Les cabinets dentaires doivent aussi se protéger contre les cyberattaques
Il y a belle lurette que les cyberattaques ne visent plus seulement les grandes entreprises. Les cabinets dentaires sont aussi dans le viseur, mais ils n’y sont pas tous préparés. Les risques ? Interruptions d’exploitation, violations de la protection des données et atteintes à la réputation.
Les cabinets dentaires ne sont pas une cible prioritaire des cybercriminels. Néanmoins, ils sont en danger, car de nombreuses cyberattaques sont menées à très large échelle. Les cybercriminels envoient des centaines de milliers de courriels contenant un maliciel générique. Il suffit alors d’un clic malencontreux et le maliciel installe des programmes, crypte des données ou copie des informations, le tout à l’insu de l’utilisateur. Cabinet individuel, cabinet de groupe ou centre de médecine dentaire, peu importe la taille de l’entreprise : tout le monde est concerné, surtout en l’absence des mesures de protection élémentaires..
De nombreux propriétaires de cabinet n’ont pas encore suffisamment pris conscience de ces risques. Or, les cabinets dentaires traitent continuellement des données ultrasensibles : les données sur la santé des patientes et des patients. En Suisse, selon la loi fédérale sur la protection des données, il s’agit de données personnelles dites sensibles qui exigent une protection adéquate de la part des cabinets dentaires. En cas de violation, le cabinet peut être dénoncé, mais il risque aussi une action en dommages-intérêts et – plus grave encore – une perte de confiance de sa patientèle. Cela peut mettre en péril l’existence même du cabinet lorsqu’il s’agit d’une petite structure.
Scénarios d’attaque typiques
WÀ quel genre de cyberattaque les cabinets dentaires peuvent-ils s’attendre ? Max Klaus, responsable adjoint des médias et de l’information à l’Office fédéral de la cybersécurité (OFCS) mentionne trois scénarios vraisemblables : les attaques par rançongiciel, les courriels d’hameçonnage et les attaques par déni de service distribué (DDoS). Les attaques par rançongiciel sont particulièrement problématiques pour les cabinets dentaires, car elles impliquent le vol et le cryptage de données. Elles peuvent toucher une partie ou même l’ensemble de leur infrastructure informatique, paralysant parfois le cabinet victime pendant plusieurs jours. S’il ne récupère pas la clé de décryptage, il n’a plus aucun accès aux dossiers des patients, à la comptabilité et à d’autres documents. Pour débloquer les données, les auteurs de l’attaque exigent une rançon qui doit souvent être payée en cryptomonnaies, et ils menacent de publier les données sur le darknet en cas de non-paiement. Toutefois, même s’il paie la rançon, le cabinet n’a aucune garantie de pouvoir restaurer l’infrastructure attaquée. L’OFCS déconseille vivement de payer la rançon demandée. Mais les ennuis ne s’arrêtent pas là, rappelle Max Klaus : « Le vol des données de patients est un vol d’informations qui se traduit non seulement par une atteinte à la réputation du cabinet, mais qui comporte aussi de graves violations de la protection des données. »
Vulnérabilité des cabinets
Pour se protéger, la technique ne suffit pas, comme le montre le succès de nombreuses cyberattaques. Dans les PME – et les cabinets dentaires en font partie –, les principales failles de sécurité sont l’être humain et l’organisation. On oublie de faire les mises à jour périodiques. Les mots de passe sont trop simples ou sont utilisés plusieurs fois. Les compétences et les tâches relatives à l’infrastructure informatique de l’entreprise sont mal définies. Le personnel du cabinet n’est pas formé régulièrement. « D’une manière générale, on peut dire que la sensibilité à ces questions n’est pas très élevée », s’exclame Max Klaus pour résumer la situation. Les appareils connectés à Internet représentent un risque particulier. C’est la problématique de l’Internet des objets ou IdO. Cela concerne les units dentaires, les scanners, les caméras ou les lampes, qui sont souvent protégés par des mots de passe standard qui figurent dans les modes d’emploi que l’on peut consulter en ligne. Or, un seul appareil insuffisamment protégé peut servir de porte d’entrée pour les cybercriminels. Les relations commerciales avec des prestataires de services externes ou avec des fournisseurs sont aussi une source de risques.
Mesures de sécurité immédiates
Nombre de mesures préventives peuvent être mises en place de manière simple et rapide sur les plans organisationnel et technique. Max Klaus conseille les mesures suivantes : « Tout cabinet devrait mettre en place des mesures de protection élémentaires comme le fait de maintenir à jour les systèmes et appareils. Les mises à jour de sécurité doivent être installées systématiquement. De plus, l’authentification à deux facteurs est aujourd’hui la norme, et d’autant plus pour les cabinets dentaires qui traitent et gèrent sans cesse des données sensibles. » Un autre point concerne les sauvegardes : de nombreux cabinets font des sauvegardes de leurs données, mais ils ne le font pas régulièrement et que localement. Ou alors, les sauvegardes ne sont pas complètement séparées de leurs systèmes. De plus, les sauvegardes devraient être testées régulièrement. Il existe une règle de principe : la cybersécurité ne concerne pas uniquement le service informatique, c’est une affaire de chef. La responsabilité de cet aspect incombe en effet au médecin-dentiste propriétaire du cabinet. Il est aussi important de sensibiliser l’équipe sans relâche. Pas besoin de formations complexes ; un bref rappel à intervalles réguliers, lors des séances d’équipe, suffit. Max Klaus recommande encore de fixer les compétences et les processus dans un plan d’urgence. Qui signale quoi et à qui ? Que faire en cas de panne des systèmes ? Combien de temps jusqu’à ce qu’il soit à nouveau possible de travailler ? Ce plan permet de garder son calme même en situation de stress et d’éviter de prendre des décisions fatales.
