Cyberattaques : comment lutter contre le hacking des données de santé ?
La cybercriminalité ne cesse de s’étendre au champ de la santé, avec des risques réels pour la protection des données personnelles des patients. Les pharmaciens doivent se former pour y faire face. L’Ordre les accompagne et propose des outils afin de prévenir ces risques et réagir aux agressions.
Le secteur de la santé est particulièrement exposé aux risques de la cybercriminalité. Les hôpitaux font l’objet d’attaques régulières en provenance de hackers informatiques, sous diverses formes : blocage des systèmes informatiques et demande de rançon, piratage des données de santé pour revente sur le « dark web »… Les pharmaciens ne sont pas épargnés par le phénomène.
Les laboratoires de biologie médicale (LBM) et les officines aussi concernés
En 2022 et 2023, l’Ordre a été informé de cas de LBM ayant fait l’objet de piratages de données, avec demandes de rançon. À l’officine également, avec la digitalisation et la multiplication des dispositifs connectés, la menace doit être prise au sérieux. Des vols de données ont également été rapportés, avec des opérateurs se faisant passer pour des éditeurs de logiciels de gestion d’officine (LGO). Faute de disposer de leur propre responsable service informatique (RSI), les pharmaciens et biologistes médicaux sont parfois peu préparés à y faire face. Connexion mal sécurisée, poste téléphonique, caméra, imprimante, écran publicitaire… des milliers de « surfaces d’attaque » peuvent être utilisées par les pirates pour entrer dans le système d’information de l’officine. Les logiciels et les matériels du système d’information, insuffisamment protégés en cas de défaut de mise à jour, génèrent également des vulnérabilités fréquemment exploitées. Outre le risque de « rançonnage », la captation des données de santé personnelles du patient engage la responsabilité du pharmacien. Il est en effet tenu, dans le cadre du Règlement général sur la protection des données (RGPD), de surveiller l’accès à ces données.
Comment se prémunir des cyberattaques ?
Il est essentiel, pour le pharmacien, de se former aux règles de la « bonne hygiène informatique ». Sur le site Démarche Qualité à l’Officine (DQO), la fiche Protection des données de santé permet d’acquérir les informations de base pour sécuriser les données de santé hébergées par les systèmes d’information des officines.
Des conseils pratiques sont disponibles dans le guide Le pharmacien d'officine et la protection des données personnelles, publié en septembre 2023 par l’Ordre et la Commission nationale de l’informatique et des libertés (CNIL). Ce document décrit le dispositif du RGPD, rappelle l’ensemble des obligations du pharmacien en matière de protection des données et aide à prendre les décisions adaptées en cas de violation des données ou de contrôle par la CNIL.
L’Agence du numérique en Santé (ANS) a également publié un mémento de sécurité informatique ainsi que des fiches réflexes destinés aux professionnels de santé en exercice libéral, sur son site.
Le numérique en santé constitue d’ailleurs une orientation prioritaire du développement professionnel continu (DPC) pour la période 2023-2025. Cette thématique, à laquelle les professionnels peuvent se former, prévoit d’aborder la cybersécurité.
Enfin, des solutions d’accompagnement sont proposées par des opérateurs privés, qui peuvent assurer la sécurité informatique de l’officine, vérifier notamment le bon fonctionnement des équipements de sécurité (pare-feux, antivirus, antispam, etc.) et s’assurer de la traçabilité des accès et des actions intervenant sur le système d’information (par exemple ”traquer” les adresses IP des hackers pour tenter de les identifier).
Que faire en cas d’agression informatique ?
La cyberattaque doit être considérée comme une agression portant atteinte aux biens du pharmacien, et donc signalée en tant que telle. En cas de cyberattaque :
- déconnectez du réseau la machine sur lequel l’incident s’est produit ;
- n’éteignez pas ou ne redémarrez pas l’appareil ;
- n’utilisez plus l’équipement ;
- prévenez le fournisseur du service informatique, le cas échéant ;
- signalez l’incident sur cybermalveillance ;
- le cas échéant, procédez à un dépôt de plainte ;
- déclarez l’agression à l'Ordre.
En cas de violation de données à caractère personnel, retrouvez la marche à suivre dans la fiche n°5 du guide RGPD à l'officine.
En savoir plus :
- Faire face à une situation difficile, page du site de l’Ordre
- « Cybersécurité et hygiène numérique », article de La revue n° 22
- Guide Le pharmacien d’officine et la protection des données personnelles, publication de l’Ordre et de la CNIL
- Des conseils utiles sont également disponibles sur le site francenum.gouv.fr