Sensibilisation à la cybersécurité et secteur de la santé
Publié le: 24 Juin 2020
Dernière modification le: 24 Juil 2025
La sensibilisation à la cybersécurité est une question essentielle pour toutes les organisations. Cependant, elle est tout simplement essentielle dans le secteur des soins de santé, où les données sont particulièrement sensibles.
Les volumes importants de données confidentielles, associés à des systèmes de sécurité souvent vulnérables et à un vaste réseau d’appareils médicaux connectés, font du secteur de la santé une cible de choix pour les cybercriminels.
Le secteur de la santé est l’un des secteurs les plus exposés, en proie à une myriade de problèmes liés à la cybersécurité, tels que les incidents de sécurité, les failles organisationnelles et le vol de données provenant de sources internes et externes.
La cybersécurité dans le secteur de la santé dans un état critique
L’année dernière, les violations de données et les attaques par ransomware ont coûté aux prestataires de soins de santé environ 4 milliards de dollars. En fait, 67 % des organismes de santé ont subi un incident de cybersécurité au cours des douze derniers mois.
L’incident le plus tristement célèbre s’est sans doute produit en 2017, lorsqu’une cyberattaque mondiale dévastatrice a paralysé les ordinateurs des hôpitaux du Royaume-Uni. L’impact de la cyberattaque WannaCry a été considérable, le cyberincident ayant perturbé les services d’un tiers des fiducies hospitalières et d’environ 8 % des cabinets de médecins généralistes. Le coût total de la restauration des systèmes affectés a été estimé à 92 millions de livres sterling, selon le ministère de la santé et de la protection sociale.
Plus récemment, les prestataires de soins de santé et les organismes de recherche médicale ont connu une recrudescence des attaques par hameçonnage liées à la crise du Covid-19. L’hôpital universitaire de Brno, en République tchèque, qui est l’un des centres de test du Covid-19 dans le pays, a été victime d’un ransomware qui a entraîné le report de toutes les opérations chirurgicales.
Dans un contexte de forte augmentation des attaques de phishing liées au coronavirus dans le monde entier, le ministère américain de la santé et des services sociaux (HHS) a également subi une attaque par déni de service distribué (DDoS), qui visait à perturber la réponse de l’organisation à la pandémie de Covid-19.
Le National Cyber Security Centre (NCSC) du Royaume-Uni et la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis ont signalé toute une série d’attaques contre des organismes médicaux, en particulier ceux qui ont participé à la lutte contre la pandémie.
Préoccupations en matière de cybersécurité dans le secteur de la santé
Il est clair que les pirates informatiques continueront à lancer des cyberattaques visant le secteur de la santé tant qu’il y aura des profits à faire, qu’il s’agisse de vendre des données de patients volées ou de tenir les systèmes de santé en otage jusqu’à ce que les demandes des criminels soient satisfaites.
Le secteur des soins de santé a connu une évolution significative ces dernières années avec l’adaptation de nouvelles technologies pour faciliter l’intégration des données, l’engagement des patients et l’assistance clinique.
L’abandon des méthodes traditionnelles fondées sur le papier ouvre de nombreuses possibilités aux cybercriminels, comme les logiciels malveillants qui compromettent la confidentialité des données des patients, ou les attaques par déni de service distribué (DDoS) qui perturbent la capacité à fournir des soins aux patients.
Cependant, les organisations sont souvent trop préoccupées par la défense contre les menaces extérieures pour s’attaquer aux risques très réels et dangereux qui peuvent exister dans leurs propres rangs.
La menace des initiés
Les professionnels de la santé ont accès à des volumes importants de données sur les patients qui doivent être accessibles au personnel, à la fois sur site et à distance, et sur de nombreux appareils.
Il est largement reconnu que les cybercriminels ciblent le point le plus faible des défenses d’une organisation et, bien trop souvent, il s’agit de ses employés. L’année dernière, l’Information Commissioner’s Office (ICO) du Royaume-Uni a révélé que l ‘erreur humaine était à l’origine de 90 % des violations de données informatiques.
En fin de compte, les travailleurs du secteur de la santé sont les gardiens des données et les cybermenaces constituent désormais un problème majeur de santé publique.
Pour limiter les risques, la sensibilisation à la sécurité doit faire partie intégrante de la stratégie globale de sécurité du secteur des soins de santé afin de prévenir les cyberattaques potentielles.
La prévention plutôt que la prescription
Alors que les cyberattaques sont de plus en plus sophistiquées et ciblées, la sensibilisation à la cybersécurité dans le secteur des soins de santé est l’arme la plus puissante contre ces menaces et techniques en constante évolution. Malgré la mise en place de plusieurs niveaux de sécurité, la sensibilisation à la cybersécurité reste un défi majeur pour de nombreuses organisations. Souvent, une approche ad hoc est adoptée, mais il est important de reconnaître que la sensibilisation à la cybersécurité ne se limite pas à la simulation de l’hameçonnage.
Pour changer véritablement les comportements en matière de cybersécurité, les organisations doivent s’engager dans un programme de sensibilisation à la cybersécurité qui permette au personnel de reconnaître et d’accepter le rôle important qu’il joue dans la protection des données sensibles de l’organisation.
Le secteur de la santé étant de plus en plus exposé aux cyberattaques malveillantes, la clé pour améliorer la sensibilisation à la cybersécurité dans ce secteur est de mettre en œuvre une campagne efficace de sensibilisation à la cybersécurité et de créer une culture de la cybersécurité.
Mise en œuvre d’une campagne de cyber-sensibilisation efficace
- Commencez par le leadership du PDG
La cybersécurité est l’affaire de tous, mais les organisations résilientes bénéficient d’un leadership fort de la part de leur PDG. Si ce dernier prend la cybersécurité au sérieux, cela se répercutera dans toute l’organisation et contribuera à créer une culture de sensibilisation à la cybersécurité.
- Connaître les tolérances de votre organisation
Prendre le temps d’identifier correctement les risques peut aider à façonner le message, la diffusion et le ciblage efficace de votre programme de sensibilisation à la cybersécurité.
- Défendez votre patrimoine informationnel
Vous devez déterminer quels sont vos actifs informationnels les plus précieux, où ils se trouvent et qui y a accès. Chaque actif doit être classé (par exemple, public, privé ou confidentiel) et protégé en fonction de sa valeur. Cette démarche est essentielle pour identifier les risques et définir les priorités en matière de protection.
- Se concentrer sur les groupes à haut risque
La clé d’un programme de sensibilisation à la sécurité efficace est de s’assurer que la bonne formation s’adresse aux bonnes personnes. Tous les utilisateurs sont exposés aux cybermenaces, mais certains employés ont un profil de menace plus élevé que d’autres. Par exemple, vos départements des ressources humaines et des finances seront fréquemment la cible de menaces de phishing en raison de leur accès privilégié à des données précieuses.
- Rendez-le attrayant grâce à une narration efficace
La narration est l’un des moyens les plus puissants pour donner vie à votre campagne de sensibilisation à la cybersécurité. La cybersécurité peut être un sujet aride, mais il est essentiel de trouver des moyens d’impliquer votre personnel si vous voulez avoir un impact positif sur les comportements au sein de votre organisation. Le message est trop important pour se perdre dans les communications formelles de l’entreprise.
- Actualisez la gestion de votre politique
Les politiques sont essentielles pour établir des limites de comportement pour les individus, les processus, les relations et les transactions au sein de votre organisation. Elles fournissent un cadre de gouvernance, identifient les risques et aident à définir la conformité, ce qui est important dans le paysage réglementaire de plus en plus complexe d’aujourd’hui.
- Commencez dès maintenant à vous préparer à une violation de données
La question n’est plus de savoir si votre organisation sera attaquée, mais quand elle le sera. Vous devez commencer à vous préparer à l’inévitable et mettre en place un plan garantissant une action appropriée et opportune en cas de violation de la sécurité.
- Faites appel à des champions de la cybersécurité
La désignation de champions de la cybersécurité est un excellent moyen de responsabiliser le personnel et de le doter des compétences nécessaires pour prévenir une cyberattaque.
- Tenez compte de votre chaîne d’approvisionnement
Chaque fournisseur et chaque tiers qui se connecte à votre entreprise représente un risque potentiel. Il est donc essentiel que vous procédiez à une évaluation détaillée des risques liés aux tiers afin de résoudre tout problème susceptible de menacer votre sécurité. Cela vous aidera à déterminer les mesures de sécurité à mettre en place pour assurer la sécurité de vos données.
- Mise en œuvre d’une surveillance adéquate et d’examens réguliers
Le paysage des menaces évolue en permanence, et votre programme de sensibilisation à la cybersécurité doit donc évoluer avec lui. Il est important de procéder à des examens réguliers de l’état de préparation du personnel afin d’identifier les points faibles et de déterminer si les politiques et formations actuelles doivent être mises à jour.
Créer un personnel plus soucieux de la sécurité
La sensibilisation à la cybersécurité pour les nuls est une ressource indispensable pour mettre en œuvre un changement de comportement et créer une culture de la cybersécurité.
Dans ce guide, vous apprendrez :
- Ce que la sensibilisation à la cybersécurité signifie pour votre organisation
- Comment mettre en œuvre une campagne de sensibilisation aux cyberrisques ?
- Le rôle essentiel des politiques pour établir des bases de référence sûres
- Comment maintenir l’élan et l’engagement du personnel
- 10 bonnes pratiques de sensibilisation à la cybersécurité
Cliquez ici pour recevoir votre exemplaire gratuit de La sensibilisation à la cybersécurité pour les nuls.