Cyber sécurité 
Bien que Jira soit le système de référence de nombreuses équipes DevOps et TI, l’extraction de secrets ou l’approbation de requêtes pour des informations privilégiées sont
Selon HIPAA Journal, le phishing reste l’une des méthodes d’attaque les plus courantes et efficaces utilisées contre les établissements de santé. C’est aussi l’une des principales causes de violations de données dans ce secteur. À mesure que la santé se digitalise, les cybercriminels ciblent davantage les cliniciens et le personnel administratif pour accéder aux dossiers médicaux électroniques (DME) et aux données de santé protégées (DSP). Tomber dans le piège d’une attaque de phishing peut avoir d’importantes conséquences : pertes financières, interruption des soins, fuite de dossiers médicaux et violations de la conformité HIPAA.
Les organisations du secteur de la santé peuvent protéger les données des patients contre les attaques de phishing en sensibilisant leurs employés aux dangers du phishing, en imposant une authentification forte et en utilisant un gestionnaire de mots de passe fiable.
Pourquoi le secteur de la santé est la cible d’attaques de phishing
Les cybercriminels ciblent les organisations de santé, car elles stockent des données extrêmement précieuses dans des environnements soumis à un rythme intense, et dont le personnel est à la fois nombreux et dispersé. Le secteur de la santé est une cible de choix : ses organisations traitent des données personnelles sensibles et des transactions financières importantes, le tout dans un contexte d’urgence parfois vital.
Données précieuses sur les patients
Les organismes et établissements de santé stockent des quantités considérables de données de santé protégées, comme des ordonnances, des dossiers médicaux, des diagnostics, des informations d’assurance et des numéros de sécurité sociale. Les données de santé protégées sont parfois plus précieuses aux yeux des cybercriminels que d’autres informations personnelles, comme les numéros de cartes de crédit, car il est possible de faire opposition et d’émettre rapidement une nouvelle carte. Ce n’est pas le cas des dossiers médicaux et des numéros de sécurité sociale : leur permanence permet de les exploiter à plus long terme. Les données de santé dérobées peuvent ainsi être utilisées pour commettre une usurpation d’identité médicale, des fraudes à l’assurance et même des arnaques de facturation. En raison de leur champ d’application et de leur permanence, les données de santé se vendent aussi souvent à meilleur prix que les données financières sur le dark web, faisant des hôpitaux et des assureurs des cibles particulièrement lucratives.
Environnements cliniques dynamiques
Les environnements de santé sont soumis à une forte pression : le personnel doit répondre en urgence aux besoins des patients. Dans les services d’urgence et les unités de soins intensifs, la rapidité est essentielle, et les attaques par hameçonnage savent en tirer parti. Les e-mails de phishing exigent souvent une action immédiate : un système essentiel doit être mis à jour ou l’accès d’un compte est sur le point d’expirer. Face à l’urgence de ces messages, un professionnel de la santé est plus susceptible de les ouvrir et d’agir rapidement sans réfléchir. Les professionnels de la santé, très occupés, risquent de ne pas prendre le temps de vérifier les domaines des expéditeurs, de survoler des liens suspects ou de vérifier les demandes d’accès ou d’identifiants non sollicitées. Les cybercriminels profitent de cette situation et conçoivent des campagnes de phishing adaptées pour augmenter leurs chances de réussite.
Personnel dispersé et télémédecine
Les grands hôpitaux emploient plusieurs milliers de professionnels de santé, s’appuient sur des fournisseurs tiers et se coordonnent avec des organismes d’assurance, ce qui crée un écosystème vaste et interconnecté. Face à la généralisation de la télésanté, ces établissements doivent étendre l’accès à distance sécurisé afin de garantir la protection des dossiers médicaux électroniques, des portails patients et d’autres plateformes. Chaque nouvel utilisateur, appareil et connexion élargit la surface d’attaque et augmente ainsi le risque de phishing.
Exemples d’attaques de phishing dans le secteur de la santé
Les cybercriminels adaptent leurs tactiques pour imiter des processus et des flux de travail cliniques réels, et améliorer ainsi l’efficacité de leurs attaques. Voici quelques exemples d’attaques de phishing :
- Pages de connexion DME factices : les cybercriminels envoient des e-mails usurpant l’identité de systèmes de dossiers médicaux électroniques (DME), prétendant que le compte DPI d’un utilisateur est suspendu ou que son mot de passe doit être réinitialisé. Si l’utilisateur saisit ses identifiants sur la page frauduleuse, les cybercriminels les interceptent pour accéder aux informations de santé protégées ou se déplacer latéralement dans le réseau clinique.
- Rançongiciel transmis via des e-mails de phishing : un e-mail de phishing peut contenir une pièce jointe intitulée « Facture impayée » ou « Résultats de laboratoire patient mis à jour », incitant les professionnels de santé à télécharger le contenu. Cependant, cette pièce jointe peut s’accompagner d’un logiciel malveillant ou d’un lien malveillant qui accorde l’accès au cybercriminel et débouche sur un rançongiciel. Les rançongiciels peuvent empêcher les professionnels de santé de réaliser des interventions chirurgicales ou de délivrer des ordonnances urgentes, ce qui impacte directement la sécurité et les soins des patients.
- Compromission de la messagerie professionnelle (BEC) : les employés du secteur de la santé peuvent recevoir des e-mails qui semblent provenir du directeur financier ou du responsable de leur organisation, leur demandant de mettre à jour leurs informations bancaires ou de modifier les informations de paiement d’un fournisseur. Si les employés accèdent à ces demandes, les fonds peuvent être transférés directement aux cybercriminels, et des données sensibles peuvent être exposées.
- Spear phishing : le spear phishing ou l’harponnage est un type d’attaque de phishing qui vise des personnes spécifiques, comme les cadres. Un médecin ou un cadre peut recevoir un e-mail personnalisé faisant référence à des informations accessibles au public, mais contenant un document malveillant déguisé en examen du cas d’un patient ou en demande urgente. Les cybercriminels ciblent les médecins en raison de leur accès privilégié aux dossiers médicaux électroniques et les cadres car ils sont autorisés à effectuer des virements bancaires.
Comment les organismes de santé peuvent éviter de tomber dans le piège des attaques par hameçonnage
Pour lutter contre les attaques de phishing dans le secteur de la santé, il faut commencer par former les employés, mettre en place une authentification renforcée et des contrôles d’accès granulaires, et définir des plans de réponse aux incidents clairs.
Sensibiliser le personnel soignant aux dangers du phishing
Les employés sont les premières cibles du phishing. Ils doivent donc être continuellement formés et sensibilisés à la sécurité. Les équipes soignantes, le personnel chargé de la facturation, les administrateurs et les équipes informatiques doivent être capables d’identifier les e-mails suspects avant toute interaction. Le personnel de santé doit être formé à identifier les domaines de messagerie usurpés, à survoler les liens avant de cliquer, à ne jamais télécharger de pièces jointes non sollicitées et à signaler tout e-mail suspect. Outre les formations régulières, les organisations de santé doivent effectuer régulièrement des tests de simulation de phishing afin de déterminer les domaines auxquels les employés doivent être davantage sensibilisés.
Exiger l’authentification multifacteur partout
Comme certaines tentatives d’hameçonnage finiront probablement par aboutir malgré tout, il est nécessaire d’imposer l’authentification multifacteur (MFA). Lorsque la MFA est appliquée, les identifiants dérobés ne peuvent pas être utilisés pour accéder de manière non autorisée aux systèmes de santé. Les organisations de santé doivent exiger la MFA pour les comptes de messagerie des employés, les systèmes de dossiers médicaux électroniques, les plateformes de télésanté et tous les comptes privilégiés. Certaines méthodes d’authentification résistent mieux au phishing que d’autres. Les clés de sécurité matérielles, les clés d’accès et les données biométriques offrent une MFA plus efficace que les codes par SMS, qui peuvent être interceptés et exploités.
Appliquer le principe du moindre privilège et la sécurité zero trust
En limitant l’accès aux informations personnelles, vous réduisez les dommages potentiels en cas de compte compromis. Lorsque les organisations appliquent le principe du moindre privilège, les utilisateurs n’ont accès qu’aux systèmes et aux données dont ils ont besoin pour accomplir leurs tâches. Par exemple, un infirmier ne doit pas disposer d’un accès complet aux données de facturation, et les fournisseurs tiers doivent uniquement avoir accès aux ressources strictement nécessaires. Les contrôles d’accès basés sur les rôles (RBAC) facilitent l’application du moindre privilège en attribuant des autorisations en fonction des titres de poste plutôt que sur une base individuelle. Lorsque ce principe est combiné à une sécurité zero trust, où chaque demande d’accès est vérifiée en permanence, les organisations de santé peuvent empêcher les cybercriminels de se déplacer latéralement sur leurs réseaux en cas de fuite d’identifiants.
Améliorer la sécurité des e-mails grâce à des filtres anti-phishing
Disposer d’une solution avancée de sécurité des e-mails peut stopper un grand nombre de tentatives de phishing avant même qu’elles n’atteignent la boîte de réception d’un employé de santé. Les systèmes modernes de filtrage anti-phishing utilisent la détection des menaces par IA, l’analyse d’URL et les protocoles d’authentification de domaine pour analyser les liens et les pièces jointes afin de détecter toute intention malveillante. Mais même avec un filtrage avancé en place, les employés doivent toujours vérifier que les liens ou pièces jointes sont sécurisés avant de cliquer dessus ou de les télécharger.
Créer un plan de réponse aux incidents solide
Les organisations de santé doivent partir du principe que certaines tentatives de phishing finiront par aboutir, même si des mesures préventives rigoureuses sont en place. Un plan de réponse aux incidents clair minimise les dommages potentiels et garantit que les incidents de sécurité sont traités aussi rapidement que possible. Un plan de réponse aux incidents efficace doit répondre aux critères suivants :
- Définir des procédures claires pour signaler les e-mails suspects
- Établir des protocoles pour les équipes de conformité
- Décrire les étapes à suivre pour isoler les comptes compromis sur le réseau
- Mettre en place des procédures d’investigation numérique
Investir dans un gestionnaire de mots de passe sécurisé
Si les professionnels de santé utilisent des mots de passe faibles ou identiques sur plusieurs systèmes, un seul identifiant de connexion compromis peut permettre aux cybercriminels d’accéder à de nombreux comptes privilégiés. Un gestionnaire de mots de passe sécurisé comme Keeper® aide les organisations de santé à éliminer la réutilisation des mots de passe, à générer des mots de passe uniques pour chaque compte, à stocker en toute sécurité les identifiants et à partager l’accès de manière conforme entre les membres de l’équipe. Dans les environnements nécessitant un accès partagé, la gestion sécurisée des mots de passe est cruciale.
Protéger les données des patients avec Keeper
Dans le secteur de la santé, les attaques de phishing mettent directement en danger la sécurité des patients et la conformité réglementaire. Pour adopter une approche proactive face au phishing, les organismes de santé doivent évaluer leurs pratiques de sécurité existantes, effectuer des tests de phishing, mettre en œuvre une MFA résistante et sensibiliser leurs employés. En renforçant leurs défenses grâce à un gestionnaire de mots de passe sécurisé comme Keeper, les organisations de santé protègent les informations de santé protégées, mais aussi leur personnel et leurs patients.
Commencez dès aujourd’hui votre essai gratuit de Keeper pour sécuriser les données des patients et les flux de travail cliniques sensibles dans toute votre organisation.
