La sensibilisation à la cybersécurité et le secteur de la santé
Demandez une démo

MetaBlog

Le paysage des cybermenaces et des cyberattaques est en constante évolution. Explorez notre blog sur la cybersécurité pour obtenir des conseils en matière de conformité, formation et sensibilisation à la sécurité en entreprise.

Sensibilisation à la cybersécurité
Phishing et ransomware
Formation en ligne
Gestion des politiques et de la conformité
Conformité
Confidentialité, RGPD et CCPA
GRC

La sensibilisation à la cybersécurité et le secteur de la santé

Sensibilisation à la cybersécurité et secteur de la santé

au sujet de l'auteur

James MacKay

James MacKay

James MacKay est le COO de MetaCompliance et un expert reconnu en matière de formation à la sensibilisation à la sécurité informatique. Grâce à sa solide expertise en dispensation de formations efficaces en cybersécurité, James est engagé à aider les organisations à assurer la sécurité de leur personnel en ligne, à protéger leurs actifs numériques et à préserver leur réputation. 

La sensibilisation à la cybersécurité est un enjeu commercial essentiel pour toute organisation. Cependant, elle est tout simplement essentielle dans le secteur des soins de santé, où les données sont particulièrement sensibles.

Les grands volumes de données confidentielles, associés à des systèmes de sécurité souvent vulnérables, et un vaste réseau de dispositifs médicaux connectés font du secteur des soins de santé une cible de choix pour les cybercriminels.

Le secteur des soins de santé est l'un des secteurs les plus exposés, en proie à une myriade de problèmes liés à la cybersécurité, tels que des incidents de sécurité, des brèches organisationnelles et des vols de données provenant de sources internes et externes.

La cybersécurité des soins de santé dans un état critique

L'année dernière, les violations de données et les attaques par ransomware ont coûté aux prestataires de soins de santé environ 4 milliards de dollars. En fait, 67 % des organismes de santé ont subi un incident de cybersécurité au cours des douze derniers mois.

L'incident le plus tristement célèbre s'est sans doute produit en 2017, lorsqu'une cyberattaque mondiale dévastatrice a paralysé les ordinateurs des hôpitaux du Royaume-Uni. L'impact de la cyberattaque WannaCry a été considérable, le cyberincident ayant perturbé les services d'un tiers des fiducies hospitalières et d'environ 8 % des cabinets de médecins généralistes. Le coût total de la restauration des systèmes affectés a été estimé à 92 millions de livres sterling, selon le ministère de la santé et de la protection sociale.

Plus récemment, les prestataires de soins de santé et les organismes de recherche médicale ont connu une recrudescence des attaques par hameçonnage liées à la crise du Covid-19. L'hôpital universitaire de Brno, en République tchèque, qui est l'un des centres de test du Covid-19 dans le pays, a été victime d'un ransomware qui a entraîné le report de toutes les opérations chirurgicales.

Dans un contexte de forte augmentation des attaques de phishing liées au coronavirus dans le monde, le ministère américain de la santé et des services sociaux (HHS) a également subi une attaque par déni de service distribué (DDoS), qui visait à perturber la réponse de l'organisation à la pandémie de Covid-19.

Le centre national de cybersécurité du Royaume-Uni (NCSC) et l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ont signalé une série d'attaques contre des organismes médicaux, en particulier ceux qui ont participé à la lutte contre la pandémie.

Préoccupations en matière de cybersécurité dans le secteur de la santé

Il est clair que les pirates informatiques continueront à lancer des cyberattaques visant le secteur de la santé tant qu'il y aura des profits à faire, qu'il s'agisse de vendre des données de patients volées ou de prendre en otage des systèmes de santé jusqu'à ce que les demandes des criminels soient satisfaites.

Le secteur des soins de santé a connu un changement important ces dernières années avec l'adaptation de nouvelles technologies pour faciliter l'intégration des données, l'engagement des patients et le soutien clinique.

L'abandon des méthodes traditionnelles basées sur le papier offre de nombreuses opportunités aux cybercriminels, comme les logiciels malveillants qui compromettent la confidentialité des données des patients ou les attaques par déni de service distribué (DDoS) qui perturbent la capacité à fournir des soins aux patients.

Cependant, les organisations sont souvent trop préoccupées par la défense contre les menaces extérieures pour s'attaquer aux risques très réels et dangereux qui peuvent exister dans leurs propres rangs.

La menace des initiés

Les professionnels de la santé ont accès à des volumes importants de données sur les patients qui doivent être accessibles au personnel, à la fois sur site et à distance, et sur de nombreux appareils.

Il est largement reconnu que les cybercriminels ciblent le point le plus faible des défenses d'une organisation et, bien trop souvent, il s'agit de ses employés. L'année dernière, le Commissariat à l'information du Royaume-Uni (ICO) a révélé que l'erreur humaine était à l'origine de 90 % des violations de données informatiques.

En définitive, les travailleurs de la santé sont les gardiens des données et les cybermenaces constituent désormais un problème majeur de santé publique.

Pour atténuer le risque, la sensibilisation à la sécurité doit devenir une partie intégrante de la stratégie de sécurité globale du secteur des soins de santé afin de prévenir les cyberattaques potentielles.

La prévention plutôt que la prescription

Alors que les cyberattaques deviennent plus sophistiquées et ciblées que jamais, la sensibilisation à la cybersécurité dans le secteur des soins de santé est l'arme la plus puissante contre ces menaces et techniques en constante évolution. Malgré la mise en place de plusieurs couches de sécurité, la sensibilisation à la cybersécurité reste un défi majeur pour de nombreuses organisations. Souvent, une approche ad hoc est adoptée, mais il est important de reconnaître que la sensibilisation à la cybersécurité va au-delà de la simple simulation de phishing.

Pour modifier véritablement les comportements en matière de cybersécurité, les organisations doivent s'engager dans un programme de sensibilisation à la cybersécurité qui permette au personnel de reconnaître et d'accepter le rôle important qu'il joue dans la protection des données sensibles de l'organisation.

L'industrie des soins de santé étant de plus en plus exposée aux cyberattaques malveillantes, la clé de l'amélioration de la sensibilisation à la cybersécurité dans ce secteur est de mettre en œuvre une campagne de cyber sensibilisation efficace et de créer une culture de la cyber sensibilisation.

Mise en œuvre d'une campagne de cyber-sensibilisation efficace

  • Sensibilisation cybersécurité en entreprise : commencez par le leadership du PDG

La cybersécurité est la responsabilité de tous, mais les organisations résilientes bénéficient d'un leadership fort de la part de leur PDG. Si le PDG prend la cybersécurité au sérieux, cela se répercutera dans toute l'organisation et contribuera à créer une culture de sensibilisation accrue à la cybersécurité.

  • Sensibilisation des employés à la cybersécurité : apprenez à connaître les tolérances de votre organisation

Prendre le temps d'identifier correctement les risques peut aider à façonner le message, la diffusion et le ciblage efficace de votre programme de sensibilisation à la cybersécurité.

  • Sensibilisation à la sécurité informatique en entreprise : protégez vos actifs informationnels

Vous devez déterminer quels sont vos actifs informationnels les plus précieux, où ils se trouvent et qui y a accès. Chaque actif doit être classé (par exemple, public, privé ou confidentiel) et protégé en fonction de sa valeur. Cette démarche est cruciale pour identifier les risques et classer par ordre de priorité les zones qui doivent être défendues.

  • Sensibilisation aux attaques par hameçonnage et par ingénierie sociale : concentrez-vous sur les groupes à haut risque

La clé d'un programme de sensibilisation à la sécurité efficace est de s'assurer que la bonne formation s'adresse aux bonnes personnes. Tous les utilisateurs sont exposés aux cybermenaces, mais certains employés ont un profil de menace plus élevé que d'autres. Par exemple, les départements des ressources humaines et des finances seront fréquemment la cible de menaces de phishing en raison de leur accès privilégié à des données précieuses.

  • Formation cybersécurité en entreprise : rendez votre campagne intéressante grâce au partage d’expériences

La narration est l'un des moyens les plus efficaces pour donner vie à votre campagne de sensibilisation à la cybersécurité. La cybersécurité peut être un sujet aride, mais il est essentiel de trouver des moyens d'impliquer votre personnel si vous voulez avoir un impact positif sur le comportement au sein de votre organisation. Le message est trop important pour se perdre dans les communications officielles de l'entreprise.

  • Formation et sensibilisation à la sécurité des informations : mettez à jour votre gestion des politiques

Les politiques sont essentielles pour fixer les limites du comportement des individus, des processus, des relations, et des transactions au sein de votre organisation. Elles fournissent un cadre de gouvernance, identifient les risques et permettent de définir la conformité, ce qui est important dans le paysage réglementaire de plus en plus complexe d’aujourd’hui.

  • Préparation pratique aux attaques et cybermenaces en entreprise : préparez-vous dès maintenant à une violation de données

La question n'est plus de savoir "si" votre organisation va être attaquée, mais "quand". Vous devez commencer à vous préparer à l'inévitable et mettre en place un plan garantissant une action appropriée et opportune en cas d'atteinte à la sécurité.

  • Formation et sensibilisation des employés : identifiez vos champions de la cybersécurité

Désigner des champions de la cybersécurité est un excellent moyen de responsabiliser le personnel et de le doter des compétences nécessaires pour prévenir une cyberattaque.

  • Sensibilisation à la cybersécurité à travers toute l'organisation : tenez compte de votre chaîne logistique

Chaque fournisseur et chaque tiers qui se connecte à votre entreprise représente un risque potentiel. Il est donc essentiel que vous procédiez à une évaluation détaillée des risques liés aux tiers afin de résoudre tout problème susceptible de menacer votre sécurité. Cela vous aidera à déterminer les mesures de sécurité à mettre en place pour assurer la sécurité de vos données.

  • Mettre en place une surveillance adéquate et des examens réguliers

Le paysage des menaces évolue en permanence, votre programme de sensibilisation à la cybersécurité doit donc évoluer avec lui. Il est important de procéder à des examens réguliers de l'état de préparation du personnel pour identifier les points faibles et déterminer si les politiques et les formations actuelles doivent être mises à jour.

Créer une main-d'œuvre plus consciente de la sécurité

Lasensibilisation à la cybersécurité pour les nuls est une ressource indispensable pour mettre en œuvre un changement de comportement et créer une culture de la cyberconscience.

Dans ce guide, vous apprendrez :

  • Ce que la sensibilisation à la cybersécurité signifie pour votre organisation
  • Comment mettre en œuvre une campagne de sensibilisation aux cyberrisques
  • Le rôle essentiel des politiques pour établir des bases sûres
  • Comment maintenir l'élan et l'engagement du personnel
  • 10 bonnes pratiques en matière de sensibilisation à la cybersécurité

Cliquez ici pour demander votre exemplaire gratuit du livre Cyber Security Awareness for Dummies.

Sensibilisation à la cybersécurité : d'autres articles que vous pourriez aimer

Demandez une démo

Demandez une démonstration gratuite dès aujourd'hui pour voir comment notre logiciel et notre formation anti-hameçonnage pourraient profiter à votre organisation.

La démo ne prend que 30 minutes et vous n'avez pas besoin d'installer de logiciel.