Les organisations de soins de santé sont la cible de hackers et des escrocs, et l’email est le vecteur d’attaque n° 1. 91% de toutes les cyberattaques commencent par un email de phishing.
Les chiffres du groupe de travail antiphishing indiquent que les utilisateurs finaux ouvrent 30% des emails de phishing qui arrivent dans leurs boîtes de réception.
Il est donc essentiel d’empêcher ces emails d’atteindre les boîtes de réception, tout comme il est essentiel de former les employés du secteur de la santé pour qu’ils soient davantage sensibilisés à la sécurité informatique.
Étant donné qu’un grand nombre d’atteintes à la protection des données dans les organismes de soins et de santé sont attribuables aux emails de phishing, ces établissements doivent donc mettre en place des moyens de défense robustes pour prévenir les attaques.
De plus, la sécurité des emails est un élément important de la conformité à la loi HIPAA. Le non-respect des règles de l’HIPAA sur la sécurité des emails est passible d’une sanction pécuniaire en cas d’atteinte à la protection des données.
La sécurité des emails est un élément important de la conformité à la HIPAA
Les règles de la HIPAA exigent que les organismes de soins et de santé mettent en œuvre des mesures de protection pour sécuriser les renseignements médicaux électroniques protégés afin d’assurer leur confidentialité, leur intégrité et leur disponibilité.
La sécurité des emails est un élément important de la conformité à l’HIPAA. Avec autant d’attaques sur les réseaux, à commencer par les emails de phishing, il est essentiel pour les organismes de soins et de santé de mettre en œuvre des mesures de protection contre l’hameçonnage afin de protéger leurs réseaux.
Le Bureau des droits civils du ministère de la Santé et des Services sociaux a déjà imposé des amendes aux organismes de soins de santé qui ont été victimes d’atteintes à la protection des données lorsque des employés ont été victimes d’emails de phishing. UW medicine a par exemple versé 750 000$ à l’Office for Civil Rights (OCR) à la suite d’une attaque liée à un malware lorsqu’un employé a répondu à un email de phishing. Le Metro Community Provider Network a également réglé une affaire de phishing pour 400 000$.
L’évaluation des risques est l’un des aspects de la conformité à la HIPAA en ce qui concerne la messagerie électronique. Elle devrait couvrir tous les systèmes, y compris les emails. Les risques doivent être évalués, puis gérés et réduits à un niveau approprié et acceptable.
Pour assurer la gestion du risque de phishing, il faut faire appel à la technologie et à la formation. Tous les emails devraient être acheminés par une passerelle email sécurisée, et il est essentiel que les employés reçoivent une formation pour les sensibiliser au risque de phishing et quant aux mesures à prendre au cas où ils recevraient un email suspect.
Comment sécuriser les emails, prévenir et identifier les attaques de phishing ?
De nos jours, les emails de phishing sont sophistiqués, bien écrits et très convaincants. Il est souvent difficile de les distinguer d’une communication légitime.
Cependant, il existe des mesures simples que tous les organismes de soins et de santé peuvent prendre pour améliorer la sécurité des emails.
Le simple fait d’adopter les mesures ci-dessous peut réduire considérablement le risque de phishing et la probabilité de subir une atteinte par courriel.
Bien que la désinstallation de tous les services de messagerie soit le seul moyen le plus sûr de prévenir les attaques de phishing, c’est loin d’être une solution pratique. La messagerie électronique est essentielle pour communiquer avec les membres du personnel, les intervenants, les associés d’affaires et même les patients.
Étant donné que les emails sont incontournables, les organismes de soin et de santé devraient prendre deux mesures pour mieux les sécuriser :
Implémentez une solution antispam tierce dans votre infrastructure de messagerie électronique
Sécuriser votre passerelle email est la mesure la plus importante à prendre pour prévenir les attaques de phishing qui ciblent votre entreprise. De nombreuses organisations de soins et de santé ont déjà ajouté une solution antispam pour empêcher les courriels non sollicités d’être livrés dans les boîtes de réception des utilisateurs finaux. Mais qu’en est-il des services de messagerie dans le cloud ?
Avez-vous déjà sécurisé votre passerelle de messagerie électronique Office 365 avec une solution tierce ? Vous devriez donc être protégé par le filtre antispam de Microsoft. Mais pour qu’un email malveillant n’atteigne pas les boîtes de réception des utilisateurs finaux, vous avez besoin de défenses plus solides.
SpamTitan s’intègre parfaitement à Office 365 et offre une couche de sécurité supplémentaire qui bloque les malwares connus et plus de 99,9% des spams.
Formez continuellement vos employés et ils deviendront des actifs de sécurité
Les utilisateurs finaux — la cause d’innombrables violations de données — représentent une épine dans le pied pour le personnel de sécurité informatique.
Ils sont un maillon faible et peuvent facilement défaire les meilleures défenses de sécurité. Toutefois, ils peuvent être transformés en actifs de sécurité et en une impressionnante dernière ligne de défense. C’est possible, mais il faut les former, et une seule séance de formation par an ne suffit pas.
La formation de l’utilisateur final est un élément important de la conformité HIPAA. Bien que ce texte ne précise pas sa fréquence, la formation devrait être un processus continu.
Le Bureau des droits civils du ministère de la Santé et des Services sociaux a récemment mis l’accent sur certaines pratiques exemplaires en matière de formation à la sécurité des emails dans son bulletin de juillet sur la cybersécurité. Il suggère que « le programme de formation d’une organisation devrait être un processus continu, évolutif et suffisamment souple pour informer les membres du personnel des nouvelles menaces à la cybersécurité et des mesures à prendre pour y faire face ».
La fréquence de la formation devrait être dictée par le niveau de risque auquel fait face une organisation. De nombreuses entités ont opté pour des sessions de formation semestrielles pour leur personnel, avec des bulletins d’information mensuels. Des mises à jour de sécurité ont également été envoyées par email, incluant des informations sur les dernières menaces telles que les nouvelles escroqueries par phishing et les techniques d’ingénierie sociale.
Par ailleurs, l’OCR a rappelé aux entités visées par la HIPAA qu’il n’y a aucune méthode de formation qui correspond à tous les employés.
Il est préférable de mélanger les méthodes et d’utiliser une variété d’outils de formation, comme la formation sur la TCC, les séances en classe, les bulletins d’information, les affiches, les alertes par courriel, les discussions d’équipe et les exercices de simulation d’attaques par emails de phishing.
Étapes simples pour vérifier les emails et identifier les escroqueries de phishing
Les employés du secteur de la santé peuvent réduire considérablement le risque de tomber dans une escroquerie par phishing en effectuant quelques vérifications. Avec la pratique, ces vérifications deviennent une seconde nature.
- Passez la souris sur l’hyperlien dans l’email pour faire afficher et vérifier le vrai nom de domaine. Tout texte d’ancre, c’est-à-dire un texte pointant vers un autre URL que l’URL réel, doit être traité comme suspect jusqu’à ce que le nom de domaine réel soit identifié. Vérifiez également que l’URL de destination commence par HTTPS.
- Ne répondez jamais directement à un email — cliquez toujours sur transférer. C’est un peu plus lent, mais vous verrez l’adresse email complète de la personne qui a envoyé le message. Vous pouvez ensuite comparer ce nom de domaine à celui utilisé par l’entreprise.
- Portez une attention particulière à la signature de l’email — tout email légitime doit contenir des informations de contact. Cela peut être falsifié, ou de vraies informations de contact peuvent être utilisées dans un email spam, mais les cybercriminels font souvent des erreurs dans les signatures qui sont faciles à identifier.
- N’ouvrez jamais une pièce jointe d’un expéditeur inconnu — Si vous avez besoin d’ouvrir la pièce jointe, ne cliquez jamais sur un lien dans le document ou sur un objet intégré, ou cliquez pour activer le contenu ou exécuter des macros. Si vous n’êtes pas sûr de vous, envoyez l’email à votre service informatique et demandez une vérification.
- N’effectuez jamais un virement bancaire demandé par email sans vérifier la légitimité de la demande.
- Les organisations légitimes ne demanderont pas d’informations d’identification par email.
Si on vous demande de prendre des mesures urgentes pour sécuriser votre compte, n’utilisez aucun des liens contenus dans cet email. Visitez plutôt le site officiel en tapant directement l’URL dans votre navigateur. Si vous n’êtes pas 100% de l’URL, vérifiez sur Google.