Aujourd'hui, on constate que de nombreuses cyberattaques s'appuient davantage sur des failles humaines que sur des failles techniques, rendant la sensibilisation des professionnels de santé, et globalement des internautes, plus cruciale que jamais.
Des cyberattaques plus sophistiquées et ciblées
Les cyberattaques contre le secteur de la santé sont en recrudescence, comme nous avons pu le constater en début d'année avec les opérateurs de tiers payant Viamedis et Almerys.
Phishing, hameçonnage, malwares... les vecteurs d'attaques sont multiples. Un clic sur un lien malveillant, une pièce jointe infectée ou une information confidentielle communiquée sur une fausse plateforme peut suffire à corrompre un ordinateur, qui peut alors devenir partie prenante à une attaque, soit comme cyber-acteur, soit comme porte d'entrée dans un écosystème.
L'actualité récente montre que si le renforcement des infrastructures informatiques reste indispensable, il ne suffit plus à lui seul à contrer les cyberattaques.
Les cybercriminels développent des techniques de plus en plus sophistiquées, exploitant les failles humaines pour s'infiltrer dans les systèmes, de mieux en mieux protégés. Cela demande du temps de passer les nombreuses barrières : ils utilisent donc des méthodes d’arnaques afin d'obtenir les identifiants et de rentrer en toute légalité par la "porte" en usurpant une identité.
La sensibilisation pour lutter contre la cybercriminalité
La sensibilisation des utilisateurs devient donc incontournable face à la cybercriminalité car même les meilleurs systèmes de défense resteront inefficaces en cas de mauvaises pratiques des utilisateurs, au point que la technique vient parfois à l'aide des bonnes pratiques.
C'est par exemple le cas de l'authentification multifactorielle (MFA), qui combine des preuves de "savoir" (code mot de passe) et de "détention" (sms avec un code de validation, identification sur le portail bancaire depuis son téléphone, visant à prouver que l'utilisateur est bien en possession de son propre téléphone).
De cette façon, l'usurpateur qui disposerait d'un mot de passe ne pourrait pas se connecter à un logiciel exigeant une identification multi-factorielle.
Le secteur de la santé, cible privilégiée
En 2022, une augmentation de 38% a été constatée à l'échelle mondiale, faisant de ce secteur l'une des principales cibles des cybercriminels.
Les raisons de cet intérêt croissant pour les données de santé sont multiples. Tout d'abord, ces données ont une valeur très importante sur le « dark web ». En effet, elles regroupent des informations "exploitables" telles que le nom, les coordonnées, le numéro de sécurité sociale, les antécédents médicaux, le nom du médecin traitant, etc.
Ces informations peuvent être utilisées à de nombreuses fins frauduleuses, comme l'usurpation d'identité (permettant par exemple la souscription de crédit au nom d'autres personnes), le vol de carte bancaire, le chantage ou même la vente à des fins de marketing illégal.
D'autre part, les établissements de santé comme les hôpitaux ont la vie des patients entre leurs mains, et sont souvent financés par les pouvoirs publics, ce qui les rend plus susceptibles de céder aux demandes de rançon en cas d'attaque par ransomware.
Un enjeu collectif et individuel
La cybersécurité est un enjeu collectif et individuel : en adoptant des comportements responsables sur internet et en se formant aux bonnes pratiques, chacun peut contribuer à limiter les risques et les impacts de cyberattaques.
Participez en relayant auprès de vos élus la campagne parlementaire lancée par la Fnof. Plus de 900 envois déjà effectués.
C'est une occasion unique de reprendre la main face aux plateformes de TP et aux réseaux qui collectent abusivement et concentrent dangereusement trop de données.
https://www.acuite.fr/actualite/profession/281396/alerter-les-pouvoirs-publics-sur-les-enjeux-de-cyber-attaques-concernant