettent de réduire la vulnérabilité de vos équipements. Cette mesure est d’autant plus importante pour les équipements connectés à internet (postes de travail, serveurs de fichier, etc.).

‍

Activer les mises à jour automatiques

Pour éviter tout oubli, il est recommandé d'activer les fonctions de mise à jour automatique et de scan automatique des espaces de stockage proposées par les antivirus commerciaux.

‍

Mettre au rebut le matériel non maintenu

Tout matériel ou logiciel qui ne peut plus être mis à jour doit être mis au rebut et être désinstallé. Conserver un matériel ou logiciel au-delà de son cycle de vie garanti par l’éditeur ou le fabricant, présente un risque en termes de sécurité.

Mesure n°4 : Déployer des antivirus

Les antivirus permettent de protéger des menaces connues et de bloquer une attaque par rançongiciel.

‍

Il est recommandé de :

déployer un antivirus sur tous les équipements, notamment ceux connectés à Internet (postes de travail, serveurs de fichier, etc.)
veiller à tenir à jour le logiciel en lui-même afin de ne pas affaiblir la protection offerte par l’antivirus
procéder à l’activation de la mise à jour automatique des antivirus (lorsqu'elle est proposée)
mettre en œuvre une gestion centralisée des antivirus pour pouvoir assurer le suivi et contrôle de leur déploiement sur les équipements.

‍

Mesure n°5 : Choisir des mots de passe robustes

Il faut savoir qu'un grand nombre d’attaques sur Internet sont dues à l’utilisation de mots de passe trop simples, utilisés plusieurs fois ou partagés entre plusieurs utilisateurs.

Un mot de passe robuste doit comporter :

des capitales
des minuscules
des chiffres
des caractères spéciaux.

‍

L’Agence National de la Sécurité des Systèmes d’Information (ANSSI) recommande aux ESSMS :

un minimum de 9 caractères pour les services peu critiques
un minimum de 14 caractères pour les services critiques (accès à des données de santé de l’usager).

‍

Définir une politique de mots de passe

Il est impératif d’utiliser des mots de passe différents pour chaque service et chaque messagerie. Parmi les mesures efficaces de gestion et stockage de mots de passe, vous pouvez opter pour :

le coffre-fort de mots de passe. Cet outil permet de générer automatiquement des mots de passe uniques, forts et sécurisés et de les garder en mémoire. Il est accessible via un seul et unique mot de passe.
la double authentification (notamment pour les applications qui gèrent des données de santé). Elle permet de renforcer la sécurité de l’accès à vos comptes (code reçu par mail ou SMS).

‍

Opter pour l’authentification unifiée

Si votre établissement dispose de nombreuses solutions logicielles centralisées (messagerie, applications web internes, etc.) activer un service d’authentification unifié de type Single Sign-on permet de simplifier et de renforcer l’authentification. Ainsi, à l’issue de plusieurs échecs de connexion, ce type de service permet notamment le blocage des comptes.

‍

Mesure n°6 : Activer un pare-feu

Un pare-feu constitue la première ligne de défense contre des attaques provenant d’Internet.

‍

Activer le pare-feu individuel

Le pare-feu pré-installé doit être activé sur chaque poste de travail. Il constitue un premier niveau de protection pour :

bloquer les flux non strictement nécessaires
journaliser les flux bloqués.

‍

Activer un pare-feu physique

Placé entre le réseau privé de l’entreprise et internet, le pare-feu physique ou matériel permet de bloquer toute requête entrante non sollicitée. Sa mise en place est recommandée pour chaque lieu géographique/ bâtiment ayant son propre accès à internet.

‍

Pour l’interconnexion à internet, cela se traduit par :

la mise en œuvre d’une zone « démilitarisée » (DMZ), constituée de pare-feux, mais aussi de services de rebond (notamment pour la messagerie et la navigation web)

Mesure n°7 : Sécuriser sa messagerie

Ouverture de pièces jointes renfermant un code malveillant, clic sur un lien dirigeant vers un site malveillant, la messagerie est un vecteur important d’infection du poste de travail. C’est la première porte d’entrée pour un cybercriminel. À ce titre, la sensibilisation du personnel des ESSMS sur les tentatives d’hameçonnage est primordiale.

‍

Adopter les bons réflexes contre les tentatives

Si l’émetteur du mail est connu : vérifier l’authenticité du message via un autre canal (SMS, appel téléphonique, etc).
Avant de cliquer sur le lien douteux, positionner le curseur de votre souris sur ce lien (sans cliquer) pour vérifier la vraisemblance. Attention, parfois un seul caractère peut changer dans l’adresse du site pour vous tromper.
Autre possibilité : se rendre sur le site de l’organisme en utilisant le moteur de recherche pour accéder à votre compte (et sans passer par le lien proposé par le mail).

Configurer sa messagerie

Que l’hébergement du système de messagerie soit internalisé ou externalisé, la structure ESSMS doit s’assurer de :

Disposer d’un système d’analyse antivirus en amont des boîtes aux lettres des utilisateurs (afin de prévenir la réception de fichiers infectés)
La mise en place des protocoles de vérification d’authenticité et d’intégrité des mails (Sender Policy Framework – SPF, DomainKeys Identified Mail – DKIM, etc.)
De l’activation du chiffrement TLS permettant de crypter les échanges entre les serveurs de messagerie (de l’entité ou publics) ainsi qu’entre les postes utilisateurs et les serveurs hébergeant les boîtes de messagerie électronique.

‍

Que faire en cas de Cyberattaque en ESSMS ?

Les bons gestes à adopter :

Déconnecter d’internet l’équipement ou le système d’information de la structure.
Ne pas éteindre, ni modifier les ordinateurs et matériels affectés par l’attaque (essentiels pour l’enquête)
Ne pas payer la rançon demandée
Porter plainte
Déclarer l'incident via le Portail de signalement des événements sanitaires indésirables conformément à l’ordonnance de 2020 (voir plus bas)
Informer la CNIL (Commission Nationale de l'Informatique et des Libertés) si un incident implique des données personnelles et présente un risque pour les droits et libertés des personnes.

‍

Incidents de sécurité des SI en ESSMS : le contexte juridique

Depuis l’ordonnance du 19 novembre 2020, la déclaration d’incident est en effet obligatoire pour les ESSMS.

‍

Le Décret n° 2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d'information est venu renforcer l’ordonnance.

‍

Pour rappel l’article D1111-16-2 du Code de la Santé Publique prévoit que doivent faire l’objet d’une information à l’Administration, sous forme de déclaration d’incident grave de sécurité des systèmes d’information, les évènements suivants :

les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins
les incidents ayant des conséquences sur la confidentialité ou l'intégrité des données de santé ;
les incidents portant atteinte au fonctionnement normal de l'établissement, de l'organisme ou du service
les incidents ayant un retentissement potentiel ou avéré sur l'organisation départementale, régionale ou nationale du système de santé ;
les incidents susceptibles de toucher d'autres établissements, organismes ou services.

‍

À cet égard, sont considérés comme significatifs :

les incidents ayant un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé ;
les incidents susceptibles de toucher d’autres établissements, organismes ou services.

‍

Vous avez trouvé cet article instructif ? Partagez-le sur LinkedIn ! Et pour ne manquer aucune actualité sociale et médico-sociale, inscrivez-vous à la newsletter de Qualineo !