Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Verizon PHI DBIR : 58% des vols de données en milieu médical impliquent des employés complices

mars 2018 par Verizon

Verizon annonce avoir réanalysé les données des dernières éditions
(2016 et 2017) de son Data Breach Investigations Report (DBIR) pour produire une version spécifiquement centrée sur les enjeux du secteur de la santé en matière de
protection des données et particulièrement des données médicales protégées ou PHI
(protected health information), qu’elles soient informatisées ou pas. Le 2018
Protected Health Information Data Breach Report
(PHIDBR)
s’appuie sur 1 368 incidents couvrant 27 pays.

Aujourd’hui il nous semble parfaitement acceptable que les médecins et les
professionnels de santé aient un accès complet à nos dossiers et antécédents
médicaux car cela participe à l’amélioration de la qualité des diagnostics et des
soins. Toutefois, la nature sensible de ces données et la très grande volumétrie
d’informations que détient le secteur de la santé en font une cible attractive et
lucrative pour criminels et pousse à la vigilance.

Voici les principales conclusions du rapport :
 58% des incidents recensés impliquaient des employés complices. La santé est le seul
secteur d’industrie où les acteurs internes constituent la principale menace pour
l’organisation. Dans 48% des cas ils sont motivés par l’appât du gain et utiliseront
ces données pour de la fraude, notamment à l’ouverture de ligne de crédit dans une
banque. Dans 31% des cas c’est l’amusement ou la curiosité de consulter les dossiers
médicaux de célébrités ou de proches qui les pousse à passer à l’acte. Dans 10% des
cas c’est par simple envie de simplifier ou raccourcir les procédures, par
commodité.
 70% des incidents informatiques impliquant du code malveillant sont des infections
par ransomware. Ce pourcentage élevé confirme dans ce secteur ce que l’on observe
partout : un recours croissant à cette pratique. L’édition 2017 du Data Breach
Investigations Report
l’indiquait déjà et les cyberattaques perpétrées en Europe à la mi
2017
l’illustrent parfaitement.
 27% des incidents concernent des PHI imprimées sur papier. Qu’il s’agisse des
prescriptions transférées entre les établissements cliniques et les pharmacies, des
relevés de facturation adressés par courrier, des documents de sortie ou des
certificats médicaux remis aux patients ou encore des photocopies des cartes
d’identité et d’assurance, les documents imprimés prévalent encore souvent dans le
secteur de la santé, plus qu’ailleurs. La nature même de la documentation PHI
détenue et manipulée par le personnel médical conduit à des faiblesses que l’on
pourrait prévenir. Dans 20% des incidents, des données sensibles sont tout
simplement mal adressées. Dans 15% il s’agit de documents jetés sans être détruits
ou rendus illisibles. Enfin, 8% des incidents sont des pertes de documents.
 21% des incidents impliquaient des PC portables perdus ou volés contenant des
données PHI non chiffrées. Il semble que le personnel médical soit mal formé aux
mesures de sécurité élémentaires et le recours au chiffrement des disques durs est
loin d’être systématique.

Prévenir à court terme

Si les chiffres mis en lumière dans ce rapport sont sans appel, des dispositions
rapides peuvent grandement améliorer la situation à court terme :
 Le chiffrement intégral du disque dur : cette méthode efficace et relativement peu
coûteuse aide à protéger les données sensibles des criminels, notamment en cas de
perte ou vol de l’ordinateur.
 La surveillance et le traçage systématique des accès aux dossiers : des règles et
des procédures simples peuvent être mises en place pour gérer les accès internes aux PHI. Tous les salariés peuvent être sensibilisés par des formations au fait que
chaque fois qu’ils consultent les données de patients sans motif légitime, des
mesures correctives peuvent être envisagées.
 Augmenter la résilience face aux ransomwares : En veillant à ce que les terminaux
utilisateurs ne puissent pas propager et diffuser les ransomwares sur les machines
critiques et en appliquant des contrôles préventifs et des protections contre
l’installation de malware, il est possible de grandement limiter les risques. Les
appareils dont le maintien en fonctionnement est critique ne doivent pas être
connectés au réseau.

Prévenir à long terme

La sécurisation des données PHI à long terme est primordiale pour la réussite de la
transformation digitale de la santé et la stabilité des projets de développement qui
en dépendent.
Les restrictions d’accès aux informations des patients excessivement strictes
peuvent impacter la capacité des personnels de santé à prendre rapidement des
décisions adaptées pour les soins. Toutefois, des améliorations sont généralement
possibles sans entraver le travail des équipes. Par exemple, une analyse approfondie
et des audits réguliers des droits d’accès aux données sensibles permettraient de
maintenir la facilité d’accès des prestataires de soins médicaux, tout en réduisant
les accès inutiles et donc les risques de consultations illégitimes.
Les PHI électroniques (ePHI) sont à surveiller de près. Les compromissions de
données ePHI concernent la publication de données sensibles sur des sites publics
(7%) et les erreurs de transmission par e-mail (7%), peuvent représenter un risque
ou générer des dommages importants mais beaucoup moins que les compromissions associées aux documents papier. Les organisations devraient œuvrer pour réduire les données PHI sur papier et établir un programme holistique de gestion des risques qui protège non seulement les données ePHI, mais aussi les autres données sensibles qu’elles stockent et traitent.
A mesure que l’Internet des objets (IoT) se généralise dans le secteur de la santé,
l’établissement d’une politique proactive de renforcement systématique de la
sécurité est vital pour faire face au risque que cela peut représenter. Il est
également important de se focaliser sur la résilience et la disponibilité des
déploiements IoT, ainsi que sur l’intégrité et la confidentialité des données.
Enfin, avoir un plan d’action prêt à être mis en œuvre en réponse à une cyberattaque
aidera à réagir rapidement et fera souvent la différence au niveau de l’impact d’un
incident sur une organisation. Organiser des exercices de simulation pour tester ces
plans afin de révéler les failles est un impératif en amont des incidents, de même
que la tenue de revues post incidents pour faire le point des enseignements de
l’expérience.

Retrouvez l’intégralité du rapport en téléchargement libre :
http://www.verizonenterprise.com/verizon-insights-lab/phi/2018/


Voir les articles précédents

    

Voir les articles suivants