Cybersécurité et monde de la santé : Comment sensibiliser efficacement ?

Nous vivons dans un monde numérique et connecté, ce n’est plus un secret pour personne. Le Cloud, le Wifi ou le Bluetooth font désormais partie de nos usages quotidiens, tant dans la sphère privée que professionnelle. Pourtant, l’usage du numérique dans le milieu professionnel, et en particulier dans le milieu de la santé, n’est pas sans danger.
Le cas des objets connectés est particulièrement intéressant. Véritable progrès technologique, ces objets facilitent très souvent la vie des patients. Pourtant, ils ne sont pas à l’abri des attaques informatiques. Prenons pour exemple la FDA Américaine qui a préconisé dans le courant de l’été 2015 le retrait du marché de pompes à morphines potentiellement vulnérables aux cyberattaques : ces pompes, utilisées à l’hôpital ou à domicile pour administrer des analgésiques en continu aux patients, sont reliées par système sans fil aux systèmes informatiques des hôpitaux afin de transmettre des données sur les patients et d’adapter les protocoles de soin. Les vulnérabilités présentes sur ces appareils laissaient craindre qu’un pirate puisse modifier la posologie…
Ceci n’est qu’un exemple des dommages –sérieux- qui menacent le secteur. Vol de données, intrusion sur le Système d’Information, fraude, voire atteinte à l’intégrité physique des personnes…
Néanmoins, la culture de la peur n’est pas une bonne chose, et avec des pratiques connues, on peut réduire ces risques. Il n’y a certes pas de solution miracle, mais un ensemble de bonnes pratiques sont à appliquer. A un niveau très basique tout d’abord : installer un anti-virus, s’assurer que les mises à jour sont faites sur tous les logiciels utilisés…
Mais la clé réside surtout, comme souvent, sur le plan humain : il faut développer les bons réflexes. La sécurité informatique repose toujours davantage sur les comportements des hommes et des femmes qui interviennent sur le SI.  Chacun doit être conscient des risques auxquels il expose son entreprise. Tout le monde est concerné, pas seulement la petite équipe informatique qui a en charge le bon fonctionnement du système d’information. Si les experts du métier ont besoin de formations techniques (sécurité du Cloud, sécurité des réseaux, Plan de Continuité d’Activité, Tests d’Intrusion…), parfois certifiantes comme les approches ISO 27001, ISO 27005 ou CISSP (Certified Information Systems Security Professional), l’ensemble des employés (branches métier, département administratif, …) ont eux la nécessité d’être sensibilisés sur un sujet qui leur apparait parfois loin de leurs préoccupations…
Chez SCASSI nous avons anticipé ce besoin grandissant en formation et sensibilisation en développant une offre intégrale pour un public professionnel, expert ou non des métiers de l’informatique. Phosforea® est un MarketPlace de référence pour la formation et la sensibilisation en cybersécurité. Il inclut du contenu (plus de 600 modules de formation en cybersécurité en modalité blended-learning) et une plateforme e-learning innovante permettant de personnaliser la formation selon le profil du stagiaire. Phosforea permet également de gérer des campagnes de sensibilisation à la cybersécurité en ligne à grande échelle, depuis la conception de contenus innovants (serious games, modules courts, jeux-concours, workshop, webinaires…) jusqu’au suivi qualitatif de la campagne à travers la livraison d’indicateurs de reporting.
Faire prendre conscience aux collaborateurs des enjeux de la cybersécurité au quotidien … voilà un des défis lancés en cette fin d’année aux DSI et RSSI. « Mission accomplie » pourrait répondre l’Etablissement Français du Sang, qui témoigne : « La plateforme de e-learning Phosforea nous a permis de sensibiliser plus de 3700 salariés en un temps record –à peine 2 mois ! Outre l’ergonomie et la facilité d’authentification (lien auto login), les fonctions de statistiques en temps réel (taux de connexion, temps passé sur le cours…) nous ont été très utiles. Nous avons ainsi pu mesurer et valider l’efficacité de notre campagne de sensibilisation ».