Tous Pharmaciens La revue n°29 - décembre 2025

DOSSIER

Cybersécurité : un défi de santé publique pour les pharmaciens

18/12/2025

Données de santé - Santé publique

Photo qui représente un cadenas avec des données
Retour au sommaire

Avec l’accélération numérique du système de santé, les risques s’accroissent en matière de cybersécurité. Et les pharmaciens, tous métiers confondus, y sont particulièrement exposés. Pour y faire face, il est nécessaire de développer une culture partagée par tous afin de protéger les systèmes d’information et les données des patients, permettant de continuer à répondre aux enjeux de santé publique.

Un enjeu de santé publique

Les usages du numérique ne cessent de s’étendre dans le champ de la santé, associant les recherches habituelles sur Internet, la possibilité de les contextualiser grâce à des questions formulées à des outils d’IA générative, le recours à des applications et objets connectés, l’utilisation de plateformes de télésuivi des patients, ou encore la gestion des nombreuses données issues de ces pratiques. Or, la plupart de ces données sont considérées comme « sensibles », car elles concernent la santé des patients. D’autres données technico-administratives, essentielles au pilotage des actes et prestations de santé, constituent également un patrimoine à protéger, car elles sont devenues indispensables au fonctionnement des structures et entreprises du secteur.

Des risques majorés par la croissance des usages

L’essor du numérique en santé accroît les risques. Les interfaces, comme les smartphones, tablettes, dispositifs médicaux connectés, réseaux Wi-Fi ou imprimantes, multiplient les points d’entrée potentiels pour des logiciels malveillants. Cette diversification des usages facilite les intrusions dans les systèmes d’information, pouvant entraîner des blocages ou des vols de données sensibles.

Les attaques se multiplient

Année après année, les cas de structures et d’organisations de santé victimes de cyberattaques n’ont cessé d’augmenter. Les établissements de santé et les laboratoires de biologie médicale (LBM) sont particulièrement exposés. Mais d’autres attaques montrent l’étendue du péril. Un fabricant de pompes à insuline a ainsi dû reconnaître, en 2022, la vulnérabilité des dispositifs qu’il commercialisait, nécessitant de corriger la situation pour protéger les patients potentiellement concernés. Les pirates étaient, en effet, en mesure de modifier à distance les doses d’insuline administrées aux personnes équipées de certains modèles de la marque.

La pharmacie, une profession très numérisée

Les pharmaciens, tous métiers confondus, sont particulièrement investis dans le développement du numérique. En vingt ans, les services apportés par ces solutions se sont considérablement étoffés. La profession, dans toutes ses composantes, s’est attachée à déployer des outils et services numériques, dans le but d’améliorer la qualité des actes pharmaceutiques, la fluidité et la continuité du circuit du médicament, la performance des prestations délivrées au public et la personnalisation des approches pour une meilleure prise en charge des patients. À l’appui de ces progrès, de nouvelles modalités émergent pour faciliter la numérisation des métiers. Des services et solutions numériques, parmi lesquels le Dossier Pharmaceutique (DP), les messageries sécurisées de santé (MSS), Mon Espace Santé, les plateformes de partage de données, les logiciels métiers, les serveurs de résultats en biologie médicale ou encore les dossiers patients et usagers informatisés constituent aujourd’hui le quotidien de l’exercice pharmaceutique. L’ordonnance numérique, inscrite parmi les « services socles » définis par la doctrine du numérique en santé, fait également partie de ce bouquet de services mis à disposition et réputés fiables, puisque conformes aux exigences de sécurité de la Politique générale de sécurité des systèmes d’information en santé (PGSSI-S). Cette montée en puissance du numérique renforce toutefois l’exposition des pharmaciens aux risques cyber, en multipliant les surfaces d’attaque potentielles.

Parole d'expert

Steven Garnier,
directeur du domaine cybersécurité de l’ANS

guillemets

« Former et accompagner en cas d’attaque »

« Rattaché à l’Agence du numérique en santé (ANS), le CERT (Computer Emergency Response Team : équipe spécialisée en cybersécurité dédiée à la gestion des incidents de sécurité informatique.) Santé est un service de réponse à incident en cas de cyberattaque, joignable 24 heures sur 24 et 7 jours sur 7, réservé aux établissements de santé, aux laboratoires de biologie médicale et aux centres de radiothérapie. Notre rôle est de fournir un appui technique aux structures cyberattaquées, allant jusqu’à l’accompagnement pour la reconstruction du système d’information. D’autre part, dans le cadre de l’article L. 1470-5 du code de la santé publique (CSP), l’équipe régulation et conseil est en charge de la production de référentiels thématiques portant sur la sécurité des systèmes d’information à destination de l’ensemble des acteurs de l’écosystème santé. Face à la recrudescence des attaques constatées depuis 2022, les premiers domaines prioritaires identifiés par le programme CaRE, qui vise à améliorer le niveau de sécurité des établissements, sont : la sécurisation de la surface exposée sur Internet (risque d’intrusion) et des annuaires techniques (risque de latéralisation) d’une part, et la continuité d’activité associée à une sauvegarde sécurisée des données d’autre part. Par ailleurs, l’Agence travaille actuellement au déploiement et à l’évolution du service Pro Santé Connect (PSC), l’équivalent de France Connect pour le secteur de la santé, notamment pour permettre l’usage de nouveaux moyens d’identification et d’authentification comme la clé FIDO, qui offre une alternative à la carte CPS et permet de s’affranchir du lecteur de carte et/ou du réseau mobile nécessaire pour l’usage de la eCPS sur smartphone. L’intégration de PSC au sein des logiciels de gestion d’officine sera objectivée aux éditeurs par la vague II du Ségur du numérique en santé. »

Toute la chaîne est exposée

Tous les établissements pharmaceutiques y sont confrontés. Et ils traitent des données qui bénéficient d’une forte valeur pour les cybercriminels, une donnée de santé se vend en moyenne 8 euros sur le darkweb (« Comment assurer la cybersécurité de l’officine ? », Le Quotidien du pharmacien, 18 janvier 2024). Tout ce qui est connecté à un réseau représente une porte d’entrée potentielle pour les acteurs malveillants. Outre les pharmaciens, l’ensemble des sous-traitants et fournisseurs, parce qu’ils sont susceptibles d’échanger et de partager des données avec les établissements pharmaceutiques, sont soumis aux mêmes risques.

Ce que dit la réglementation

Avec l’avènement du numérique, le cadre juridique et réglementaire s’est peu à peu renforcé, visant à mieux protéger les données de santé en engageant les pharmaciens à se conformer à certaines obligations.

  • Le RGPD et les pharmaciens. Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données (RGPD) encadre le traitement des données personnelles des citoyens européens. Cette réglementation est particulièrement importante en santé, dès lors que les données à caractère personnel relatives à la santé des personnes sont des données dont la sensibilité implique l’application d’un régime juridique particulier. Les pharmaciens titulaires d’officine et les pharmaciens biologistes, qui sont responsables de la conformité de leur établissement, doivent respecter le RGPD et la loi. Ils doivent s’assurer que les droits des personnes sont respectés, et de mettre en œuvre des mesures techniques et organisationnelles appropriées pour être en mesure de démontrer que le traitement des données est effectué conformément au RGPD.
  • Le guide pratique - Le pharmacien d’officine et la protection des données personnelles. Le CNOP et la Commission nationale de l’informatique et des libertés (CNIL) ont élaboré un guide, publié en 2023, pour accompagner les pharmaciens d’officine dans leur mise en conformité à la réglementation sur la protection des données personnelles. Ce guide rassemble les notions essentielles à connaître et les règles à respecter, sous forme de cases à cocher, et s’accompagne de six fiches thématiques illustrant les bonnes pratiques par des cas concrets. Ces repères didactiques sont essentiels pour les pharmaciens qui manipulent au quotidien des données personnelles (parfois sensibles) concernant patients, personnel, fournisseurs, et partagées avec d’autres professionnels de santé, où une mauvaise gestion peut avoir des conséquences importantes.
  • Les recommandations de l’Agence nationale de sécurité des systèmes d’information (ANSSI). L’ANSSI met à disposition des professionnels chargés de la gestion des systèmes d’information un document présentant 71 recommandations à appliquer pour en sécuriser l’usage. Formation des administrateurs, documentation à jour des systèmes d’information (SI), réalisation d’une étude de risque des SI, gestion et configuration du poste d’administration, restriction des droits d’administration, blocage des accès Internet, connexion des ressources d’administration sur un réseau physique spécifique, chiffrage de l’ensemble des périphériques de stockage… La liste de ces recommandations démontre l’étendue des processus à mettre en oeuvre pour protéger les accès au SI, anticiper les risques, encadrer les droits des utilisateurs, et éviter ainsi toute intrusion malveillante extérieure.
  • La PGSSI-S. Elle définit les règles à suivre pour sécuriser le numérique en santé. Comme la e-santé facilite la prise en charge des patients, mais expose à des risques, l’État, via l’ANS, a établi ce cadre de référence pour protéger les données et les usages. La PGSSI-S s’applique à tous : public, privé, professionnels de santé, médicosocial, établissements et prestataires de services. Elle fixe les bonnes pratiques à respecter pour garantir la sécurité des informations de santé.
  • Le code de déontologie. Dans sa future rédaction en attente de publication, le code de déontologie encadre le recours et l’usage des outils et services numériques par les pharmaciens. Le projet d’article R. 4235-10 du code de la santé publique, tel que notifié à la Commission européenne, dispose notamment que « Le recours par le pharmacien à des outils et services numériques s’effectue dans le respect des règles de déontologie de la profession et des règles d’identification, de sécurité et l’interopérabilité des services numériques en santé définies aux articles L. 1470-1 et suivants. Il n’altère pas la qualité de la prise en charge du patient, ni celle des actes professionnels réalisés. […] ».
  • Le Dossier Pharmaceutique. C’est un service numérique sécurisé. Les données des patients sont protégées grâce à un accès strictement contrôlé et des mécanismes de chiffrement des données. L’accès nécessite l’identification du patient par sa carte Vitale, l’appli carte Vitale ou son identifiant national de santé (INS) qualifié, ainsi que la carte professionnelle du pharmacien ou du médecin hospitalier. Le patient a le contrôle de ses données : il peut refuser que son dossier soit consulté ou que certains médicaments y soient enregistrés. Les données sont conservées pour des durées variables et sont chiffrées lors des transmissions, assurant la confidentialité, conformément au RGPD.
  • La norme NF EN ISO 15189:2022 opposable aux laboratoires de biologie médicale précise un certain nombre d’exigences sur la maîtrise des données et la gestion de l’information dans son chapitre VII.6, dont les moyens déployés par les LBM pour y satisfaire sont très régulièrement surveillés par les évaluateurs du Cofrac.

Bonnes pratiques et outils

Face au cyber-risque, il est important pour les pharmaciens de connaître le type d’attaques qu’ils peuvent subir, de veiller à prévenir les vulnérabilités et failles susceptibles de les exposer aux actes de malveillance, de se former et de s’informer sur les techniques et méthodes de protection et de bien réagir en cas d’attaque.

Des typologies d’attaque très variées

Les professionnels de santé sont particulièrement exposés à certaines cyberattaques, qui visent principalement à bloquer, contre rançon, le fonctionnement des systèmes d’information, à capter illégalement des données de santé et à altérer la réputation des établissements concernés.

  • L’ingénierie sociale. Elle vise à manipuler un professionnel en exploitant sa confiance ou sa crédulité. Les personnes malveillantes usent de ces méthodes pour exploiter le facteur humain, considéré dans certains cas comme le maillon faible de la sécurité des systèmes d’information. Une autre forme de manipulation souvent oubliée : des appels téléphoniques ou du phishing vocal.
  • Le ransomware ou rançongiciel. C’est le type d’attaque le plus courant, qui consiste à bloquer le fonctionnement d’un système d’information et à réclamer le versement d’une rançon contre l’arrêt de l’agression. Les établissements de santé y sont particulièrement confrontés, de même que les laboratoires de biologie médicale.
  • Le hameçonnage ou phishing. Il vise à tromper la vigilance des professionnels en les incitant à cliquer sur des liens ou ouvrir des fichiers, afin qu’ils divulguent des informations d’identification ou téléchargent des logiciels malveillants. Le but est de pirater des données pour les revendre sur le darkweb.
  • Le hameçonnage ciblé ou spear phishing. Cette version sophistiquée du phishing consiste à personnaliser les attaques, en fonction d’informations recueillies sur les réseaux sociaux, les sites web des entreprises et d’autres sources publiques.
  • Les attaques par déni de service distribué (DDoS). La technique consiste à saturer les serveurs pour rendre les services indisponibles afin de paralyser une activité.
  • Les attaques sur les objets connectés médicaux. Les pirates informatiques utilisent de plus en plus la vulnérabilité des objets connectés (pacemakers, pompes à insuline…) pour y diffuser des virus, pénétrer des systèmes d’information et voler des données de santé personnelles.

IA et Cybersécurité : ce qu'il faut savoir

L’IA investit irrémédiablement tous les champs d’activité, y compris dans les métiers de la pharmacie. Comme le souligne l’Ordre national des pharmaciens dans son cahier thématique n° 23, consacré à l’IA en santé, elle constitue à la fois une opportunité pour mieux exploiter les données de santé et un risque majoré en matière de cybersécurité. Son déploiement démultiplie les surfaces d’attaque potentielles, ainsi que les volumes de données susceptibles d’intéresser les cybercriminels. Le sujet de la cybersécurité est une priorité identifiée aux niveaux national et européen. Il fait partie des travaux liés à la construction de l’Espace européen des données de santé et à la création d’un cloud souverain européen, destiné à éviter que les données de santé soient hébergées par des clouds extra-européens. Afin d’éviter les fuites des données sensibles, le cahier thématique n° 23 cite les recommandations du CERT Santé (Computer Emergency Response Team : équipe spécialisée en cybersécurité dédiée à la gestion des incidents de sécurité informatique) : utiliser des méthodes de chiffrement pour sécuriser leur partage, limiter leur accès en contrôlant les personnes autorisées à y accéder, former le personnel sur les bonnes pratiques de gestion et de protection des données, effectuer régulièrement des audits de sécurité afin de détecter les failles potentielles de sécurité.

En savoir plus : 

Les vulnérabilités à connaître

Avec la multiplication des surfaces d’exposition, les cybercriminels disposent de milliers de portes d’entrée pour accéder aux systèmes d’information des pharmaciens. Il est important d’en connaître les principales afin d’empêcher toute intrusion.

  • Des mots de passe faillibles. Les mots de passe mal choisis ou mal dimensionnés peuvent être aisément ciblés et découverts par les cybercriminels, par exemple s’ils comportent des mentions en lien avec l’identification de son propriétaire (prénom, date de naissance…), s’il y a trop peu de caractères ou une composition insuffisamment variée de ces caractères.
  • Des logiciels anciens ou non mis à jour. Les demandes d’actualisation des mises à jour servent notamment à renforcer la sécurité des dispositifs de protection, comme la lutte contre les virus. Ne pas effectuer les mises à jour majore le risque d’exposition à une attaque du système d’information.
  • L’utilisation de messageries non sécurisées. Les MSS, qui permettent de chiffrer les données échangées et partagées entre professionnels de santé et avec les patients, ont été conçues pour éviter toute fuite de données. Envoyer ce type de données par le biais de messageries grand public accroît ce risque.
18_Pharma_346x346.jpg
  • Des équipements non protégés. Caméras, imprimantes, téléphones mobiles… la variété des outils et équipements connectés au système d’information de l’établissement pharmaceutique démultiplie les possibilités d’intrusion, en particulier s’ils ne sont pas systématiquement protégés. La mise en place de pare-feu est nécessaire.
  • Des supports amovibles non sécurisés. Le recours à des dispositifs informatiques mobiles constitue un progrès, mais accroît également le degré d’exposition aux attaques. C’est le cas notamment lorsque ces outils amovibles sont utilisés à partir du domicile, avec une connexion non sécurisée, ou par certains fournisseurs ou prestataires externes.
  • Un Wi-Fi mal sécurisé. À l’officine, au laboratoire de biologie médicale, mais également au domicile, le fait d’utiliser un Wi-Fi non sécurisé constitue une cible facile pour les cybercriminels.

Parole d'expert

Guillaume Poupard,
directeur général adjoint de Docaposte, ancien directeur général de l’ANSSI (2014-2022)

guillemets

« Se préparer pour se protéger »

« La santé est un secteur d’activité d’importance vitale et fait, à ce titre, l’objet d’une attention particulière en matière de cybersécurité. Elle peut être visée aussi bien par des tentatives d’espionnage ou de déstabilisation que par des attaques menées par des groupes criminels, souvent à des fins de chantage. Ces dernières sont les plus fréquentes et se sont multipliées depuis 2019. Quelques incidents majeurs, comme l’attaque qui a permis le vol de l’ensemble des données de santé de Singapour en 2018, rappellent toutefois que le risque d’ingérence étatique existe également. La crise sanitaire a accéléré les attaques, en particulier contre les hôpitaux, probablement plus vulnérables et exposés. Le profil d’agression est souvent le même : le pirate s’introduit dans le système d’information, capte un maximum de données tout en chiffrant celles qui demeurent dans le système pour les rendre inaccessibles et réclame une rançon contre leur restitution (hypothétique). Pour les établissements sans sauvegarde opérante, le piège est imparable. L’État français s’oppose à tout paiement de rançon afin de ne surtout pas encourager la criminalité, mais les perturbations peuvent durer des mois, voire des années. Outre les hôpitaux, les laboratoires de biologie médicale, producteurs de données sensibles, sont aussi des proies privilégiées. Je n’ai pas connaissance d’officines victimes, mais je suppose que cela se produit également, comme pour beaucoup de TPE-PME, sans que cela soit médiatisé. Je recommande d’anticiper les cyberattaques en parlant régulièrement du sujet avec ses équipes et en appliquant les règles d’hygiène informatique de l’ANSSI et de la plateforme cybermalveillance.gouv.fr : ne jamais ouvrir de messages suspects, utiliser des mots de passe distincts d’une application à l’autre et respecter les obligations réglementaires, seules réellement à même de protéger efficacement les systèmes numériques. »

Focus sur la sécurisation de la chaîne pharmaceutique

Les cyberattaques peuvent survenir à chaque étape du circuit du médicament et des produits de santé. Phishing, rançongiciels ou tentatives d’intrusion font partie des risques communs à l’ensemble des métiers de la pharmacie, même si leur impact varie selon la nature des données traitées, l’organisation des structures et le niveau de protection déployé. Chaque métier est ainsi exposé à des vulnérabilités spécifiques qu’il convient d’identifier et de maîtriser.

Former et sensibiliser les équipes

La prévention repose avant tout sur la vigilance collective. Les équipes pharmaceutiques doivent être régulièrement sensibilisées aux risques cyber et formées aux bonnes pratiques d’hygiène informatique. Cela implique la maîtrise des dispositifs de sécurité (pare-feu, gestion robuste des mots de passe, usage systématique des messageries sécurisées), la vigilance face aux messages malveillants, la sécurisation des appareils mobiles ou externes, ainsi que la séparation des usages personnels et professionnels. Des actions de formation, notamment dans le cadre du développement professionnel continu (DPC), contribuent également à renforcer cette culture de cybersécurité.

Officine 

  • Les principaux risques. Même si les cas de cyberattaques d’officines restent relativement rares, les officines sont considérées comme une cible de choix. D’abord, en tant que petites entreprises, elles n’ont pas les moyens d’investir dans des processus de sécurisation renforcés. Par ailleurs, elles traitent par essence des données extrêmement sensibles, car liées à la santé de leurs patients. Enfin, la digitalisation croissante de leurs services multiplie les points d’entrée accessibles aux cybercriminels. Outre le phishing, le vol de données de patients pour diffusion publique ou revente fait partie des types d’agression qui menacent l’officine.
  • Les bonnes pratiques. La formation du personnel doit être régulière, axée sur l’actualisation fréquente de mots de passe robustes, la mise à jour des logiciels, l’usage systématique des MSS et la surveillance des équipements connectés à l’officine et à l’extérieur. Le recours à des prestataires pour tester la configuration de sécurité des systèmes d’information peut être une solution.
  • Un outil dédié à l’officine. Le site Démarche Qualité à l’Officine (DQO, https://www.demarchequaliteofficine.fr/) met à disposition des pharmaciens un ensemble de ressources destinées à structurer et améliorer l’organisation interne de l’officine. Il propose notamment un référentiel qualité, un questionnaire d’auto-évaluation, des fiches pratiques issues du guide de la DQO, ainsi qu’un espace spécifique, permettant de suivre l’avancement des actions et de centraliser la documentation. Ces outils contribuent à renforcer la qualité et la maîtrise des processus au sein de l’officine, et peuvent utilement s’intégrer dans une démarche globale incluant la prévention des risques, notamment numériques.

Industrie et distribution 

  • Les principaux risques. Les entreprises fabricantes et exploitantes de médicaments et produits de santé, ainsi que les entreprises de la distribution en gros sont bien protégées face aux cyber-risques, disposant de services informatiques experts. Cependant, les risques ne sont pas à négliger, notamment par le biais d’hameçonnages ciblés, visant à se faire passer pour un collaborateur ou un supérieur. On observe aussi une hausse d’un type d’attaque un peu différent : la « fraude au président » ou escroquerie aux faux ordres de virements, qui consiste à usurper l’identité d’un donneur d’ordre, généralement président ou directeur d’une unité pour demander en urgence et de façon confidentielle un virement important. L’impact malveillant sur la recherche clinique, l’espionnage industriel et les attaques réputationnelles sont également caractéristiques de ces domaines d’activité.
  • Les bonnes pratiques. Les entreprises investissent dans la formation des personnels, associant des séances de sensibilisation régulières et des opérations de test, ainsi que dans la préparation au fonctionnement en mode dégradé des opérations pharmaceutiques, en cas de blocage des systèmes d’information. Il est essentiel que les salariés utilisent les réseaux sociaux privés ou professionnels avec prudence, sans y divulguer d’informations sur l’entreprise. Ils doivent aussi être sensibilisés aux différents types de fraude afin de les repérer rapidement et de les éviter.

Laboratoires de biologie médicales 

  • Les principaux risques. Les LBM sont soumis à des attaques régulières, visant essentiellement à bloquer leur fonctionnement contre rançon, à voler des données patients ou à tenter des falsifications de résultats. L’espionnage et l’atteinte réputationnelle sont aussi fréquemment constatés. Mais, jusqu’à présent, les attaques sont dans l’ensemble maîtrisées, car les entreprises ont investi massivement dans la cybersécurité et dans la mise en place de plans de continuité de l’activité en cas d’agression. Il reste, cependant, à limiter les risques liés aux erreurs humaines.
  • Les bonnes pratiques. Les bonnes pratiques reposent sur l’intégration systématique du cyber-risque dans les procédures de qualité et dans l’anticipation des risques, étroitement surveillés par l’instance d’accréditation (Cofrac). Les biologistes médicaux doivent être formés aux mesures à appliquer en cas de cyberattaque, telles que prévues dans le PCA. Pour assurer la sécurité et la continuité des opérations, les laboratoires de biologie médicale s’appuient sur des dispositifs de protection renforcés et sur des plans de continuité régulièrement testés. Les équipes sont également formées aux réflexes de cybersécurité et aux procédures à suivre en cas d’incident, avec une adaptation continue des pratiques selon les situations rencontrées.
  • Les outils et exigences réglementaires. Au-delà de ces bonnes pratiques, les laboratoires de biologie médicale doivent aussi répondre aux exigences du Cofrac, qui intègrent désormais des obligations fortes en matière de sécurité des systèmes d’information. Par ailleurs, la directive européenne NIS 2 impose aux LBM un niveau de cybersécurité plus élevé : gouvernance dédiée, contrôle renforcé des accès, surveillance continue, gestion rigoureuse des incidents et formation des équipes. Ces exigences structurent progressivement la stratégie de cybersécurité du secteur et renforcent la résilience des laboratoires face aux menaces.

Établissements de santé et médicosociaux 

  • Les principaux risques. Ces établissements sont parmi les organisations de santé les plus attaquées, essentiellement à travers des pratiques de phishing, des chiffrements par rançongiciel et des indisponibilités temporaires par déni de service. Ces risques se caractérisent par la multiplicité des surfaces d’exposition, par la diversité des dispositifs connectés et par des échanges de données avec de nombreux partenaires extérieurs.
  • Le programme Cyber accélération et résilience des établissements de santé (CaRE), lancé en 2023 par le ministère de la Santé, renforce la cybersécurité et la résilience des établissements de santé et médicosociaux en soutenant la sécurisation des annuaires techniques, la réduction de l’exposition Internet et le développement des plans de continuité et de reprise d’activité. Il s’adresse aux établissements publics et privés, aux structures médicosociales et aux services de santé numérique, et s’appuie sur l’arrêté du 18 mars 2024, la certification HAS et les centres de ressources régionaux cybersécurité.
  • Le clausier de sécurité numérique accompagne les établissements de santé dans la sécurisation de leurs achats numériques. Construit avec les acteurs du secteur, il harmonise les exigences de sécurité des marchés publics, facilite la conformité réglementaire et couvre dix thématiques clés, de la sous-traitance à la protection des données médicales. Mis à jour chaque année, il est disponible gratuitement sur les sites du club des RSSI Santé et de l’Anap.
  • Les bonnes pratiques. Pour renforcer leur résilience, les établissements forment régulièrement leur personnel aux bonnes pratiques de cybersécurité et à la conduite à tenir en cas d’incident. Les blocages des systèmes d’information entraînent fréquemment plusieurs semaines de perturbation, parfois assorties d’une fermeture complète du réseau. L’enjeu majeur est donc de préparer les équipes, y compris les professionnels de santé, à maintenir leurs activités malgré l’absence de connexion avec l’extérieur. Cette organisation s’appuie sur un PCA et sur des procédures de mode dégradé, testées à l’avance pour garantir la continuité des soins et la sécurité du circuit du médicament. Certains éditeurs proposent aussi des solutions logicielles adaptées en cas de cyberattaque. La sensibilisation repose enfin sur des modules en e-learning et des campagnes de faux phishing, qui renvoient vers un message pédagogique lorsque l’utilisateur clique sur un lien suspect.

En savoir plus : 

Les règles d’hygiène informatique à appliquer

Au quotidien, il faut s’astreindre à observer régulièrement certaines consignes pour protéger son système d’information, ce qui réduit notablement l’exposition au risque. Même si, en matière de cybercriminalité, le risque zéro n’existe pas. L’ANSSI propose 42 mesures, voici les principales à mettre en œuvre.

  • Bien gérer les utilisateurs, leurs mouvements (départ, arrivée, changement d’activité), les comptes et les permissions associées. Outre un inventaire exhaustif et à jour des comptes administrateurs et utilisateurs, il faut veiller à prendre en compte les évolutions des personnels adossés à ces comptes, ainsi que la modification des usages (appareil connecté attribué…).
  • Accepter la connexion d’équipements extérieurs s’ils sont maîtrisés. Seule la connexion de terminaux maîtrisés par l’établissement doit être autorisée, avec l’usage d’un Wi-Fi sécurisé avec SSID (Service set identifier [ou identifiant défini de service], nom public attribué à un réseau sans fil) dédié.
  • Définir et vérifier les règles de choix et de dimensionnement des mots de passe. Ils doivent être suffisamment complexes, changés régulièrement et que le système soit bloqué après plusieurs tentatives erronées. Les mots de passe rarement utilisés doivent être conservés dans un espace sécurisé, comme un coffre-fort numérique. Ils ne doivent pas être recopiés sur un support accessible à tous.
  • Effectuer des mises à jour fréquentes des éditeurs. C’est un acte essentiel pour maintenir les dispositifs de sécurité à jour face aux nouvelles menaces.
  • Utiliser une messagerie sécurisée de santé. Tous les échanges de données entrant ou sortant doivent être protégés par le biais des MSS, pour enrayer toute captation de données potentielles sur des réseaux non sécurisés.
  • Protéger les postes de travail. Chaque poste de travail connecté doit être protégé par un Wi-Fi sécurisé, verrouillé en cas de non-usage, mis à jour régulièrement et disposant d’un mot de passe à haut niveau de sécurité.
  • Respecter les règles liées aux cartes professionnelles de santé (CPS) et e-CPS. Les CPS doivent rester personnelles, strictement incessibles, dotées de codes non accessibles et déposés en lieu sûr.
  • Penser à sauvegarder les données. La sauvegarde, pour laquelle il est nécessaire de définir la périodicité, permet de restaurer le système en cas d’incident. Il faut tester la sauvegarde, la conserver dans un espace sécurisé et déconnecté du système d’information et veiller à chiffrer le disque dur externe si elles y sont sauvegardées.

« Le jour où nous avons été cyberattaqués »

Audrey Deswarte-Dewailly,
pharmacien gérant d’une pharmacie à usage intérieur

guillemets

« Le 11 février 2024, à 1 h 17 du matin, l’attaque a eu lieu dans notre établissement, par le biais d’un compte VPN compromis. Brutalement, tous les serveurs et les postes de travail ont été chiffrés, de même que nos sauvegardes. Les imprimantes se sont mises à « cracher » des messages réclamant une rançon contre la récupération des données. Quatre heures plus tard, le plan blanc était actionné, avec confinement du système d’information, alors que 95 % des serveurs et des ordinateurs étaient touchés. L’hôpital a dû fermer le service des urgences pour 48 heures et fonctionner en mode dégradé, sans accès possible au système d’information ni à Internet. Le pharmacien d’astreinte a été contacté à 6 heures du matin, et nous avons rapidement pu faire l’état des lieux. Heureusement, j’avais consulté quelques semaines plus tôt des retours d’expérience sur d’autres attaques, ce qui nous a aidés à identifier les processus à prioriser et à anticiper les risques et impacts secondaires. Dès le 12 février, j’ai également pris part à la cellule de crise institutionnelle afin de relayer les besoins spécifiques de la PUI, un service essentiel du circuit du médicament, dont les enjeux sont parfois moins immédiatement identifiés que ceux d’autres secteurs cliniques. Pour l’essentiel, nous avons pu assurer nos missions principales dans les semaines qui ont suivi… mais au prix de temps de traitement considérablement rallongés. Dans ce contexte, la force du collectif, l’esprit d’équipe et la solidarité ont été déterminants, d’autant que nous avons dû fonctionner plusieurs mois en mode dégradé, souvent sur support papier ou sans interface. Aujourd’hui encore, les effets de l’attaque se font sentir, avec par exemple des dysfonctionnements erratiques des interfaces. L’autre difficulté fut de gérer les impacts indirects sur le plan psychologique et professionnel pour l’équipe de la PUI, avec un choc post-traumatique qui a profondément perturbé certains membres du service. La leçon que j’en tire, c’est l’absolue nécessité de bien préparer en amont le plan de continuité d’activité (PCA), de mener des exercices de simulation pour tester l’impact de cyberattaques potentielles, mais également de travailler sur l’accompagnement psychologique des personnels durant les mois qui suivent une cyberattaque. »

Des ressources disponibles

Outre le Guide d’hygiène informatique proposé par l’ANSSI, intégré dans le pack plus large du Memento de sécurité pour les professionnels de santé en exercice libéral conçu avec l’ANS, il est utile de consulter d’autres sources. La CNIL, par exemple, dans son onglet « Professionnels », propose la marche à suivre pour mieux comprendre le RGPD, respecter les droits des personnes sur la gestion des données, effectuer des démarches (désignation d’un délégué, notification d’une violation de données…) et accéder à certains services en ligne. Enfin, le site public cybermalveillance.gouv.fr permet d’obtenir une assistance personnalisée en cas de malveillance informatique.

En savoir plus : 

Focus sur la protection de son identité numérique contre le risque d’usurpation

cadenas_vert.jpg

L’usurpation de l’identité numérique est une pratique courante des cybercriminels. Elle a pour but de gagner la confiance d’une cible sélectionnée, afin de voler ses données personnelles. Le plus souvent, le pirate se fait passer, au téléphone ou par messagerie, pour un tiers de confiance, comme une banque ou un organisme public. La démarche est simple : chercher à recueillir des informations personnelles (codes, numéros de carte bancaire…) afin de les utiliser de façon malveillante ou de les revendre sur le darkweb.

Comment s’en prémunir ?

Des règles de base sont à connaître pour ne pas tomber dans le piège du phishing :

  • varier ses mots de passe et en utiliser un spécifique pour chaque compte ;
  • ne jamais communiquer les informations demandées par téléphone, par SMS ou par e-mail ;
  • vérifier le site Internet de référence en cas de doute ;
  • installer des dispositifs anti-virus, effectuer les mises à jour, renouveler régulièrement ses mots de passe ;
  • ne pas cliquer sur les liens ou les pièces jointes contenus dans un e-mail ou dans un message sur son téléphone lorsque l’on ne connaît pas l’expéditeur ;
  • se déconnecter de tous ses comptes en cas de connexion sur un ordinateur ou un réseau Wi-Fi public.

Ce que l'Ordre peut faire pour vous

Un accompagnement en cas de cyberattaque

 En cas de cyberattaque, entraînant notamment une violation des données de santé, l’Ordre met à disposition des pharmaciens sur son site Internet, ainsi que sur celui de la DQO, de nombreuses ressources pour y faire face (référentiels, guides, articles…). Les pharmaciens peuvent également signaler à l’Ordre de telles circonstances, ce qui lui permettra, le cas échéant, d’engager toutes actions complémentaires utiles et notamment de se constituer partie civile en cas d’engagement de poursuites pénales.

En cas de violation de ces données, voici ce que prévoit le RGPD :

  • identifier la violation des données personnelles, en précisant les causes, la nature des données concernées, leur niveau de confidentialité et leur disponibilité ;
  • tenir un registre des violations, précisant la nature de l’attaque, la catégorie et le nombre probable de données concernées, les conséquences prévisibles, les mesures prises pour y remédier, le nom et les coordonnées de la personne à contacter ;
  • utiliser le formulaire de notification téléchargeable sur le site de la CNIL, en s’aidant du document d’information, et leur adresser.
infog_dossier.jpg

Mot de l'Ordre

Carine Wolf-Thal,
présidente du Conseil national de l’Ordre des pharmaciens

Carine Wolf-Thal,

« Dans un monde exposé à la recrudescence des risques de toutes natures, la cybercriminalité devient un enjeu majeur pour l’ensemble des professionnels de santé, et particulièrement pour les pharmaciens qui gèrent des données patients extrêmement sensibles. Aux côtés de tous les métiers de la pharmacie, l’Ordre se mobilise pour les accompagner dans la protection de leurs systèmes d’information et dans la formation aux bonnes pratiques. Il est crucial, pour nous tous, de garantir à nos patients la protection de leurs données, mais également de préserver nos entreprises et nos organisations contre tout acte de cybermalveillance. »