Alors que les cliniciens, les membres du personnel et les patients ont été conditionnés à se méfier des messages inhabituels qui atterrissent dans les boîtes de réception des e-mails, les appels et les SMS suspects présentent une autre vulnérabilité.
Les gens évitent souvent les numéros inconnus qui essaient de les contacter, mais il suffit d’une seule victime involontaire pour saper la sécurité de toute une organisation. Les systèmes de santé se retrouvent désormais à la merci de ces attaques téléphoniques, qui s’apparentent à du phishing.
Le vishing, ou hameçonnage vocal, implique l’utilisation de numéros de téléphone frauduleux, de logiciels de modification de la voix et de tactiques d’ingénierie sociale pour amener une personne à divulguer des informations sensibles lors d’un appel téléphonique. Smishing utilise les SMS pour tromper et manipuler les victimes à l’aide de SMS. Ces deux tactiques ont gagné du terrain ces dernières années, posant un défi important à la sécurité et à la confidentialité des prestataires de soins de santé et de leurs patients.
Le Centre de coordination de la cybersécurité du secteur de la santé, un programme du ministère de la Santé et des Services sociaux, a envoyé l’année dernière une alerte détaillant une augmentation des attaques de vishing dans tous les secteurs et avertissant les systèmes de santé de surveiller les attaques qui se font passer pour leurs organisations et ciblent les fournisseurs et les patients. Un exemple notable s’est produit en 2020 lorsqu’un grand système de santé a averti les patients des faux appels qui semblaient provenir des numéros de téléphone du fournisseur.
Voici trois façons dont les organisations de santé peuvent se protéger et protéger leurs communautés contre le vishing et le smishing :
1. Former le personnel de santé à reconnaître le vishing et le smishing
La connaissance est l’outil le plus important de l’équipe de cybersécurité lorsqu’elle est utilisée pour donner au personnel de santé les compétences nécessaires pour reconnaître et répondre aux tentatives de vishing et de smishing. Des sessions de formation régulières doivent informer les employés sur les tactiques courantes utilisées par les attaquants, telles que les techniques d’ingénierie sociale et les technologies de modification de la voix. Insistez sur l’importance de vérifier l’identité des appelants, de s’abstenir de partager des informations sensibles par téléphone ou par SMS et de signaler rapidement les communications suspectes. Cultiver une culture de vigilance et de sensibilisation continue parmi tous les membres du personnel.
2. Communiquer les risques de vishing et de smishing aux patients
En plus de former le personnel, les prestataires doivent également éduquer les patients sur les risques de vishing et de smishing. Développez des documents qui décrivent clairement les dangers et les signes avant-coureurs de ces attaques, et encouragez les patients à faire preuve de prudence lorsqu’ils reçoivent des appels ou des SMS non sollicités demandant des informations personnelles ou financières. Expliquez-leur clairement que les prestataires de soins de santé légitimes ne demanderont jamais de données sensibles par téléphone ou par SMS. Fournissez aux patients les canaux appropriés pour signaler toute communication suspecte qu’ils reçoivent.
3. Améliorer les contrôles de cybersécurité pour atténuer le vishing et le smishing
Des contrôles de cybersécurité améliorés sont essentiels pour atténuer les risques de vishing et de smishing. Mettez en œuvre une authentification multifacteur robuste pour renforcer les contrôles d’accès aux systèmes et données sensibles. Mettez à jour et corrigez régulièrement les logiciels et les systèmes pour remédier aux vulnérabilités que les attaquants pourraient exploiter. Déployez des solutions de filtrage des e-mails et du Web pour détecter et bloquer les tentatives de phishing, y compris les liens et pièces jointes malveillants. Envisagez d’adopter des technologies de reconnaissance vocale ou d’authentification de l’appelant pour vérifier la légitimité des appels entrants.
nensurie/Getty Images
