Sensibilisation à la sécurité des SI

Visionnez ce Teaser pour comprendre en quoi nous sommes tous concernés par les problèmes de cybersécurité et surtout quelles seraient les conséquences si nous ne restions pas vigilants :

Le site gouvernemental Cybermalveillance.gouv.fr nous offre ses conseils pour mettre en oeuvre des bonnes pratiques élémentaires pour protéger votre Système d’Information, qu’il soit personnel ou professionnel.

Les mots de passe

Messageries, réseaux sociaux, banques, administrations et commerces en ligne, réseaux et applications d’entreprise… la sécurité de l’accès à tous ces services du quotidien repose aujourd’hui essentiellement sur les mots de passe. Face à la profusion des mots de passe, la tentation est forte d’en avoir une gestion trop simple. Une telle pratique serait dangereuse, car elle augmenterait considérablement les risques de compromettre la sécurité de vos accès.

Voici 10 bonnes pratiques à adopter pour gérer efficacement vos mots de passe :

  1. Utilisez un mot de passe différent pour chaque service
  2. Utilisez un mot de passe suffisamment long et complexe
  3. Utilisez un mot de passe impossible à deviner
  4. Utilisez un gestionnaire de mots de passe (voir Keepass)
  5. Changez votre mot de passe au moindre soupçon
  6. Ne communiquez jamais votre mot de passe à un tiers
  7. N’utilisez pas vos mots de passe sur un ordinateur partagé
  8. Activez la « double authentification » lorsque c’est possible
  9. Changez les mots de passe par défaut des différents services auxquels vous accédez
  10. Choisissez un mot de passe particulièrement robuste pour votre messagerie

Lien vers la fiche mémo complète : LES MOTS DE PASSE

L’usage personnel et professionnel

La transformation numérique modifie en profondeur les usages et les comportements, être connecté est devenu le quotidien. Le développement des technologies mobiles, PC portables, tablettes, smartphones, offre désormais la possibilité d’accéder, depuis presque n’importe où, à ses informations personnelles mais aussi à son système informatique professionnel :

la frontière numérique entre la vie professionnelle et personnelle devient de plus en plus poreuse.

Face à cette évolution, il est nécessaire d’adapter vos pratiques afin de protéger tant votre entreprise ou votre organisation, que votre espace de vie privée.

Voici 10 bonnes pratiques à adopter pour la sécurité de vos usages pro-perso :

  1. Utilisez des mots de passe différents pour tous les services professionnels et personnels auxquels vous accédez
  2. Ne mélangez pas votre messagerie professionnelle et personnelle
  3. Ayez une utilisation responsable d’internet au travail
  4. Maîtrisez vos propos sur les réseaux sociaux
  5. N’utilisez pas de services de stockage en ligne personnel à des fins professionnelles
  6. Faites les mises à jour de sécurité de vos équipements
  7. Utilisez une solution de sécurité contre les virus et autres attaques
  8. N’installez des applications que depuis les sites ou magasins officiels
  9. Méfiez-vous des supports USB
  10. Évitez les réseaux Wi-Fi publics ou inconnus

Lien vers la fiche mémo complète : LA SÉCURITÉ DES USAGES PRO-PERSO

Les appareils mobiles

Les les téléphones mobiles intelligents (smartphones) et tablettes informatiques sont devenus des instruments pratiques du quotidien, tant pour un usage personnel que professionnel. Leurs capacités ne cessent de croître et les fonctionnalités qu’ils offrent s’apparentent, voire dépassent parfois, celles des ordinateurs de bureau. Ils contiennent tout autant ou plus d’informations sensibles ou permettent d’y accéder. Ils sont plus faciles à perdre ou à se faire voler.

Ces appareils mobiles sont, malgré tout, généralement bien moins sécurisés que les ordinateurs par leurs propriétaires.

Voici 10 bonnes pratiques à adopter pour la sécurité de vos données sur les appareils mobiles :

  1. Mettez en place les codes d’accès
  2. Chiffrez les données de l’appareil
  3. Appliquez les mises à jour de sécurité
  4. Faites des sauvegardes
  5. Utilisez une solution de sécurité contre les virus et autres attaques
  6. N’installez des applications que depuis les sites ou magasins officiels
  7. Contrôlez les autorisations de vos applications
  8. Ne laissez pas votre appareil sans surveillance
  9. Évitez les réseaux Wi-Fi publics ou inconnus
  10. Ne stockez pas d’informations confidentielles sans protection

Lien vers la fiche mémo complète : LA SÉCURITÉ DES APPAREILS MOBILES

Les attaques des cybercriminels

Hameçonnage (Phishing)

L’hameçonnage ou phishing en anglais est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) ou bancaires en se faisant passer pour un tiers de confiance.

Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc.

Voici quelques conseils pour vous en prémunir :

  1. Ne communiquez jamais d’informations sensibles par messagerie ou téléphone
  2. Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce
    lien sans cliquer, le lien apparaît en bas de la fenêtre
  3. Vérifiez l’adresse du site qui s’affiche dans votre navigateur
  4. En cas de doute, contactez si possible directement l’organisme ou la personne concerné
  5. Utilisez des mots de passes différents et complexes pour chaque site et application
  6. Vérifiez les date et heure de dernière connexion à votre compte
  7. Activez la double authentification pour sécuriser vos accès

Lien vers la fiche mémo complète : L’HAMEÇONNAGE

Les Ransomwares ou Cryptolockers

Une attaque peut en cacher une autre, voici la technique des pirates expliquée en images simplement sur les Ransomwares, ces malwares qui chiffrent vos données et vous réclament une rançon pour les récupérer :

Quiz pour vérifier vos connaissance

quiz

Cliquez sur ce lien pour accéder au quiz qui vous permet de mesurer si vous avez bien acquis les bases de la sécurité des SI ou alors répondez au questionnaire suivant.

Si le formulaire ne s’affiche pas correctement, utiliser ce lien : https://forms.gle/4RRiEXvU4d43Umo4A

Pour compléter vos connaissances ou réviser les bonnes pratiques vous pouvez utiliser toutes les ressources proposées dans le kit de sensibilisation Cybermalveillance.

La protection des données médicales

Une protection des données médicales encadrée en France

La France possède un régime juridique particulier sur la protection des données médicales, ce dit régime étant particulièrement efficace. De plus, la CNIL assure une surveillance particulière des dites données et elle délivre régulièrement des informations pratiques destinées à renseigner les professionnels de la santé et les patients.

Un cadre juridique et réglementaire complet

La France s’est doté la première d’un régime juridique spécifique aux données personnelles et à l’utilisation des données personnelles en général. En effet, la loi dite Informatique et Liberté promulguée le 06 janvier 1978 a pour objet spécifique de protéger le traitement des données à caractère personnel.

Le caractère sensible de cette catégorie de données, qui permet ainsi de catégoriser les individus en fonction de différents critères (identité, ethnie, sexe, état de santé …) justifie à lui seul la mise en place d’une protection. Si cette loi s’attache à traiter de la protection de l’ensemble des données dites à caractère personnel, la loi dite « Kouchner » promulguée le 4 mars 2002 a pour objet de s’intéresser particulièrement aux données médicales ou données de santé à caractère personnel.

Ainsi, l’article L. 1111-7 du code de la santé publique met en place pour les patients les conditions d’accès à leurs données relatives à leur santé. Lorsqu’un individu souhaite avoir accès à n’importe quel document dont le contenu est relatif à son état de santé, par exemple une feuille de consultation ou une ordonnance médicale, ce dernier peut demander directement ou par le biais d’un professionnel de santé accès à ce document. Il est une fois de plus intéressant à noter que la loi rappelle le caractère à la fois informatique ou non d’une donnée dite médicale, l’interprétation de la loi ne peut ainsi pas permettre d’abus de langage allant dans le sens d’une stricte interprétation informatique du terme de donnée.

Cependant, l’article L. 1111-8 du code de la santé publique s’attache plus précisément à la licéité de l’hébergement et du traitement de données de santé. Ainsi, dans le cadre d’opérations de soins ou de diagnostic, les données de santé collectées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet. Le décret n°2006-6 du 4 janvier 2006 définit, quant à lui, les conditions d’agrément des hébergeurs de données de santé sur support informatique. Ses dispositions ont été insérées aux articles R.1111-9 et suivants du code de la santé publique.

De plus, cet hébergement de donnée de santé ne peut être effectué qu’après consentement exprès de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doit évidemment respecter les conditions posées par la loi Informatique et Libertés.

Ainsi, aux vues de tout ce qui a été énoncé, la France s’est progressivement dotée au fur et à mesure des années d’outils juridiques efficaces dans la protection et surtout dans la prévention des atteintes potentielles portées aux données médicales.

Les professionnels de la santé sont ainsi encadrés lorsqu’ils sont amenés à travailler avec des données médicales. Par exemple, un pharmacien stocke des données issues de la lecture d’une carte vitale d’un patient ou d’une ordonnance sur des serveurs spécialement habilités à recevoir des données à caractère personnel. De plus, le secret médical imposé par la déontologie des professions relatives au milieu de la santé interdit toute divulgation de donnée médicale à autrui sans accord de ce dernier ou au détriment des conditions posées par la loi.

A ce titre, même si la loi pose des interdictions et des conditions de traitement des données médicales qui sont claires, le rôle de la CNIL dans le traitement de telles données reste non négligeable puisqu’elle assure un suivi pratique dans le suivi des dites données.

Des recommandations pratiques de bon sens aux utilisateurs

La CNIL ou Commission Nationale de l’Informatique et des Libertés a pour objet spécifique de protéger les données personnelles ainsi que de préserver les libertés individuelles de chaque individu. À ce titre, la CNIL accorde une attention particulière à la manière dont sont effectués des traitements de données à caractère personnel. Pour se faire, la CNIL utilise souvent des recommandations faites aux entreprises ou aux professionnels concernés afin de rappeler les pratiques idéales à effectuer suivant la situation. Dans le cas de la protection des données médicales, la CNIL s’est prononcée sur les modalités optimales à adopter dans le cas où un professionnel de santé héberge ou traite des données médicales.

La CNIL commence par rappeler la nécessité première de maintenir le degré de confidentialité des données de santé au même rang que celui du secret médical. Pour se faire, la CNIL donne des indications d’ordre technique qui, si elles peuvent paraître acquises pour de plus en plus de gens aujourd’hui au regard de l’ouverture du milieu informatique au grand public, reste nécessaire, voire indispensables dans certains cas, pour s’assurer d’un minimum de sécurité sur les données hébergées.

Dans un premier temps, la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter : un mot de passe doit être mis en place sur l’ordinateur et ce dernier doit faire l’objet d’un arrêt complet à chaque absence du professionnel de santé. De plus, il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lu ou intercepté par un tiers non autorisé à accéder au système informatique. A ce titre, rappelons simplement que la simple intrusion dans un système informatique sans autorisation constitue à lui seul un délit pénal.

De plus, la CNIL recommande pour le professionnel médical de disposer de supports de sauvegardes externes permettant d’éviter la perte de données, ceci est bien évidement rappelé dans le Guide des bonnes pratiques de l’informatique de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information). En effet, si un client venait à vouloir consulter ses données médicales et que le professionnel est dans l’incapacité de lui fournir, il se rendrait coupable d’un acte illicite, et ce même si la perte de données est liée à un problème technique ou ne dépendant pas de sa volonté.

Si la CNIL prend la peine de rappeler ces points qu’elle considère elle-même comme étant des dispositions de sécurité élémentaires, elle s’attarde également sur le cas où un traitement de données médicales fait l’objet d’une mise en réseau.

Dans un tel cas de figure, la CNIL recommande alors une gestion plus poussée des mots de passe : ces derniers doivent être distincts suivant l’utilisateur qui utilise l’ordinateur, par exemple chaque pharmacien devrait, pour un unique poste informatique dans un office, avoir son propre identifiant et son propre mot de passe. De plus trois erreurs consécutives sur une accès par mot de passe doivent, à l’instar des erreurs lors de l’entrée d’un code PIN erroné, verrouiller le système suffisamment de temps pour freiner les intrus.

De plus, la CNIL ne recommande pas à ce qu’un compte d’un utilisateur puisse être ouvert sur plusieurs postes différents, le risque étant que le professionnel médical n’est pas présent devant l’un de ses postes, ce qui rend accessible les données à un tiers, sauf si les postes en question peuvent être verrouillés avec un système connu uniquement du professionnel de santé. De plus, les données médicales peuvent faire l’objet d’un chiffrement, parfois improprement appelé cryptage, c’est une recommandation forte pour les données personnelles lors d’une exposition sur les réseaux ou sur les appareils mobiles. Ainsi, outre une intégrité des données qui doit constamment être vérifiée au plan informatique, la confidentialité de ces dernières doit être assurée par un chiffrement total ou partiel des données nominatives en fonction des cas. Enfin, dans le cas où l’accès au réseau se fait via Internet, un système de protection comme un pare-feu est hautement recommandé pour prévenir de toute tentative d’interception des données médicales lorsque ces dernières font l’objet d’un flux de transmission.

Afin de garantir la sécurité et la confidentialité des données, il est recommandé aux responsables de structures traitant des données de santé de sensibiliser leur personnel aux bonnes pratiques à adopter. Cette sensibilisation passera par exemple, par des plans internes de sensibilisation à la sécurité informatique et l’adoption d’une charte informatique adaptée aux outils et autres moyens informatiques mis à la disposition du personnel. Par exemple l’ANSSI diffuse un passeport de conseils présentant des règles simples à mettre en œuvre sur sont smartphone, tablette ou ordinateur portable lors des déplacements pour réduire les risques liés au nomadisme des données et des équipements. Ou la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter comme un bon un mot de passe changer régulièrement pour protéger l’accès aux données ou aux applications.

Conclusion

Au regard de tout ce qui précède, la France dispose sur son territoire d’assistance et de conseils pour les professionnels et d’un arsenal protecteur conséquent pour assurer la confidentialité et l’intégrité des données médicales. Mais Internet n’a pas de frontières et certaines données peuvent être amenées à transiter dans des états étrangers, la protection des données médicales à l’international devient alors beaucoup plus incertaine selon le pays et sa réglementation.

Services de consulting

  • Assistance à la conception du dossier d’agrément hébergement de données de santé,
  • Assistance à maîtrise d’ouvrage pour le choix d’un hébergement agréé,
  • Sensibilisation des personnes aux risques et à la Politique de Sécurité (PSSI),
  • Réalisation d’audit tierce partie de référentiel de management de la sécurité,
  • Audit de conformité aux exigences du référentiel d’agrément, aux déclarations CNIL,
  • Audit d’amélioration des processus liés à la sécurité des données médicales.

Label Management Équitable

logo-AFraMEA la différence d’autres référentiels portant sur les pratiques de Management d’une organisation, le label Management Équitable se veut intrinsèquement porteur d’une démarche de progrès. Permettant aux organisations de générer une plus grande performance économique durable en engendrant une forme de projet d’entreprise qui mobilise positivement les managers, la direction, les collaborateurs et les partenaires.

J’ai contribué depuis sa création à la définition et à la mise en oeuvre du référentiel de labellisation Management Équitable et à la formation des experts et auditeurs en capacité de l’évaluer.

Les principes du Label Management Équitable

Avec ce label il ne s’agit pas de sanctionner une organisation, mais de servir de catalyseur de performance sur la durée. La progressivité du label, au travers des indicateurs et des différents niveaux, participe à cette inscription dans la durée.

Ce label est valable deux ans, mais un suivi régulier est fait par les managers de l’AFraME avec les labellisés. Il n’y a pas de bons ou de mauvais points, il n’y a que des points de progrès.

Intérêt de la labellisation

L’organisation engagée dans cette démarche bénéficie de toutes les expertises et expériences des autres membres, individuels ou sociétés, qui enrichissent les mesures et les benchmarks de l’AFraME.

Autre spécificité, l’organisation s’approprie ce label et vient elle-même soutenir son dossier devant le Comité de Labellisation. En tant que membre de l’AFraME, chaque candidat au label a accès à des formations régulières, des conférences, et contribuera à enrichir les débats, indicateurs, forums et groupes de réflexion de l’association.

Mes contributions au Management Équitable

Une grande partie de mes articles sur le Management Équitable soutient qu’en adoptant à tous les étages de l’entreprise ou de l’association et de manière concrète les valeurs de la charte du Management Équitable, il est possible de prévenir les risques dans tous les domaines de l’organisation.

En bref, développer partout dans l’organisation l’intelligence collective permettant de faire face aux enjeux et de réconcilier l’économique, l’objectif, le produit et l’humain.

La labellisation permet de mesurer l’adoption de ces pratiques dans une organisation pour mettre en place une démarche de progrès vers le niveau de maturité le plus élevé du label, c’est à dire le niveau équitable.

Étude de cas – Spectralys Innovation

En tant que référent AFraME j’ai accompagné la société Spectralys dans sa démarche de labellisation.