CYBERSÉCURITÉ

Cybersécurité : prendre le sujet « hackeur »

La gestion des risques liés aux soins fait partie de la culture du cabinet dentaire. Il faut intégrer, qu’aujourd’hui, le secteur de la santé est hautement concerné par un nouvel enjeu, celui des données. Elles représentent un véritable patrimoine, de plus en plus convoité. Il devient donc essentiel d’identifier les vulnérabilités qui concernent le cabinet afin de réduire les dangers numériques auxquels ces données peuvent être exposées

Face à un risque évoluant sans cesse, la prise de conscience est essentielle.

Ransomwares, phishing, menaces RGPD, les tendances observées par les acteurs de la cybersécurité sont claires : non seulement les cybermenaces vont continuer à frapper les organisations publiques et privées, mais elles vont aussi monter en puissance. Le cabinet dentaire est pleinement concerné.

  • Un constat ressort : de manière générale, nous ne sommes pas encore prêts à gérer des cyberattaques de type ransomware. Cela vient d’une absence d’un plan de réponse concret face à cette menace. Et pour les cabinets qui y ont pensé, beaucoup n’effectuent pas les tests ou les exercices nécessaires.
  • L’absence de sauvegardes est problématique car cela nous expose très gravement en cas de cyberattaque. On risquerait de ne jamais récupérer certaines informations essentielles à la vie d’un cabinet.
  • Le manque deformations, d’actions de sensibilisation des salariés ou collaborateurs en ce qui concerne le phishing est criant. C’est là encore un vrai souci car on sait que chacun est un maillon essentiel dans la chaîne de défense et les piratages viennent souvent d’une négligence de la part d’une personne de l’équipe.

 Définitions

Un ransomware ou rançongiciel en français est un logiciel informatique malveillant, prenant en otage les données. Il chiffre et bloque les fichiers contenus sur votre ordinateur et demande une rançon en échange d’une clé permettant de les déchiffrer. C’est arrivé récemment à plusieurs cabinets médicaux de la région bordelaise, face à la désorganisation et au chaos créés par les hackeurs deux orthodontistes se sont même résolus à payer la rançon de plusieurs milliers d’euros.

Le phishing, ou hameçonnage, en français est une pratique malveillante consistant à récupérer des informations personnelles sur un internaute. La plupart du temps, les auteurs tentent de récupérer des coordonnées bancaires ou encore d’usurper l’identité d’une personne.

Les tentatives de phishing prennent principalement la forme d’un e-mail frauduleux. Celui-ci imite l’aspect et le contenu d’un e-mail officiel (EDF, banque, services administratifs…) et invite le destinataire à renseigner ses coordonnées bancaires en suivant un lien.

Pour se protéger, il convient de toujours vérifier scrupuleusement l’adresse d’expédition du mail, le lien, et de repérer les fréquentes fautes d’orthographe, de syntaxe, les images faiblement pixellisées que contiennent ces e-mails. Il faut surtout garder une certaine logique et se dire que normalement aucun organisme officiel ne nous contacte pour nous demander nos informations bancaires…

RGPD – Règlement Général sur la Protection des Données

 

Le Règlement Général sur la Protection des Données (RGPD) est une nouvelle réglementation européenne (2018) visant à renforcer la protection des données personnelles. Il définit ce que sont les « données à caractère personnel concernant la santé » : il s’agit de « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Les données de santé sont, par essence, des données dites « sensibles » et pour les protéger, le RGPD poursuit trois objectifs :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures.
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous‐traitants).
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Les cabinets dentaires, avec les dossiers patients (papiers ou numériques), la gestion de rendez-vous en ligne, traitent des données à caractère personnel. Une protection est déjà efficiente par le secret médical mais des améliorations sont aujourd’hui à apporter sur la sécurité informatique : sécurisation des mots de passe, cryptage d’e-mails, gestion des sauvegardes, mises à jour régulières.

La donnée de santé numérique est par nature destinée à être stockée, échangée puis archivée, ce qui impose un cadre strict de sécurité.

 

 

 

L’information des patients fait partie des obligations du RGPD.

Le plus simple peut être de faire un affichage à l’accueil ou dans la salle d’attente. Il est aussi possible de diffuser l’information par le site internet du cabinet qui peut comprendre des informations complémentaires. Chaque patient doit être informé que, grâce au RGPD, il a un droit d’accès et de rectification à ses données. Il peut aussi exercer un droit à la portabilité, possibilité de demander que les données conservées par un cabinet soient mises à la disposition d’un autre cabinet.

Le RGPD apporte donc des droits supplémentaires aux patients, il introduit aussi une notion de transparence.

Tout doit être écrit, traçable. Il est intéressant de rédiger des protocoles qui serviront à former l’équipe dentaire pour répondre aux demandes des patients.

Nous collectons aussi des informations concernant la gestion du cabinet (fournisseurs, salariés…) qui sont également des données personnelles (nom, prénom, adresse, numéro de téléphone, numéro de sécurité sociale…).

 

 

 

 

 

 

BONNES PRATIQUES

Si le cadre est bien posé, reste à se l’approprier
et le mettre en pratique par la sécurité informatique.

Il est capital d’intégrer dans l’agenda du cabinet une plage destinée
à la mise à jour (qui est souvent sans cesse repoussée par manque
de temps) du système d’exploitation, de l’antivirus, du pare-feu,
et du logiciel métier de chaque poste de travail.

La mise en œuvre des sauvegardes doit être régulièrement testée
pour s’assurer de la qualité et de la préservation des données.

RISQUES

Les risques de toute défaillance pourront être d’ordre…

Stratégique : lié à l’incapacité du cabinet à s’adapter aux évolutions des environnements et des demandes des patients.

Opérationnel : mettant en jeu toutes les défaillances internes ou externes pouvant avoir de graves conséquences sur le bon fonctionnement du cabinet.

Humain : le risque lié au facteur humain est sans doute le plus important dans un cabinet. Il peut toucher aussi bien les patients que l’équipe dentaire.

Juridique : lié à la non-application d’une disposition législative ou réglementaire, impactant directement la responsabilité du représentant légal.

Financier : associé à la perte de revenu, aux indemnités pouvant être mises en jeu, aux conséquences en matière d’investissements, aux amendes…

Représentatif : directement associé à la perte de confiance envers le cabinet et son équipe, portant atteinte à son image et sa réputation.

Si nous avons bien été formés à soigner et respecter le secret médical, les menaces en perpétuelle évolution avec leurs risques et défis pour le patient et le cabinet nécessitent prévention et sensibilisation en matière de cybersécurité en prenant le sujet hautement à cœur. La prise en charge d’un patient se fait toujours par la sécurité des soins, et en intégrant qu’aujourd’hui et demain elle passe aussi par la sécurité des données.

Prenant acte des menaces concrètes qui visent les entreprises françaises, mais aussi les citoyens et les administrations, la France devrait prochainement apporter une réponse importante avec le lancement d’un numéro d’urgence, 17 cyber, joignable en permanence et qui permettra de signaler les actes de cybermalveillance sans devoir utiliser un ordinateur potentiellement compromis

 

Pour vous aider à choisir vos mots de passe , cliquez ICI

 

Toutes les informations détaillées à connaitre sur la sécurité informatique

POUR PC SOUS WINDOWS

1 LA PROTECTION HARDWARE

  • Le firewall (boîtier ou logiciel) : Attention aux IP FIXE pour un réseau
  • Disque dur amovible (crypté) clé USB aussi
  • Le système NAS
  • Faire les dvd de réinstallation ( portables)
  • Faire le fichier Iso lors de l’installation W

2 LA PROTECTION LOGICIELLE

  • Windows update
  • Antivirus (Norton, McAfee, Kaspersky, Avast, Defender)
  • Nettoyage ordinateur . CCleaner
  • Maj logiciel dentaire

3 MISE EN ŒUVRE AU CABINET

  • Contrôle « Windows update quotidien » et 2 fois par jour en été
  • Maj des antivirus puis scanner la machine
  • Faire un point de restauration Windows avant de réaliser une maj
  • Ne pas aller sur des sites non professionnels
  • Ne jamais ouvrir la pièce jointe d’un mail inconnu.
  • Sauvegardes par cloud (attention aux choix)
  • Utilisation de mailiz
  • Economiseur d’écran pour la confidentialité des patients (RGPD)

 

POUR MAC OS APPLE

LA PROTECTION HARDWARE POUR PC WINDOWS

  • Le firewall

Ce procédé permet de sécuriser les protections sur internet. Lorsque vous vous connectez vous ouvrez plusieurs tuyaux de connexion. Mais vous utilisez souvent qu’un seul de ces tuyaux. Ainsi les pirates peuvent profiter des tuyaux non utilisés pendant votre connexion pour pénétrer dans votre machine. Le but du firewall est d’obturer ces tuyaux vides en conservant celui que vous occupez pour naviguer sur internet. Le firewall surveille en permanence les accès à votre machine.il est donc important de lui déclarer les machines qui ont le droit d’emprunter les autres tuyaux lors d’un réseau par exemple. Afin de faciliter cette déclaration il est recommandé d’attribuer une adresse IP fixe à chaque machine du cabinet reliée au réseau. Le firewall existe en hardware (boitier à brancher) ou en software (application à installer). Il est préférable d’utiliser cette dernière option car les codes de déblocage des boitiers pour les paramétrer peuvent finir par être découvert par des pirates de niveau supérieur et devenir ainsi obsolètes. Les antivirus performants possèdent un firewall soft incorporé.

Par exemple pour Windows :

 

Activer ou désactiver le pare -feu Microsoft Defender :   

support.microsoft.com

Activer ou désactiver le pare -feu Microsoft Defender · Sélectionnez le bouton Démarrer > Paramètres > Mise à jour et sécurité > Sécurité Windows , puis Pare -feu et protection réseau.

Format boitier : Avantages et inconvénients des deux Systèmes : Différence entre pare-feu matériel et pare-feu logiciel – GeeksforGeeks  site anglais (en utilisant un traducteur).

 

  • Disque dur amovible  ou clé USB crypté :

Pour votre système de sauvegarde de vos données vous pouvez utiliser des disques durs amovibles ou des clés USB de grosse capacité pour les stocker à votre domicile. Ces supports ne doivent pas rester au cabinet pour éviter : soit d’être dérobés avec le matériel informatique, soit d’être détruit dans un incendie du cabinet. Mais ils peuvent aussi être dérober lors du transport ou à votre domicile. Les données des patients doivent être absolument protégées. Pour assurer cette sécurité il est préférable lors du formatage du support de sauvegarde de le chiffrer c’est-à-dire de le crypter en le protégeant par un mot de passe (qui ne peut plus être modifié par la suite sauf en reformatant le support effaçant ainsi toutes les données enregistrées dessus).

Le logiciel gratuit VeraCrypt peut protéger une partie des supports déjà formatés. Il vous permet de créer un espace sécurisé sur votre clé USB ou disque dur amovible. Ce coffre-fort numérique sera chiffré par les algorithmes les plus puissants (AES, Twofish, Serpent) et sera inviolable. Des didacticiels sur «  You tube » peuvent vous aider :

https://www.youtube.com/watch?v=G6hVqIt1FQ0

https://www.youtube.com/watch?v=YO3SSHvtQak

https://www.youtube.com/watch?v=tGre509gewI

Autre logiciel : Cryptage USB UkeySoft : https://www.ukeysoft.com/fr/usb-encryption-software/  

Verrouiller, chiffrer, mot de passe protéger votre clé USB.

Toujours chez ce fournisseur vous trouvez UkeySoft CD DVD Encryption pour Créer des CD, DVD et ISO cryptés avec le logiciel de cryptage CD / DVD.

Nous devons conserver nos données pendant 20 ans. Mais les supports informatiques magnétiques actuels ont une durée de vie au maximum de 3 à 5 ans .Il devient donc nécessaire de préserver ces fichiers sur des CD ou des DVD qui bien stockés et de bonne qualité peuvent durer 20 ans.

  • Le système NAS :

Il permet de créer votre propre cloud chez vous. Depuis le cabinet vous stockez vos données soit sur le NAS que vous transportez soit chez vous s’il est à votre domicile.

Leur capacité de stockage peut être importante 16 To (téraoctets)  et augmentée en incorporant plusieurs disques durs. Bien sûr il est nécessaire d’encrypter votre NAS et tous les disques durs qui s’y trouvent.

Accédez à votre contenu, enregistrez-le et lisez-le en tout lieu doté d’une connexion Internet, en vous servant de l’application mobile My Cloud OS 5 ou en allant sur MyCloud.com https://www.mycloud.com/#/ . Le logiciel Acronis True Image pour Western Digital offre une cyber-protection simple, efficace et sécurisée, avec un système de sauvegarde primé et une défense basée sur l’intelligence artificielle contre les rançongiciels et le cryptojacking. Utilisable sur Mac et PC, le logiciel Acronis True Image pour Western Digital sauvegarde toutes vos données, qu’il s’agisse de votre système d’exploitation, de vos applications, de vos paramètres ou de fichiers.

 

  • Faire les dvd de réinstallation (ordinateurs portables)

Chaque fabricant d’ordinateur doit vous donner le moyen de re initialiser votre ordinateur. Autrefois ils donnaient les CD de re installation (obligation règlementaire). Mais les lecteurs de CD/DVD se font rares dans les nouveaux ordinateurs (ils existent encore au format USB). Les industriels utilisent alors grâce au système de cryptage, une portion du disque dur où ils déposent tous les logiciels d’installation. Pour respecter la loi, ils vous recommandent de créer vos DVD de réinstallation qui sécurisent les programmes en cas de panne ou destruction du disque dur de l’ordinateur. Cette méthode est incontournable pour les ordinateurs portables qui ne sont plus équipés de lecteurs DVD afin de prolonger l’autonomie de la batterie.

  • Faire le fichier Iso lors de l’installation propre de Windows et de vos programmes professionnels.

Réinstaller Windows et tous vos programmes essentiels (logiciel dentaire,  office, lecteur vitale, lecteur TPE) prend beaucoup de temps. En créant un fichier ISO sur un ou plusieurs DVD de l’ordinateur nouvellement paramétré, vous pouvez en cas de piratage (ransomware) re formater votre machine et récupérer tous vos programmes très rapidement. Windows ne sait pas le faire directement, mais il existe de très nombreux outils spécialisés – souvent gratuits – pour cela, comme ISO Workshop, Magic ISO, Xilisoft ISO Burner, Free DVD ISO Maker, LC ISO Creator ou PowerISO (liste non exhaustive), qui fonctionnent tous sur le même principe très simple

 

 

2 : LA PROTECTION LOGICIELLE

  • Windows update

C’est la première chose à utiliser quotidiennement.

Pour le lancer aller dans l’icône « paramètre » dans le menu Windows            puis                puis

Cette opération en période de vacances scolaire est à réaliser 2 fois par jour. En effet les adolescents étant plus rivés à leur ordinateur pour jouer, les attaques de pirates sont plus fréquentes. Une mise à jour du système répare en permanence les brèches et failles empruntées par les pirates. Windows update permet également la mise à jour de son antivirus (Windows Defender).

  • Antivirus: Norton, McAfee, Kaspersky, Avast, Defender

Les antivirus sont indispensables pour protéger votre ordinateur. Ils sont obligatoires pour permettre la télétransmission des feuilles de soins électronique en toute sécurité. Malheureusement les virus informatiques sont très nombreux et évoluent constamment. Les différents programmes connus sont souvent chers et ralentissent sensiblement l’ordinateur. Le mieux optimisé pour Windows est « Défendeur » puisqu’il est inclus dans Windows et gratuit. Il est fortement recommandé d’effectuer un scan de la machine après chaque mise à jour de l’antivirus afin qu’il détecte un nouveau virus qui lui a échappé avant la nouvelle mise à jour.

 

  • Nettoyage ordinateur: CCleaner

Il est nécessaire également pour assurer un bon fonctionnement de l’ordinateur, de faire une fois par semaine du nettoyage au niveau des logiciels. Le programme CCleaner (gratuit) https://www.ccleaner.com/fr-fr permet de nettoyer et d’optimiser votre  PC. Il supprime les cookies, optimise la base des registres, sort les fichiers internet masqués, et met à jour les programmes et composants de votre machine.

 

  • Maj du logiciel dentaire

Il faut être abonné à ces mises à jour (Maj) pour être autorisé à la télétransmission des feuilles de soins électroniques (FSE). Attention à leur mise en place pour des configurations en réseau. Il faut généralement  éteindre le logiciel dentaire sur tous les postes sauf sur le serveur, mettre à jour celui-ci puis allumer le logiciel progressivement sur le reste du réseau. La Maj doit être effectuée sur tous les postes pour un bon fonctionnement du réseau.

 

3  MISE EN ŒUVRE AU CABINET

  • Contrôle « Windows update » quotidien  et 2 fois par jour en été
  • Maj des antivirus puis scanner la machine lors de la pause du midi
  • Faire un point de restauration Windows avant de réaliser une maj.

Créer un point de restauration du système :

Créer manuellement un point de restauration sur Windows 11, 10, 8 et 7. En cas de plantage de Windows, vous n’aurez qu’à restaurer votre PC à la date à laquelle vous avez créé le point de restauration pour retrouver votre système dans le même état que lors de la création du point de restauration. Par défaut, Windows crée automatiquement des points de restauration chaque semaine et juste avant des évènements système importants comme l’installation ou la désinstallation d’un logiciel, d’une mise à jour de Windows ou l’installation d’un pilote. Quand vous créez un point de restauration, cela crée un point de restauration pour tous les disques sur lesquels vous avez activé la Protection du système.

Méthode pour le faire manuellement :

1 : clic de gauche sur l’icône Windows puis dans Exécuter, taper : SystemPropertiesProtection.exe puis OK

Sélectionnez Créér

 

 

 

 

 

 

Entrez une description pour ce point de restauration :

Exemple :  « avant la maj de la carte graphique »

Puis cliquer sur créer.

Vous obtenez ensuite la confirmation

 

Les points de restauration sont enregistrés dans le dossier caché « System Volume Information » situé à la racine du disque où la Protection du système est activée.

Un point de restauration est conservé tant qu’il y a assez de place pour accueillir de nouveaux points de restauration sur l’espace disque alloué à la Protection du système. Si l’espace disque alloué à la Protection du système est plein et que de nouveaux points de restauration sont créés, les anciens points de restauration sont automatiquement supprimés.

Pour le retrouver reprendre toutes les étapes pour le créer mais finir en cliquant sur « configurer ».

PS : Cette dernière étape permet d’activer la protection du système sur le disque de stockage choisi. Il est impératif de l’utiliser avant la création d’un point de sauvegarde.

 

  • Ne pas aller sur des sites non professionnels, et toujours refuser les cookies
  • Ne jamais ouvrir la pièce jointe d’un mail inconnu. C’est elle qui contient le virus en général
  • Sauvegardes par cloud (attention aux choix)

Le marché des services cloud pour le grand public demeure très largement dominé par les géants américains : Google, Amazon, Apple et Microsoft, et les pionniers du secteur, Dropbox et Box. Bien que les services cloud proposent plus ou moins les mêmes fonctionnalités, ils se distinguent sur de nombreux points comme le niveau de sécurité, l’ergonomie, les performances, ou encore les options de synchronisation et de sauvegarde. Pour rappel, les entreprises américaines ou celles qui exploitent des ressources aux États-Unis sont soumises au Patriot Act (depuis 2012, le programme de surveillance de la NSA) permettant théoriquement aux autorités d’accéder aux données des utilisateurs sans leur consentement. Les demandes d’informations émanant des autorités sont en principe réalisées uniquement dans le cadre d’enquêtes judiciaires, mais il est évidemment très difficile de savoir si ces conditions sont respectées. Seuls les clouds français ou européens sont à utiliser :   Orange Business services ou SFR Business team   parce qu’ils  respectent le RGPD et la confidentialité des données.

 

Comment sécuriser son contrat cloud

Identifiez le cadre légal. Où seront stockées (et traitées) les données ? La législation varie d’un pays à l’autre. Exigez de votre fournisseur que les législations applicables soient spécifiées dans le contrat.

Vérifiez la qualité du prestataire, la série de normes internationales ISO 27000  certifie que le fournisseur a mis en place des mesures de sécurité.

 

PS : ne pas mémoriser vos mots de passe et identifiants à la demande du navigateur internet.

  • Utilisation de mailiz entre professionnels de santé

Mailiz est un service gratuit qui propose à l’Utilisateur la création d’un compte de messagerie lui permettant d’échanger par voie électronique et de façon sécurisée avec d’autres Utilisateurs des messages pouvant contenir des données de santé à caractère personnel.

Mailiz permet, pour tout utilisateur titulaire d’un compte de messagerie sécurisée :

  • L’émission de messages contenant des informations utiles à la prise en charge sanitaire, sociale ou médico-sociale d’une personne, à destination d’un ou plusieurs titulaires d’un compte de messagerie sécurisée de santé de l’espace de confiance MSSanté
  • La consultation d’un message reçu
  • La consultation et la modification des paramètres de son compte
  • Un accès sécurisé au service de messagerie par un dispositif d’authentification forte, au moyen d’une carte de professionnel de santé (CPS) ou d’un dispositif d’authentification forte alternatif à la CPS.

Pour l’utilisation du service vous devez aller sur le site : https://mailiz.mssante.fr/ ,puis vous identifier selon 3 possibilités au choix :

  • Écrire votre identifiant MSSanté puis votre mot de passe,
  • Ou faire le message depuis l’ordinateur qui possède le lecteur de votre carte CPS
  • Ou utiliser sur votre portable via l’application Mailiz (Android ou Apple) votre e-CPS.

Pour les smartphones vous devez au préalable les rattacher à votre compte mailiz sur l’ordinateur équipé du lecteur CPS. Et scanner le QRCODE proposé

Depuis le 21 juin 2022, pour valider une demande d’authentification dans votre application mobile e-CPS, en plus de la saisie de votre mot de passe (fixe), il faut sélectionner un nombre (qui change à chaque authentification) fourni sur la mire de connexion de Pro Santé Connect.

Veillez bien à télécharger la nouvelle version de l’application mobile e-CPS sur les magasins d’application de votre terminal mobile. Démonstration et plus d’informations sur https://esante.gouv.fr/actualites/du-nouveau-pour-la-e-cps .

 

  • Economiseur d’écran pour la confidentialité des patients (RGPD)

Au secrétariat lorsque l’ordinateur est laissé seul, il est impératif de mettre en place un économiseur d’écran protégé par un mot de passe pour limiter l’accès aux données des patients. Celui-ci est disponible gratuitement dans Windows :

Icône Windows, icône « paramètre », menu « Personnalisation »,  « ligne écran de verrouillage »

  • Le logiciel dentaire doit également être protégé par un mot de passe
  • Attention à l’affichage des écrans au-dessus des patients sur le fauteuil de soins
  • Ne jamais écrire le nom des patients sur les fiches navettes prothèse ou les modèles en plâtre (perte du secret professionnel, punissable par l’article 226-13 du Code pénal et le Code de la santé publique dans son article L.1110-4)