Audioprothésistes: comment se protéger face aux ransomwares ?

Le secteur de l’audioprothèse n’échappe pas à la menace des ransomwares. Pourtant, on peut drastiquement réduire les chances de subir de telles attaques en adoptant les bons comportements.

Wannacry, Maze, NotPetya... apparus au début de la décennie, les ransomwares se sont rendus célèbres en s’attaquant aux structures informatiques de grandes entreprises françaises et internationales. Sur leurs tableaux de chasse, des fleurons industriels comme Bouygues ou Renault mais aussi… des hôpitaux et des petites entreprises. Le secteur de l’audioprothèse est loin d’être épargné par ce fléau. En tant que professionnel de santé, vous êtes responsable de la donnée de vos patients. Ainsi, la sécurisation de ces données de santé doit devenir une de vos préoccupations majeurs. 

Comment fonctionne les logiciels de ransonwares ? 🤔

Les ransomwares (rançongiciel en français) sont des logiciels malveillants qui bloquent les ordinateurs et les informations qu’ils contiennent jusqu’à ce qu’une rançon soit payée. Ils se propagent, la plupart du temps, via des mails ouverts par erreur, laissant s’infiltrer le virus dans les systèmes.

Les hackers utilisent ces mails pour cartographier votre réseau puis accéder aux données sensibles comme la comptabilité, les données bancaires ou les données de santé stockées sur vos disques durs. Une fois cryptées par le hackeur, ces données peuvent être récupérées au prix d’un paiement qui peut atteindre plusieurs dizaines de milliers d’euros. 

Comment se protéger face aux ransomwares ? 🔐

Le risque zéro n’existe pas. Mais, pour se protéger, la meilleure solution est d’appliquer des règles simples de protection : cela passe par l’application des mises à jour proposées par les logiciels, l’attention donnée aux mails reçus au jour le jour, la sauvegarde de vos données sur un cloud ou un disque dur crypté mais aussi par une gestion transparente et réfléchie des données sensibles avec vos sous-traitants et vos prescripteurs. 

L’utilisation d’un mot de passe manager, qui permet de centraliser tous ses identifiants dans un coffre fort protégé par un mot de passe unique, est également très efficace. En plus d’être en sécurité, le service est pratique et très utile au jour le jour. C’est pour ces raisons que chez Audiowizard, nous utilisons Dashlane, un éditeur français en qui nous avons confiance.

Plus généralement, il est important de prendre en compte la sécurité informatique à chaque étape de la numérisation de votre centre d’audioprothèse. Depuis l’entrée en vigueur du RGPD, les obligations qui pèsent sur le responsable de traitement de la donnée (c’est à dire sur vous et vos sous-traitants) se sont fortement élargies. 

L’utilisation de messagerie sécurisée entre vous et vos prescripteurs est également un conseil valable pour la sécurité informatique en générale. C’est une solution simple et efficace pour protéger les échanges avec vos médecins prescripteurs. Cela permet par la même occasion d’échanger sur les nouvelles méthodes de transmission des comptes-rendus nécessaire aux obligations du reste à charge zéro. 

Enfin, la sauvegarde automatique de la base de données sur un cloud ou sur un disque dur crypté permet de limiter la casse en cas d’attaque de ce type. 

En respectant les conseils, données par la CNIL et AudioWizard à ce sujet, vous limiterez les failles dans votre système et ainsi les chances de mettre en danger les données de votre entreprise. 

Que faire en cas d’attaque ? 🏹💣

Une boîte de dialogue vous demande de payer x euros pour récupérer votre base de données que faire ?

• Vous déconnecter du réseau Internet (On tire le cable ethernet !!!)
• Ne pas payer, car vous n’avez aucune garantie de récupérer les données de vos patients. Vous alimentez des réseaux criminels et votre ordinateur/serveur interne resteront infectés, donc sujet à un nouveau chantage.
• Garder son ordinateur allumé pour identifier le ransomware.
• Prendre des captures d’écrans de tous les éléments de l’attaque pour documenter votre plainte et potentiellement de bénéficier d’une assurance.
• Tenter d’identifier une solution en passant par des outils comme ID ransomware. Une base de données de tous les virus de demande de rançon, identifiés avec leur clé de déverrouillage.
• Prévenir la CNIL pour vous protéger dans les 72 h qui suivent (article 33 du RGPD)
• Si une solution de décryptage n’a pas été trouvée reformater l’ordinateur avec une sauvegarde saine ou à 0.
• Identifiez le point d’attaque (mail, téléchargement, clefs usb) et formez vos équipes sur ces points de vigilances.
• Et enfin, réalisez une étude de risques (article 35 du RGPD) pour mettre en place des process de sécurité.
• Réalisez un contrat de sous-traitance avec chacun de vos logiciels pour terminer votre protection juridique.
  

Vous l’avez compris, la lutte contre les ransomware n’est pas qu’une question de chiffrage de données. Les erreurs humaines sont la première source d’intrusion et de vols de données sensibles. C’est d’abord par la prise en compte de l’importance de cette problématique pour votre entreprise, puis par la mise en place de procédures sérieuses, par vos employés, que vous pourrez vous protéger efficacement. 

Si vous voulez aller plus loin concernant la sécurité des données de votre entreprise vous pouvez consulter notre article.

Audioprothésistes : 10 choses à savoir pour sécuriser vos données et être conforme au RGPD.

Vous pouvez aussi directement nous poser des questions sur la sécurité de votre entreprise en nous contactant. 😉