Cybersécurité et santé

À mesure que l’adoption de la technologie numérique dans le secteur de la santé s’accélère, il devient de plus en plus nécessaire de protéger un autre aspect du bien-être des patients et des organisations de santé, à savoir la sécurité de leurs données personnelles.

Cet accent mis sur la protection des données et l’atténuation des cyber-menaces se reflète dans l’investissement important de l’industrie dans la cybersécurité.

Selon un récent sondage de Palo Alto Networks, environ 70% des établissements de santé en Asie-Pacifique affirment que 5 à 15% du budget informatique de leur organisation est alloué à la cybersécurité.

Cependant, malgré des budgets substantiels, il semble nécessaire à l’industrie de la santé de rattraper ses pairs de l’industrie en termes de talent en sécurité informatique. 78% des établissements de santé ont une équipe dans leurs organisations dédiée à la sécurité informatique. Ceci est bien en dessous de la moyenne de l’industrie de 86%.

« En tant qu’industrie qui traite des quantités abondantes de données personnelles et exploitables, il peut être désastreux que ces données tombent entre de mauvaises mains.

Les établissements de santé doivent s’assurer qu’elles sont toujours au courant des nouvelles mesures de sécurité et passer d’une approche réactive à une approche axée sur la prévention plutôt que de rappeler aux patients qu’il vaut mieux prévenir que guérir », affirme Sean Duca, vice-président. président et chef de la sécurité régionale pour l’Asie-Pacifique, Palo Alto Networks.

Facteurs de risque

Outre les pertes monétaires associées aux violations de données et la disponibilité des dispositifs connectés qui surveillent la vie des patients, les professionnels de la santé s’inquiètent le plus de la perte de contacts, d’informations financières ou médicales.

La crainte de porter atteinte à la réputation de l’entreprise chez les clients vient ensuite à 22%, suivie par 17% citant les temps d’arrêt de l’entreprise, tandis qu’une violation est fixée comme une préoccupation.

Les risques de cyber-sécurité dans les établissements de santé sont également amplifiés avec BYOD (Bring Your Own Device), avec 78% des organisations permettant aux employés d’accéder à des informations liées au travail avec leurs appareils personnels tels que leurs téléphones portables et ordinateurs.

En outre, 69% des personnes interrogées disent pouvoir stocker et transférer les informations confidentielles de leur organisation via leurs appareils personnels.

Alors que 83% affirment que des politiques de sécurité sont en place, seulement 39% admettent revoir ces politiques plus d’une fois par an, soit moins que les 51% des répondants du secteur financier, un secteur également connu pour ses données confidentielles.

Alors que de plus en plus d’établissements de santé sont victimes de cyberattaques, comme les rançongiciels, une défaillance de la sécurité des données constitue une véritable menace. L’éducation et la sensibilisation sont donc essentielles.

54% des personnes interrogées ont indiqué que l’incapacité à suivre l’évolution des solutions constituait un obstacle à la cybersécurité dans leurs organisations, et 63% des personnes interrogées ont attribué cette situation à une infrastructure Internet vieillissante comme principale raison de menaces.

Voici quelques conseils :

Assurez-vous que les logiciels et les dispositifs médicaux sont équipés des dernières mises à jour et des correctifs de sécurité à jour pour contrer les risques de cybersécurité.

Les dispositifs médicaux sont notoirement vulnérables aux cyberattaques, car la sécurité est souvent une réflexion après coup lorsque les dispositifs sont installés et maintenus par le fabricant. Ces mesures de précaution peuvent inclure un inventaire de tous les dispositifs médicaux, l’accès à l’architecture réseau et la détermination du plan de gestion des correctifs pour les dispositifs médicaux, ainsi que l’élaboration d’un plan de migration.

Appliquer une architecture de réseau de confiance zéro, rendant la sécurité omniprésente tout au long de la vie des appareils connectés ou non au réseau.

Des pratiques telles que BYOD et la capacité de certains employés à stocker et à transférer des informations confidentielles via leurs appareils personnels les exposent à un risque plus élevé d’attaques de phishing. Pour éviter cela, les établissemens de santé devraient veiller à ce que le personnel suivent une formation régulière à la sécurité afin de réduire le phishing. Les meilleures pratiques en matière de cyber-sécurité peuvent être enseignées lors du séminaire d’accueil ou lors de séance spéciale pour les nouveaux embauchés.

Alors que les établissements de santé migrent une partie de leur infrastructure critique et de leurs applications vers le cloud, il devient impératif de déployer une architecture de sécurité intégrée pour prévenir les cyberattaques sur trois axes: le réseau, le « terminal » et le cloud. L’antivirus traditionnel ne sera pas efficace contre les logiciels malveillants avancés tels que les rançongiciels qui changent continuellement pour éviter la détection.

Quelques exemples :