Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La cybersécurité, une affection chronique

octobre 2019 par Toufic Daaboul, Senior Security Executive chez Verizon

Quelle que soit leur taille, les établissements de santé peuvent être dévastés par une cyberattaque. Les grandes institutions doivent prendre en charge davantage de patients et gèrent donc d’un plus grand nombre de dossiers médicaux pouvant être compromis par un pirate. Les institutions plus petites, quant à elles, ne disposent parfois pas des moyens financiers suffisants pour se protéger contre une attaque ou y répondre le moment venu.

En cas d’incident ou de piratage, la réparation d’un système de sécurité peut avoir de lourdes répercussions sur les finances d’un établissement de santé en termes de temps, de budget et de main d’œuvre. Ce problème limite gravement le nombre de patients pris en charge au cours d’une journée donnée (ou durant la période nécessaire à la résolution de l’incident) et nuit à l’organisme sur le plan financier et du point de vue de sa réputation.

Les établissements de santé sont des cibles informatiques vulnérables tenues de protéger des milliers de dossiers médicaux et de respecter les dispositions prévues dans le RGPD. Ces institutions ne disposent pas du personnel (ni parfois de la sensibilisation) capable d’éviter que les auteurs de menaces n’accèdent aux données médicales personnelles pour en prendre possession. Devant faire face à la demande constante de prise en charge et de traitement des patients, la cybersécurité ne constitue souvent pas leur priorité... à tort.


Le danger provient de l’intérieur...

Selon le rapport d’enquête complet sur le piratage de données (DBIR) 2019 de Verizon, pour la deuxième année consécutive, la majorité des piratages informatiques du secteur de la santé survenus en 2018 ont été le fait d’auteurs internes (et non externes), ce biais étant spécifique à ce secteur. Ces auteurs de menaces internes sont généralement des employés des établissements de santé (médecins, infirmiers, etc.), plus susceptibles de commettre un piratage que les cybercriminels extérieurs à l’institution. En l’occurrence, la préoccupation principale concerne le fait que ces auteurs de menaces internes, qui n’agissent pas toujours par malveillance, disposent d’un accès aux systèmes leur permettant d’effectuer leurs tâches et n’ont pas eu besoin de s’y introduire pour récupérer ou divulguer des informations classifiées.

L’envoi d’informations à un destinataire incorrect constitue le type d’erreur le plus fréquent à l’origine des piratages de données dans tous les secteurs d’activité, celui de la santé ne faisant pas figure d’exception. En règle générale, ces erreurs procèdent de l’envoi de documents de patients à une adresse incorrecte ou de la délivrance de documents de renvoi ou d’autres dossiers privés à une personne erronée.

Le secteur médical souffre en outre des attaques sociales, un problème largement répandu. À l’instar de nombreux autres secteurs, les établissements de santé sont constamment menacés par les emails d’hameçonnage qui « appâtent » les destinataires naïfs pour les inciter à saisir leurs informations personnelles, notamment leurs identifiants de messagerie, sur des sites factices. Les identifiants de connexion dérobés sont ensuite employés pour accéder au compte email cloud de l’utilisateur, dont les données médicales stockées dans la boîte de réception, les éléments envoyés et les autres dossiers sont ainsi compromises.

Comment les établissements de santé peuvent-ils donc s’immuniser contre les incidents et les piratages informatiques ? Il n’existe pas de recette miracle, mais les leaders du secteur peuvent prendre des précautions afin de se protéger contre les menaces venues de l’intérieur comme de l’extérieur.

Directives permettant de protéger votre réseau :

Localisez les problèmes existants :

 Observez de bonnes pratiques de sécurité en examinant l’état de fonctionnement actuel du réseau. Les dirigeants et les administrateurs des établissements de santé doivent connaître l’emplacement des principaux magasins de données, limiter les accès nécessaires à leurs employés et effectuer le suivi des tentatives d’accès afin de déceler les points faibles. Certains employés n’ont pas besoin d’accéder entièrement aux fichiers et aux dossiers pour effectuer leurs tâches, et les praticiens peuvent mettre en place des contrôles de processus abordables leur permettant d’éviter les erreurs diverses susceptibles de saper la cybersécurité de l’institution.

Simplifiez le signalement des problèmes pour les employés :

 Les erreurs mineures telles que l’hameçonnage peuvent être contagieuses. Les leaders du secteur doivent mettre à disposition de leur personnel un moyen simple de signaler immédiatement les tentatives d’hameçonnage, même infructueuses, afin d’étouffer dans l’œuf les problèmes et d’éviter qu’un afflux d’employés ne compromette le réseau. Les dirigeants peuvent encourager ce comportement en proposant des récompenses aux employés qui signalent rapidement les incidents afin de restreindre la quantité de données et de personnes concernées.

Contrôlez et examinez l’institution :

 Un plan d’action doit être implémenté pour éviter que les incidents et les piratages ne se produisent plutôt que de réparer le système de sécurité suite à ces problèmes. Les dirigeants d’établissement doivent se familiariser avec les processus qui fournissent, éliminent ou publient les données personnelles et mettre en place des contrôles visant à éviter qu’une erreur mineure d’un employé ne débouche sur un piratage. En mettant en place un plan et en analysant régulièrement la sécurité mobile et réseau, les dirigeants des établissements de santé peuvent disposer d’une référence leur permettant de mesurer régulièrement leurs performances à des fins de vérification.

De plus en plus interconnectées, les institutions de santé doivent mettre en place un plan visant à examiner l’état de la sécurité mobile et réseau avant qu’une attaque ne survienne. Réinterprétez la situation pour aborder la cybersécurité selon une approche médicale : les dispositifs médicaux peuvent être piratés, un piratage peut entraîner un mauvais diagnostic, et les données médicales enregistrées sur les ordinateurs peuvent être dérobées. Inutile de mentionner que l’interruption de service due à un piratage peut mettre en danger la vie des patients.

Prévenir vaut mieux que guérir. Les leaders du secteur doivent prendre toutes les mesures nécessaires pour analyser et stabiliser la sécurité mobile et réseau de leur institution afin de mieux contrecarrer les attaques, en particulier celles provenant de l’intérieur. En dotant les employés, y compris les médecins et les infirmiers, de mécanismes leur évitant de compromettre accidentellement leur réseau, ces institutions peuvent limiter, voire éliminer les menaces d’incident ou de piratage.


Voir les articles précédents

    

Voir les articles suivants