Nos articles de blog

Cybersécurité pour les ESSMS : 7 mesures accessibles pour protéger vos équipements

Gregory Cousyn

December 20, 2022

Temps de lecture :

8 minutes

cybersecurite-essms
Médico-social / Social

La cybersécurité en ESSMS est un sujet auquel on ne pense pas naturellement. Pourtant, au même titre que le secteur sanitaire, le secteur social et médico-social peut être confronté aux tentatives de vol, d’exposition ou de modifications des données.

Ces attaques peuvent perturber le quotidien des professionnels et mettre en péril la prise en charge des usagers. 

En nous appuyant sur les recommandations de l’Agence du Numérique en Santé*, Qualineo décrypte sept actions à mettre en place rapidement pour la sécurité de votre système d’information.

*Source : La cybersécurité pour le social et le médico-social en 13 Questions. Guide publié par le gouvernement en partenariat avec l’Agence du Numérique en Santé (ANS).


Mesure n°1 : Faire l’inventaire du matériel, des logiciels, des données et des traitements 

La démarche préalable pour protéger son système d’information en ESSMS, consiste à inventorier tout ce qui constitue le patrimoine du parc informatique de l’établissement. 

À quoi ça sert ?

Procéder à l’inventaire régulier de ses équipements (et à sa mise à jour une fois par an) permet :

  • d’aider au choix de solutions numériques adaptés
  • d’Identifier les éventuels points de sécurité à envisager
  • Faciliter le travail des professionnels en cas d'incident.

Inventorier les équipements et services

  • Ordinateurs (fixe et portable) et ses périphériques (box, clés 4G, imprimantes, etc.)
  • Tablettes, smartphones
  • Serveur local ou distant (service de messagerie, services logiciels en ligne, etc.)

Inventorier les logiciels utilisés 

  • Lister leur nom, leurs fonctions principales, les versions, l’éditeur
  • Les utilisateurs (ainsi que la dernière formation et utilisateurs concernés)
  • Vérifier la validité des licences d’utilisation (indispensable d’un point de vue légal ainsi que pour la maintenance)

Inventorier les données et traitements

Il s'agit ici de faire l’inventaire :

  • des données et traitements liées aux personnes accompagnées
  • des données sensibles (données de santé) soumises à obligation légale.

Inventorier les accès

Ainsi que le préconise le Règlement Général sur la Protection des Données (RGPD) il s'agit ici de déterminer qui se connecte au système d'information et les modalités de chaque accès : 

  • catégorie de l'accédant (administrateur, utilisateur, invité)
  • moyen d'accès (connexion locale ou distante) 

Il s’agit également de vérifier qu'aucun accès indu n'est maintenu (ancien employé, ancien prestataire).

Inventorier les interconnexions avec l’extérieur

Il s’agit ici de contrôler les droits d’accès et de recenser :

  • Tout accès internet vers un prestataire ou partenaire
  • Les accès des employés au SI (en cas de nomadisme par exemple).

Mesure n°2 : Procéder à des sauvegardes régulières

Des sauvegardes régulières permettent de restaurer plus rapidement l’opérationnel en cas d’incident, notamment en cas d’attaque rançongiciel.

Déterminer les données à sauvegarder

Il peut s’agir : 

  • des données personnelles (usagers ou professionnels)
  • des données financières ou administratives.

Déterminer le rythme des sauvegardes

À définir en fonction du volume de données numériques produites sur un temps donné.

Déterminer le choix du ou des supports à privilégier

Il peut s’agir d’une sauvegarde :

  • sur un disque dur externe à accès limité (et à déconnecter du SI à l’issue de la sauvegarde)
  • et/ou sur un cloud sécurisé. 

Il est prudent d’opter pour les deux pour les données les plus sensibles notamment.

Évaluer la pertinence d’un chiffrement des données

Le chiffrement des données (appelé aussi algorithme de chiffrement ou code) consiste à convertir des données depuis un format lisible dans un format codé. Cela concerne le stockage dans un service cloud. Ainsi en cas d’intrusion malveillante, les données restent protégées. 

Respecter le cadre juridique 

En application du règlement général sur la protection des données (RGPD), les données personnelles relatives aux usagers ou au personnel de la structure nécessitent une protection renforcée et ce quels que soient les objectifs du stockage (traitement ou sauvegarde).

Mesure n°3 : Procéder à des mises à jour régulières

Effectuer les mises à jour du système d’exploitation et de tous les logiciels utilisés, et ce, dès la mise à disposition des correctifs de sécurité par les éditeurs, est primordiale.

À quoi ça sert ?

Ces mises à jour régulières des systèmes d’exploitation et de tout logiciel permettent de réduire la vulnérabilité de vos équipements. Cette mesure est d’autant plus importante pour les équipements connectés à internet (postes de travail, serveurs de fichier, etc.).

Activer les mises à jour automatiques

Pour éviter tout oubli, il est recommandé d'activer les fonctions de mise à jour automatique et de scan automatique des espaces de stockage proposées par les antivirus commerciaux. 

Mettre au rebut le matériel non maintenu

Tout matériel ou logiciel qui ne peut plus être mis à jour doit être mis au rebut et être désinstallé. Conserver un matériel ou logiciel au-delà de son cycle de vie garanti par l’éditeur ou le fabricant, présente un risque en termes de sécurité.

Mesure n°4 : Déployer des antivirus

Les antivirus permettent de protéger des menaces connues et de bloquer une attaque par rançongiciel. 

Il est recommandé de :

  • déployer un antivirus sur tous les équipements, notamment ceux connectés à Internet (postes de travail, serveurs de fichier, etc.) 
  • veiller à tenir à jour le logiciel en lui-même afin de ne pas affaiblir la protection offerte par l’antivirus
  • procéder à l’activation de la mise à jour automatique des antivirus (lorsqu'elle est proposée)
  • mettre en œuvre une gestion centralisée des antivirus pour pouvoir assurer le suivi et contrôle de leur déploiement sur les équipements.

Mesure n°5 : Choisir des mots de passe robustes 

Il faut savoir qu'un grand nombre d’attaques sur Internet sont dues à l’utilisation de mots de passe trop simples, utilisés plusieurs fois ou partagés entre plusieurs utilisateurs

Un mot de passe robuste doit comporter :

  • des capitales
  • des minuscules
  • des chiffres
  • des caractères spéciaux. 

L’Agence National de la Sécurité des Systèmes d’Information (ANSSI) recommande aux ESSMS :

  • un minimum de 9 caractères pour les services peu critiques
  • un minimum de 14 caractères pour les services critiques (accès à des données de santé de l’usager). 

Définir une politique de mots de passe

Il est impératif d’utiliser des mots de passe différents pour chaque service et chaque messagerie. Parmi les mesures efficaces de gestion et stockage de mots de passe, vous pouvez opter pour :

  • le coffre-fort de mots de passe. Cet outil permet de générer automatiquement des mots de passe uniques, forts et sécurisés et de les garder en mémoire. Il est accessible via un seul et unique mot de passe.
  • la double authentification (notamment pour les applications qui gèrent des données de santé). Elle permet de renforcer la sécurité de l’accès à vos comptes (code reçu par mail ou SMS).

Opter pour l’authentification unifiée

Si votre établissement dispose de nombreuses solutions logicielles centralisées (messagerie, applications web internes, etc.) activer un service d’authentification unifié de type Single Sign-on permet de simplifier et de renforcer l’authentification. Ainsi, à l’issue de plusieurs échecs de connexion, ce type de service permet notamment le blocage des comptes.


Mesure n°6 : Activer un pare-feu

Un pare-feu constitue la première ligne de défense contre des attaques provenant d’Internet.

Activer le pare-feu individuel

Le pare-feu pré-installé doit être activé sur chaque poste de travail. Il constitue un premier niveau de protection pour :

  • bloquer les flux non strictement nécessaires
  • journaliser les flux bloqués.

Activer un pare-feu physique

Placé entre le réseau privé de l’entreprise et internet, le pare-feu physique ou matériel permet de bloquer toute requête entrante non sollicitée. Sa mise en place est recommandée pour chaque lieu géographique/ bâtiment ayant son propre accès à internet. 

Pour l’interconnexion à internet, cela se traduit par :

  • la mise en œuvre d’une zone « démilitarisée » (DMZ), constituée de pare-feux, mais aussi de services de rebond (notamment pour la messagerie et la navigation web)

Notre outil qualité

L’outil qui vous aide à piloter votre démarche qualité

Découvrir

Mesure n°7 : Sécuriser sa messagerie

Ouverture de pièces jointes renfermant un code malveillant, clic sur un lien dirigeant vers un site malveillant, la messagerie est un vecteur important d’infection du poste de travail. C’est la première porte d’entrée pour un cybercriminel.  À ce titre, la sensibilisation du personnel des ESSMS sur les tentatives d’hameçonnage est primordiale.

Adopter les bons réflexes contre les tentatives 

  • Si l’émetteur du mail est connu : vérifier l’authenticité du message via un autre canal (SMS, appel téléphonique, etc).
  • Avant de cliquer sur le lien douteux, positionner le curseur de votre souris sur ce lien (sans cliquer) pour vérifier la vraisemblance. Attention, parfois un seul caractère peut changer dans l’adresse du site pour vous tromper.  
  • Autre possibilité : se rendre sur le site de l’organisme en utilisant le moteur de recherche pour accéder à votre compte (et sans passer par le lien proposé par le mail).

Configurer sa messagerie

Que l’hébergement du système de messagerie soit internalisé ou externalisé, la structure ESSMS doit s’assurer de :

  • Disposer d’un système d’analyse antivirus en amont des boîtes aux lettres des utilisateurs (afin de prévenir la réception de fichiers infectés)
  • La mise en place des protocoles de vérification d’authenticité et d’intégrité des mails (Sender Policy Framework – SPF, DomainKeys Identified Mail – DKIM, etc.)
  • De l’activation du chiffrement TLS permettant de crypter les échanges entre les serveurs de messagerie (de l’entité ou publics) ainsi qu’entre les postes utilisateurs et les serveurs hébergeant les boîtes de messagerie électronique. 

Que faire en cas de Cyberattaque en ESSMS ?

Les bons gestes à adopter :

  • Déconnecter d’internet l’équipement ou le système d’information de la structure.
  • Ne pas éteindre, ni modifier les ordinateurs et matériels affectés par l’attaque (essentiels pour l’enquête)
  • Ne pas payer la rançon demandée
  • Porter plainte
  • Déclarer l'incident via le Portail de signalement des événements sanitaires indésirables conformément à l’ordonnance de 2020 (voir plus bas) 
  • Informer la CNIL (Commission Nationale de l'Informatique et des Libertés) si un incident implique des données personnelles et présente un risque pour les droits et libertés des personnes.

Incidents de sécurité des SI en ESSMS : le contexte juridique 

Depuis l’ordonnance du 19 novembre 2020, la déclaration d’incident est en effet obligatoire pour les ESSMS. 

Le Décret n° 2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d'information est venu renforcer l’ordonnance. 

Pour rappel l’article D1111-16-2 du Code de la Santé Publique prévoit que doivent faire l’objet d’une information à l’Administration, sous forme de déclaration d’incident grave de sécurité des systèmes d’information, les évènements suivants :

  • les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins
  • les incidents ayant des conséquences sur la confidentialité ou l'intégrité des données de santé ;
  • les incidents portant atteinte au fonctionnement normal de l'établissement, de l'organisme ou du service 
  • les incidents ayant un retentissement potentiel ou avéré sur l'organisation départementale, régionale ou nationale du système de santé ;
  • les incidents susceptibles de toucher d'autres établissements, organismes ou services.

À cet égard, sont considérés comme significatifs :

  • les incidents ayant un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé ;
  • les incidents susceptibles de toucher d’autres établissements, organismes ou services.

Vous avez trouvé cet article instructif ? Partagez-le sur LinkedIn ! Et pour ne manquer aucune actualité sociale et médico-sociale, inscrivez-vous à la newsletter de Qualineo !

Partager l’article

Questions fréquentes

Découvrez nos réponses aux questions fréquemment posées sur le DUERP en structure médico-sociale, sociale et sanitaire.

Questions fréquentes

Questions fréquentes

À propos de l’auteur

Cédric Vervisch

Cédric occupe le poste de Chief Technical Officer chez Qualineo (CTO). Au-delà de la direction technique, Cédric manage également l’équipe produit. Son rôle est de s’assurer que la vision produit est correctement retranscrite d’un point de vue technique et fonctionnel.

D’autres articles pourraient vous intéresser

Médico-social / Social

/

Gregory Cousyn

December 4, 2024
Démarche qualité des SAP : quels référentiels pour s'engager dans l'amélioration continue ?
Lire l'article
Médico-social / Social

/

Sanitaire

Gregory Cousyn

November 26, 2024
Manager en santé : 7 bonnes pratiques pour préparer l’entretien annuel d’un collaborateur
Lire l'article
Médico-social / Social

/

Gregory Cousyn

November 21, 2024
Consentement en ESSMS : ce qu'il faut savoir en 7 questions clés
Lire l'article