Améliorer la formation en cybersécurité du personnel de santé
Les employés de nombreux secteurs d’activité se sont familiarisés avec une sorte de formation annuelle en cybersécurité au sein de leurs organisations, allant du visionnage de vidéos informatives à la participation à des simulations de tentatives de phishing .
Pour les secteurs fortement réglementés comme la finance ou la santé, ces formations peuvent répondre à des critères de conformité. Cependant, renforcer la sécurité de l'organisation est une autre affaire.
« Aujourd'hui, on prend conscience que, du point de vue des utilisateurs, sécurité et conformité sont deux notions distinctes », déclare Ryan Witt, vice-président des solutions sectorielles chez Proofpoint . « Dans la protection des données et de l'institution, sécurité et conformité sont deux disciplines distinctes. »
Alors que les acteurs malveillants continuent de cibler les établissements de santé, la formation à la cybersécurité axée sur les rôles devient essentielle pour les membres du personnel, qu'ils soient en contact avec les patients ou en back-office. Une formation adaptée à un rôle spécifique peut aider les membres de l'équipe à développer une meilleure vigilance et une plus grande vigilance, ce qui ne fera qu'améliorer la sécurité de l'organisation.
Selon un rapport Proofpoint de 2024, 71 % des travailleurs ont admis avoir agi d'une manière qui mettait en danger la sécurité , comme cliquer sur des liens provenant d'expéditeurs inconnus ou partager des informations d'identification avec une source non confirmée.
Alors, pourquoi ne pas simplement conseiller aux employés de réduire les actions risquées ? Il est probable qu'ils soient amenés à prendre de tels risques dans le cadre de leur travail, comme télécharger des CV pour les RH, confirmer des informations d'identification au service d'assistance informatique ou accéder à des données médicales en tant que chercheur.
« Ils ne font rien de mal », explique Witt. « Mais ces formations doivent les soutenir pour qu'ils puissent remplir leur rôle tout en bénéficiant de mesures de protection. Après tout, ce sont eux qui subissent la majeure partie des attaques. »
Leurs rôles peuvent ne pas être bien connus en dehors de l’organisation, mais ils peuvent travailler de manière vulnérable ou avoir accès à des données vendables qui les rendent désirables en tant que cibles.
« Si vous êtes un établissement de santé et que vous avez une composante de recherche au sein de votre organisation , vous êtes considérablement plus exposé aux attaques », explique Witt. « Nous avons constaté des exemples frappants où des acteurs étatiques tentent d'accéder à des données précieuses et monétisées. »
Les organisations devraient particulièrement proposer une formation personnalisée au service d'assistance, plus susceptible d'être ciblé par les acteurs malveillants, ajoute Witt. Il est fréquent que le service d'assistance reçoive des demandes de réinitialisation des méthodes d'authentification suite à l'achat d'un nouveau téléphone, par exemple. Comment cet employé peut-il vérifier qu'il s'agit d'une demande légitime émanant de l'organisation ?
« Ils sont motivés par le désir d'aider, et c'est un attribut que vous souhaitez vraiment voir au sein de votre équipe, mais un acteur malveillant peut en profiter », explique Witt.
Prenons l'exemple d'un employé du service d'assistance qui reçoit une demande de changement de mot de passe pour un oncologue travaillant aux urgences d'un hôpital. Cet employé doit se méfier, car les oncologues ne sont généralement pas présents aux urgences.
« C'est ce niveau de formation, au niveau sectoriel et au niveau des fonctions, que nous essayons désormais d'intégrer à notre propre cursus », explique Witt. « Une personne ayant travaillé longtemps dans un établissement de santé sera peut-être capable de faire ce lien, mais qu'en est-il d'une personne nouvellement arrivée au service d'assistance et à l'hôpital ? Cela doit donc faire partie intégrante de la formation . »
La formation à la sécurité basée sur les rôles devrait également inclure les personnes ayant des personnalités publiques ou des profils visibles, comme un chirurgien orthopédiste remarquable ou un médecin qui fait de fréquentes apparitions dans les médias.
« Les acteurs malveillants ont compris que toutes les adresses e-mail et tous les employés d'une organisation ne sont pas traités de la même manière ou ne présentent pas le même niveau de vulnérabilité », ajoute Witt. « Certaines personnes au sein de ces organisations et de certains services présentent une vulnérabilité exponentiellement plus élevée. »
Ryan Witt Vice-président des solutions industrielles, Proofpoint
Plutôt que de créer un module de formation annuel massif que les employés sont susceptibles de reporter à la dernière minute, Witt suggère de planifier des formations plus courtes plus souvent.
« Nous avons constaté une forte tendance à privilégier ces formations courtes », explique-t-il. « Parfois, elles se déroulent même en temps réel, en lien avec un cyberévénement récent. Elles constituent une mise à jour rapide, ce qui rend les leçons beaucoup plus pertinentes et faciles à adopter. »
À mesure que l’ utilisation de l’intelligence artificielle générative et d’autres stratégies assistées par l’IA devient plus courante, la formation à la sécurité basée sur les rôles devra également évoluer afin que les employés puissent prendre de meilleures précautions.
Les vidéos deepfake sont une tactique que les escrocs ont récemment utilisée dans leurs tentatives de phishing, mais Witt dit qu'il est plus intéressé par les « shallowfakes », ou le contenu qui est modifié minutieusement afin qu'un utilisateur puisse penser que ce qui est dit n'est pas totalement déplacé ou hors de propos.
« Ils peuvent nécessiter une réflexion et une analyse plus approfondies, et il peut être nécessaire de déployer une technologie sandbox pour donner à chacun un peu de répit et dire : « Examinons cela un peu plus en détail » », dit-il.
Malgré l'évolution rapide des technologies, l'humain reste un élément essentiel de la cybersécurité. Exploiter les vulnérabilités zero-day requiert un certain niveau de compétences techniques. Il est donc beaucoup plus facile pour une organisation cybercriminelle de préparer l'un de ses attaquants à lancer une tentative d'hameçonnage sur un employé sans méfiance, et ce, avec un minimum d'efforts.
« Les humains sont les cibles, il est donc reconnu dans le secteur que la formation doit s'adapter pour atténuer ces risques », explique Witt.
Pour les établissements de santé, une meilleure formation en cybersécurité favorise une prestation de soins efficace et prévient les préjudices causés aux patients. Par le passé, cette mentalité n'était pas toujours présente, et l'on pensait que l'apprentissage des outils de sécurité et la formation avaient un impact négatif sur les flux de travail. Ce scepticisme persiste peut-être, mais au moins, on observe un changement de culture.
« J'ai assisté à une métamorphose complète », déclare Witt. « Si votre établissement ne dispose pas d'une sécurité adéquate et qu'il est incapable de prodiguer des soins aux patients pendant un certain temps, vous manquez à votre mission. »
healthtechmagazine
