Home Santé5 étapes pour renforcer la cybersécurité dans les agences de santé comportementale

5 étapes pour renforcer la cybersécurité dans les agences de santé comportementale

by Sophie Martin

Les organismes de santé mentale sont particulièrement vulnérables aux cyberattaques, et beaucoup manquent des outils essentiels pour s’en protéger et s’en remettre. Face à une menace croissante, les experts insistent sur la nécessité d’investir dans la cybersécurité pour éviter des conséquences potentiellement désastreuses.

Selon un rapport publié en 2024 par le Ponemon Institute, une société spécialisée dans la recherche sur la sécurité informatique, 92 % des établissements de santé interrogés ont été victimes d’au moins une cyberattaque au cours des 12 derniers mois. Cette situation est d’autant plus préoccupante que les budgets de santé sont souvent tendus, et que la cybersécurité est parfois négligée, explique Linda Stevenson, directrice de l’information du centre médical Fisher-Titus dans l’Ohio : « Lorsque les budgets de santé se resserrent, le financement de la cybersécurité est souvent laissé de côté. »

Les agences de santé mentale, qui disposent souvent de peu de professionnels informatiques spécialisés en cybersécurité, sont particulièrement exposées. Pour se préparer à une éventuelle attaque, il est crucial d’évaluer les risques, de mettre en place un plan d’atténuation et de souscrire une assurance responsabilité cyber.

Les conséquences d’une cyberattaque peuvent être lourdes : perte de temps de travail, recours à des experts externes pour renforcer la sécurité, frais juridiques… Le coût peut varier considérablement, allant de plusieurs dizaines de milliers d’euros pour les petites structures à plusieurs centaines de milliers, voire des millions, pour les organisations plus importantes. Certaines peuvent même être contraintes à la fermeture.

Il est essentiel de ne pas sous-estimer les coûts d’opportunité de l’inaction. Un exemple frappant illustre cette réalité : une agence a mené une évaluation des risques et identifié des vulnérabilités, mais a reporté les mesures correctives en raison de leur coût. Trois mois plus tard, elle a été victime d’une cyberattaque exploitant l’une de ces failles. L’organisation a finalement dépensé 25 fois le coût de la solution initialement recommandée et a été incapable de fournir des services aux patients pendant plus de deux semaines.

Les dirigeants d’agences de santé mentale doivent donc demander à leur équipe informatique de réaliser une évaluation de sécurité complète. Cette évaluation doit analyser le dark web, identifier les risques internes et liés au cloud, et mettre en évidence les lacunes dans les politiques et procédures. Les recommandations qui en découlent doivent être suivies d’actions concrètes.

Au-delà des mesures de base, comme la formation des employés à la protection des mots de passe, il est important de sensibiliser le personnel aux attaques de phishing et aux techniques utilisées par les pirates informatiques. Il est également crucial de maintenir les systèmes et applications à jour et de bloquer l’accès aux ports inutiles. Dans le domaine de la santé mentale, où la technologie n’est pas toujours une priorité, certaines organisations utilisent encore des serveurs vieux de plus de 10 ans, ce qui représente un risque supplémentaire.

En cas de cyberattaque, il est impératif de contacter immédiatement sa compagnie d’assurance. Celle-ci peut fournir des conseils juridiques et faire appel à une société de sécurité pour lancer une analyse médico-légale et mettre en œuvre des mesures correctives. La nature de l’attaque déterminera la réponse appropriée : dans le cas d’une attaque par rançongiciel, il peut être nécessaire d’arrêter le système pour éviter la propagation du virus.

Ignorer le risque de cyberattaques ne le fera pas disparaître. Selon le rapport de 2024 du Ponemon Institute, « 55 % des personnes interrogées déclarent que le manque d’expertise interne de leur organisation est le principal obstacle à l’adoption d’une solide posture de cybersécurité ». Tous les systèmes informatiques sont vulnérables. La clé est de mettre en place suffisamment de barrières pour dissuader les attaquants.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.