Accélérée par la COVID, le secteur de la santé a connu une transformation majeure ces derniers mois. Cependant, il reste à la traîne comparé à d’autres services, n’ayant commencé que récemment à investir dans des solutions technologiques.
Toutefois, la nécessité de s’appuyer sur la télémédecine a considérablement augmenté et les nouvelles technologies, notamment le Cloud, facilitent ces nouvelles pratiques de soins à distance et améliorent le stockage ainsi que le traitement des dossiers des patients.
D’après Accenture, seuls 7 % des patients interrogés avaient eu une consultation médicale à distance avec un professionnel de santé au début de l’année 2020, contre 32 % en 2021. Le recours aux systèmes DPI et DMP (dossier patient informatisé et dossier médical partagé) a lui aussi significativement augmenté depuis leur introduction. En 2020, 89 % des médecins interrogés déclarent utiliser les systèmes DPI et/ou DMP.
Cette priorité de numérisation s’est transformée en urgence lorsque la pandémie de COVID-19 a rendu très difficiles les soins chez les professionnels de santé. Néanmoins, comme c’est souvent le cas, toute nouvelle technologie s’accompagne de nouveaux risques et, avec son rythme d’adoption accéléré en raison de la COVID, la cybersécurité dans le domaine de la santé n’est pas toujours à la pointe en matière de provisionnement et de planification.
La transformation numérique accroît les risques de cybersécurité pour le secteur de la santé
La pandémie de COVID-19 a entraîné la fermeture de bureaux, surchargé les hôpitaux et transformé le domaine de la santé en un secteur nécessitant des infrastructures pouvant fonctionner à distance grâce à des services virtuels. Par conséquent, l’adoption du Cloud a explosé dans le secteur avec, bien peu de considération pour la sécurité.
Toutefois, l’introduction de fournisseurs basés dans le Cloud et de services d’infrastructure à ce rythme effréné a considérablement accru la surface d’attaque et l’exposition aux risques du secteur de la santé. Les organisations qui y évoluent doivent désormais justifier d’une sécurité et d’une gestion des risques tierces tout en veillant à ce que les fournisseurs de ces services, s’ils gèrent des données personnelles, le fassent dans le respect des normes de conformité.
Avec le télétravail, l’avènement des appareils personnels utilisés dans un contexte professionnel et la hausse du Shadow IT (fournisseurs et technologies pénétrant dans un environnement sans que l’utilisateur le sache), il devient quasiment impossible de n’avoir à rendre compte que de ses actifs, de ses fournisseurs et de ses devices.
L’utilisation du système DPI et d’autres systèmes de santé basés dans le Cloud pour le stockage de données et les besoins d’infrastructure représente également un risque de fuites potentielles. Que ce soit en raison d’erreurs de configuration du côté du fournisseur de Cloud ou de l’équipe en interne, les dossiers médicaux peuvent être accidentellement exposés ou divulgués sur Internet, mettant en danger les données des patients tout en nuisant à la réputation et à la confiance qui est accordée à l’établissement de santé.
Plus tôt cette année, des chercheurs en sécurité ont découvert que plus d’un milliard de dossiers stockés dans une base de données appartenant à CVS Health et dont l’accès ne nécessitait pas de mot de passe avaient été exposés. Le grand public, qui s’inquiète du niveau de sécurisation des données qui se trouvent aux mains des organisations de santé, est très au fait de ce type d’incidents. Dans le même rapport d’Accenture, 64 % des patients interrogés ont déclaré que les soins virtuels les avaient sensibilisés davantage à la question de la confidentialité de leurs données et de leurs besoins en matière de sécurité.
Le secteur de la cybersécurité dans le domaine de la santé est de plus en plus ciblé par des acteurs malveillants
Cible privilégiée des attaquants, le secteur de la santé fait partie des 32 % de cyberattaques signalées aux autorités par les entreprises et les institutions (augmentation observée entre 2019 et 2020).
Certaines de ces attaques peuvent être attribuées au recours croissant, par les infrastructures de santé, à des fournisseurs basés dans le Cloud. Un nombre accru de tiers entraîne un élargissement de la surface d’attaque, dont l’évolution est complexe à suivre dans la mesure où il est difficile de savoir si un tiers respecte ou non des pratiques et des normes adaptées en matière de cybersécurité dans le domaine de la santé.
Les attaquants sont conscients du recours croissant, par le secteur de la santé, à des solutions Cloud et ciblent les entreprises de santé dans le but d’accéder aux dossiers médicaux des patients et de les exfiltrer. En Septembre 2021, l’AP-HP a annoncé qu’une violation de données avait conduit à la divulgation de plus de 1,4 millions de dossiers médicaux de patients. Cela signifie que la modernisation du secteur de la santé doit aller de pair avec une mise à niveau de la sécurité.
Comment le secteur de la santé peut moderniser sa cybersécurité
Le secteur de la santé doit moderniser sa cybersécurité de la même manière qu’il a modernisé ses infrastructures et ses services. De nouveaux modèles et cadres de sécurité doivent être adoptés intégrant une gestion tierce des risques. Il faut avoir aussi recours à des fournisseurs basés dans le Cloud et à des fournisseurs d’infrastructures, offrant une atténuation des risques et des stratégies de récupération adaptées aux menaces auxquelles sont confrontées les entreprises de santé.
Commencer par faire l’inventaire des divers fournisseurs, en particulier des partenaires basés dans le Cloud et des partenaires d’infrastructure, en les classant du plus critique au moins critique en termes d’importance opérationnelle et selon leur niveau d’accès à des informations sensibles. Il est important de bien comprendre à quel point ces fournisseurs sont sécurisés et quel est leur niveau d’exposition à travers eux.
Suit ensuite l’inventaire complet des appareils, réseaux, partenaires et endpoints, afin d’être certain(e) que les nouvelles initiatives n’exposent aucune vulnérabilité. L’inventaire doit inclure les appareils de l’IdO, les appareils des employés, les appareils utilisés dans le cadre du télétravail et les partenaires qui interagissent avec le réseau ou l’environnement.
Chercher un partenaire de sécurité informatique spécialiste du Cloud et du secteur de la santé
Si un établissement de santé fait appel à un nouveau fournisseur d’infrastructures Cloud ou qu’il utilise un système DPI, il est probable que ce dernier ait besoin d’une solution dédiée afin de garantir la sécurité et la bonne gestion des données. C’est l’un des investissements les plus importants à faire pour son département de cybersécurité.
Préparer un plan en cas de violation ou de compromission
Aucune organisation n’étant sécurisée à 100 %, il faut mettre en place un plan et un processus sur lesquels s’appuyer en cas d’attaque. Se demander si l’on dispose d’une solution de détection et de réponse qui surveille son réseau, ses endpoints et ses fichiers sensibles ? S'interroger sur un plan de réponse aux incidents et si l’on a les ressources nécessaires pour faciliter et accélérer la récupération et la remédiation ?
Cela pourrait être l’occasion de faire appel à un partenaire qui dispose déjà des outils, des experts et des ressources nécessaires lorsque survient un incident.
Relever le défi de la cybersécurité et l’utilisation du Cloud dans le secteur de la santé
L’étape suivante pour le secteur de la santé consiste à sécuriser les données, les organisations, les nouveaux partenaires basés dans le Cloud et les fournisseurs d’infrastructures. En raison de contraintes budgétaires, il serait difficile pour ces entreprises de mettre sur pied un département interne suffisamment robuste pour faire face à l’ensemble des nouvelles menaces et des nouveaux risques auxquels elles sont exposées.
Il est recommandé à ces entreprises de chercher des partenaires dédiés ayant une grande expérience de la sécurisation des données, proposant des outils de détection et de réponse et offrant des solutions de sécurisation du Cloud. Il s’agit là de la prochaine étape logique de la transformation numérique, et il est nécessaire de la mettre en œuvre sans attendre.
Plus d’informations sur les cinq plus grands défis qui attendent la sécurisation du secteur de la santé.