Les établissement de santé : des proies faciles pour des hackers

0

Dans les centres hospitaliers, les ordinateurs sont omniprésents, de la gestion de l’entrée des patients aux examens prescrits. Des milliers d’informations ne sont pas bien gardées et les hôpitaux sont à nouveau au centre d’un scandale de fuites de données informatiques. « Attaquer les établissements de santé reste à peu près aussi facile que de vouloir attraper des poissons dans une bassine » assurent dès Sophos.

Étant donné que ce secteur a l’un des taux les plus bas de chiffrement des données et une véritable culture de la cybersécurité presque inexistante, il est comprehensible qu’ils constituent donc des proies faciles. Faute de moyens, ou de clairvoyance, ces derniers ont investi des sommes très modestes dans leur cybersécurité.

L’éducation des employés demeure médiocre, entraînant de nombreuses erreurs coûteuses dans la façon dont les données des patients sont traitées. Et, ces informations représentent une manne pour les hackers qui les revendent à prix d’or. « Sur le marché noir, la valeur des données de santé dépasse celle des numéro de carte bancaire ou de sécurité sociale », peut-on lire dans le rapport sur les cybermenaces dans le secteur de la santé.

Les données de santé font elles alors l’objet de cyberattaques, dont le nombre ne cesse de croître depuis quelques mois. Les cyberattaques des données de santé sont prises très au sérieux par les autorités des Etats. C’est pour cela que l’éditeur de sécurité Sophos a réalisé un étude qu’éssaie de mettre de la lumière aux problèmes de sécurité liées aux données de santé.

Pour les organisations du monde de la santé, la question n’est pas de savoir si elles vont se faire attaquer, mais quand « 

Il y a déjà des années que les experts de la santé mettentle point sur le problème: « Pour les organisations du monde de la santé, la question n’est pas de savoir si elles vont se faire attaquer, mais quand », écrit Lynne A. Dunbrack, Vice-Présidente des Recherches à l’Institut IDC Health Insights et auteur du rapport 2014 sur les cybermenaces dans le secteur de la santé. Cependant, le nombre de violations de la vie privée dans les établissements de santé reste élevé.

Un rapport méné par Protenus, une entreprise d’analyse spécialisée dans la Big Data, déclare que les insiders avaient commis 59,2% des violations de la confidentialité des dossiers de santé de patients en janvier 2017, et que le chiffre était resté bien au-dessus de 43% pour l’ensemble de l’année 2016. Selon le rapport :

Avec en 2016, une moyenne d’au moins une violation de données de santé par jour, 2017 démarre avec une tendance identique, avec 31 incidents, nous obtenons en moyenne une violation de données de santé par jour et par mois. En Janvier, un peu moins d’incidents ont été signalés en comparaison avec Décembre (36 incidents), et les dossiers de patients affectés ont été nettement moins nombreux (1 431 449 contre 388 307).

L’analyse de Protenus est basée sur les incidents signalés auprès du HHS ou bien divulgués dans les médias ou par le biais d’autres sources le mois dernier. Des informations étaient disponibles pour 26 de ces incidents. Le plus grand incident isolé a impliqué 220 000 dossiers de patients, suite à une faille de sécurité au niveau d’une tierce-partie, provoquée par des négligences commises par des insiders, a déclaré l’entreprise.

La majorité (59,2%) des dossiers de patients touchés, à savoir 230 044 dossiers, étaient attribuables à des incidents provoqués par des insiders. Cinq des neuf incidents étaient le résultat d’un insider ayant commis une négligence. Pour les quatre cas de négligences commises par un insider et pour lesquels nous avons des chiffres, 226 798 dossiers de patients ont été touchés. Quatre autres incidents sont le résultat d’une erreur commise par un insider, touchant 3 246 dossiers de patients.  

En parallèle, un rapport de sécurité sur les données de santé d’IBM Managed Security Services (MSS) a déclaré que les insiders étaient responsables de 68% de toutes les attaques ciblant les données de santé en 2016. Près des deux tiers de ces attaques étaient le résultat de personnes utilisant des serveurs mal configurés et devenaient des victimes idéales vis-à-vis de scams d’hameçonnage.

Pourquoi les cybercriminels continuent-ils à se concentrer sur les établissements de santé ?

big_data_santé-1024x502

Selon le rapport d’IBM MSS c’est parce que « les informations exploitables dans un dossier médical partagé électronique (DMP), représente une forte valeur sur le marché noir. Dans le passé, certains cybercriminels avaient estimé qu’un DMP pouvait atteindre une valeur de 50 $, mais les chercheurs d’IBM X-Force ont constaté que ces jours-ci, avec des dossiers de santé souvent combinés, lors de la vente sur les marchés alternatifs, avec d’autres données personnelles/financières, pouvaient alors atteindre des valeurs beaucoup plus élevées. »

En effet, Jonathan Lee, responsable du secteur santé chez Sophos au Royaume-Uni, a déclaré que trop de violations de données de santé sont encore causées par des actions involontaires des utilisateurs. Il est donc essentiel que « les utilisateurs soient informés et sensibilisés vis-à-vis des cyber-risques auxquels ils sont confrontés et des mesures de protection mises en place pour les protéger » déclare Lee.

Toujours selon Lee, ils doivent aussi « comprendre leurs propres responsabilités individuelles en matière de cybersécurité, être conscients des conséquences d’actions négligentes ou malveillantes et travailler avec les autres acteurs du secteur pour trouver des moyens de travailler de manière plus sécurisée. »

5 conseils pour gagner ce combat

données de santé 2

Fin de l’an dernier, Lee a écrit un article sur le blog Sophos qui décrivait cinq actions que les établissements de santé pouvaient entreprendre pour mieux protéger les données des patients. Les conseils, qui portent essentiellement sur les établissements de santé NHS (National Health Services) au Royaume-Uni, traitent en priorité des menaces provenant des insiders. Voici un résumé de ses recommandations :

  1. Connaître le risque que vous courrez en particulier. La première chose à faire est d’effectuer une évaluation approfondie des risques, afin de savoir à quels types de menaces vous avez à faire face, de comprendre vos vulnérabilités et d’évaluer la probabilité d’être attaqué. C’est uniquement lorsque cette étape est terminée que vous pouvez passer à la prochaine phase, qui consiste à la création d’un plan intégré pour la cybersécurité.
  2. Appliquer les meilleures pratiques. Les établissements de santé, et d’autres aussi, dépensent trop souvent de l’argent pour des solutions de cybersécurité, mais ne parviennent pas à les déployer correctement. Assurez-vous que vous suivez les recommandations concernant les meilleures pratiques pour déployer votre défense.
  3. Avoir un plan de contre-attaque face aux incidents, qui soit testé et approuvé. Travaillez en supposant qu’une attaque se produira de toute façon, et assurez-vous d’avoir un plan de contre-attaque face aux incidents, qui soit testé et approuvé, et qui pourra être mis en œuvre immédiatement, afin de réduire l’impact de cette dernière.
  4. Identifier et sauvegarder vos données sensibles. Il est presque impossible de protéger toutes vos données en permanence. Ainsi, identifiez les informations que vous devez conserver, et dont le vol ou la consultation illégale nuirait à votre établissement, et mettez en œuvre des procédures de sécurité des données appropriées, pour s’assurer qu’elles sont protégés de manière appropriée.
  5. Éduquez et sensibilisez les employés. Tant de violation de données, qui sont le résultat en fait d’erreurs commises par des employés, par inadvertance ou non, implique qu’une partie de votre plan de cybersécurité doit être de s’assurer que tous vos employés connaissent les risques auxquels ils sont confrontés, et ont conscience de leurs propres responsabilités. Éduquez et sensibilisez vos équipes fait partie de votre mission, et doit être intégré dans votre plan.

Dans ce sens, la CNIL (Commission nationale de l’informatique et des libertés) a également produit un dossier-guide sur ce sujet. Elle fournit des recommandations afin d’« assurer la sécurité des données enregistrées » et d’« empêcher qu’elles ne soient divulguées ou utilisées à des fins détournées, surtout s’il s’agit d’informations couvertes par le secret médical ».

About Author

Desirée Rodríguez

Directrice de Globb Security France. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @drodriguezleal.

Leave A Reply