La protection des données sensibles dans les systèmes de santé nécessite une approche unifiée
Bastien Bobe, Directeur technique Europe Continentale, chez Lookout
Les établissements de santé sont de plus en plus visés par les cyber-attaques dues à une augmentation de l’utilisation des outils informatiques dans ce secteur.
Les cyberattaques visant les établissements de santé universitaires et gouvernementaux sont en augmentation. Au cours des quatre premiers mois de 2022, le centre de coordination de la cybersécurité du secteur de la santé du ministère de la santé et des services sociaux a suivi un total de 82 incidents de ransomware ciblant le secteur de la santé, dont près de 60 % ont touché le marché américain. L’impact a été dévastateur. Selon un rapport de Philips et de CyberMDX, les grands hôpitaux ont enregistré une durée moyenne d’arrêt de 6,2 heures pour un coût de 21 500 euros par heure, tandis que les hôpitaux de taille moyenne ont enregistré une durée moyenne d’arrêt de près de 10 heures pour un coût plus de deux fois supérieur, soit 45 700 euros par heure.
Les cybercriminels de tous bords savent que les universités et les organismes de santé manipulent, traitent et stockent d’importants volumes d’informations de santé protégées (PHI), d’informations personnelles identifiables (PII) et de propriété intellectuelle (IP). Pour s’assurer qu’ils sont protégés contre les intrusions, les compromissions, les perturbations et l’exfiltration de données, les systèmes hospitaliers doivent repenser la manière dont ils déploient la cybersécurité.
Surfaces d’attaque croissantes et perte de visibilité
Les systèmes de santé universitaires et gouvernementaux n’ont plus le luxe de gérer des infrastructures réseau délimitées où les applications, les données et les appareils résident tous dans un périmètre bien défini. L’essor de la télésanté, de l’informatique cloud, des dossiers médicaux électroniques, des appareils de l’Internet des objets (IoT) et des “wearables” a créé de nouveaux risques et de nouvelles exigences en matière de protection des données.
Les données résident désormais dans d’innombrables applications, tant sur site que sur le cloud. Et comme les prestataires et le personnel de santé travaillent de n’importe où, et que les patients demandent un accès à tout moment et de n’importe où, des appareils et des réseaux non gérés sont utilisés pour gérer les PHI (Protected Health Information) et les PII (informations personnelles identifiables). Cette situation a simultanément ouvert de nouveaux points d’entrée aux attaques et gravement compromis l’efficacité de la sécurité périmétrique, en supprimant la visibilité et les contrôles dont disposaient auparavant ces réseaux de soins de santé.
Outils de sécurité inadaptés
Pour répondre aux nouvelles exigences en matière de protection des données, les établissements de santé ont besoin d’une cybersécurité qui fonctionne quel que soit l’endroit où vont les données – d’autant plus que les gens travaillent de n’importe où en utilisant des appareils et réseaux non gérés. Les solutions de sécurité existantes sont liées à des périmètres où les données et les utilisateurs ne résident plus exclusivement, de sorte qu’elles offrent une visibilité et un contrôle limités sur les activités centrées sur cloud.
Certaines organisations ont commencé à mettre en œuvre la sécurité fournie par cloud, mais ces solutions sont souvent déployées de manière isolée. Les solutions cloisonnées entraînent des failles de sécurité et des inefficacités opérationnelles, car les administrateurs doivent passer d’une console à l’autre pour coordonner les informations et analyser les résultats. Sans un changement de stratégie, les systèmes de santé universitaires et gouvernementaux continueront à subir les conséquences d’attaques de ransomware comme celles-ci :
- En décembre 2021, une attaque par ransomware au département de la santé du Maryland a paralysé ses systèmes et a mis hors service un grand nombre de ses services pendant au moins trois mois.
- En août 2021, une attaque par ransomware a incité le service des urgences du Memorial Health System de Marietta, dans l’Ohio, à détourner les patients vers d’autres établissements. La chaîne hospitalière a exposé les IPP de plus de 200 000 patients et a été contrainte de fermer les systèmes informatiques et d’annuler des opérations chirurgicales urgentes.
- En octobre 2020, l’université du Vermont (UVM) a dû débourser plus de 63 millions de dollars lorsqu’une attaque par ransomware a mis hors service ses systèmes, y compris ceux du centre médical de l’UVM.
Pour sécuriser efficacement les données sensibles et réglementées, les établissements de santé doivent aller au-delà des outils basés sur le périmètre. Grâce à une solution unifiée, ces institutions bénéficient d’une vision et d’un contrôle complets et cohérents de l’ensemble de leur système au sein d’une seule et même fenêtre, ce qui réduit le risque et l’impact des ransomwares et autres cybermenaces, et protège les PHI et PII.