Les attaques de ransomware contre les centres hospitaliers se multiplient, la dernière en date étant celle de l’hôpital de Brest le 10 mars dernier. Une attaque qui vient bouleverser le bon fonctionnant de l’hôpital, sans pour autant provoquer de fuite de données de santé, pour le moment.
La gestion des identités, meilleur remède pour les services de santé
En effet, selon une nouvelle étude, 93 % des organismes de santé ont subi une attaque impliquant une usurpation d’identité au cours des deux dernières années, entraînant des perturbations, des compromissions de comptes, des pertes de revenus, des vols de données et des atteintes à la réputation. Nombre de ces attaques trouvent bien souvent leur origine dans une identité compromise, les points d'accès des utilisateurs étant souvent ciblés, avec succès, par des acteurs malveillants.
La sécurité des identités, un sujet clé
La menace que représente une sécurité des identités laxiste pour les services de santé est réelle et constante. L'année dernière, la CNIL a sanctionné la société Dedalus Biologie d’une amende de plus d’1.5 millions d’euros pour des défauts de sécurité ayant conduit à la fuite de données médicales, démontrant si besoin, l'impact de ces attaques.
Parallèlement à l'augmentation des cyberattaques ciblées, les services de santé sont également confrontés à des crises généralisées en matière de personnel et de budget, à l'augmentation du nombre de patients et aux attentes toujours plus grandes de ces derniers. Les pressions sont immenses, mais pour que les services hospitaliers soient prêts et résilients, il faut qu'ils disposent d'une infrastructure numérique sécurisée, condition sine qua non pour aider le secteur à traverser cette période compliquée.
Les établissements de santé de première ligne reposent désormais sur un réseau complexe de technologies, d'applications et d'utilisateurs. La sécurité des identités est l’une des multiples facettes de la sécurisation de ce réseau et de la garantie d'un accès sûr et rapide aux applications et données, et ce pour les bonnes personnes au bon moment.
Par exemple, les données conservées dans les dossiers numériques des patients (DEP) nécessitent un gros effort de gestion afin de sécuriser les accès au sein d'un système complexe. Si un médecin a besoin d'accéder au dossier médical d'un patient, il n'a pas besoin de connaître son adresse. À l'inverse, le personnel administratif peut avoir besoin d'accéder aux informations relatives à l'assurance ou à l'adresse d'un patient, mais pas à ses antécédents médicaux.
Toujours plus de données pour toujours plus de règlementations
Outre la gestion des besoins d'accès complexes, les nouveaux règlements en matière de données posent de nouveaux défis à la sécurité des identités, obligeant les services et entreprises à prouver leur conformité. Cependant, seuls 45 % des responsables informatiques du secteur de la santé ont confiance en leur capacité à se conformer au RGPD et seulement 37 % pour l'ISO/IEC 27001.
Au-delà des préoccupations liées à la gouvernance des données et à la conformité, la quantité de données et d'identités que les entreprises d'aujourd'hui doivent gérer et sécuriser a clairement dépassé les capacités humaines. Actuellement, les équipes informatiques peuvent passer 15 heures par semaine en moyenne (plus d'un tiers de leur temps) à gérer l'accès et les permissions pour toutes les identités de leur entreprise. Quelle que soit la taille ou le talent de l'équipe informatique, il est impossible de suivre la mise en œuvre manuelle de tous les droits et autorisations nécessaires.
Un consensus sur les améliorations à apporter à la sécurité des identités
Les hôpitaux et les organismes de santé justifient de niveaux de maturité différents dans leur parcours de sécurité des identités. Il n'en reste pas moins qu'il existe un besoin critique de moderniser la sécurité des identités. Un accès mal gouverné peut avoir un réel impact sur les finances, les violations de données entraînant des amendes, des atteintes à la réputation ainsi que des coûts juridiques et opérationnels.
À noter que l'importance d'une bonne sécurité des identités est presque universellement reconnue. En effet, 95 % des responsables informatiques du secteur de la santé indiquent que c’est une priorité d'investissement. Cependant, près d'un quart (23 %) admet que leur capacité à gérer les données en toute sécurité nécessite une refonte complète. Près de trois sur dix déclarent qu'il s'agit de leur priorité d'investissement dans un contexte d'adoption croissante du cloud et de transformation numérique. Presque tous (97 %) disent qu'il faut l'améliorer pour répondre à tous les besoins des utilisateurs, des réglementations et à l’augmentation des menaces.
Malheureusement, il existe encore des obstacles quant à l'amélioration de la sécurité des identités, neuf répondants sur dix déclarant avoir rencontré des difficultés allant de l’inflexibilité des solutions à la nécessité d'un personnel plus qualifié. D'autres facteurs, tels que le manque d'adhésion de la direction et un investissement initial conséquent, soulignent que son adoption reste un problème pour beaucoup.
La sécurité des identités, outil essentiel pour les entreprises
Les programmes modernes de sécurité des identités accordent aux cliniciens l'accès aux applications, systèmes et données appropriés dont ils ont besoin dès le premier jour. Grâce à l'IA et l'apprentissage automatique (Machine Learning), la sécurité des identités axée sur les soins de santé automatise la découverte, la gestion et le contrôle de tous les accès des utilisateurs, laissant les équipes informatiques libres de se concentrer sur l'innovation, la collaboration et la productivité des équipes.
Pour réduire le risque d'attaques contre les services de santé et de leurs partenaires, il sera essentiel de tirer parti de la sécurité des identités basée sur l'IA. En exploitant les dernières technologies d'identification, les services de santé peuvent non seulement atténuer les menaces, mais aussi libérer des ressources précieuses pour les utiliser ailleurs, en soutenant la numérisation continue du service public le plus critique et le plus vulnérable de France.