Selon une récente étude publiée par Verizon, près de 81% des entreprises de santé ont subi une violation de leurs données en 2016[1]. Les cybercriminels et les menaces internes sont les principales causes de violation des données dans ce secteur. En effet, des problèmes internes tels que l’utilisation non autorisée de données et/ou la négligence des employés en réalisant des erreurs involontairement compromettent directement la sécurité des données des patients.

L’évolution de la mentalité des utilisateurs (employés et sous-traitants), suppose beaucoup plus qu’une simple éducation. Il s’agit en fait de la prise de conscience et de la motivation du personnel, ainsi que des moyens dont il dispose, pour adopter une approche proactive de la protection des patients et de leurs données. Nous avons ensuite examiné de quelle façon la gouvernance des identités peut servir à créer le fondement de la sécurité et décrit sept facteurs clés de réussite.

S’il est clair qu’une gouvernance des identités peut servir à créer le fondement de la sécurité et minimiser les risques d’exposition des données en adhérant à la réglementation HIPAA, les directeurs des services informatiques, les responsables de la sécurité des systèmes d’information et les autres dirigeants doivent s’intéresser de près à un domaine souvent ignoré : les informations sensibles des patients stockées dans des fichiers en tant que données non structurées.

Dans tous les secteurs, on estime que 80% environ de la totalité des données ne sont pas structurées. Dans le secteur de la santé, la plupart des discussions autour de ce sujet portent sur la meilleure façon d’exploiter les données non structurées qui résident dans les dossiers médicaux électroniques à des fins d’analyse. Mais il existe un autre volet à la discussion, et c’est celui qui fait peser une réelle menace sur la sécurité des données médicales.

Lorsque des données patient et autres informations sensibles sont extraites depuis des applications et des bases de données structurées (par ex. extraites du système Epic), elles sont souvent manipulées et enregistrées dans des formats non structurés tels que les formats PDF, PowerPoint, Word ou Excel. Les utilisateurs finaux ayant plus de souplesse dans leur façon de gérer les fichiers, il est hautement probable que plusieurs versions d’un fichier seront générées et stockées dans différents emplacements, dont certains ne sont probablement pas sécurisés. Et avec la tendance grandissante pour le BYOD dans le milieu médical, les données non structurées peuvent rapidement se retrouver dans des emplacements compromettants. Même les issues ont été verrouillées en amont, une telle exposition de données sensibles équivaut à laisser vos objets précieux exposés devant votre porte d’entrée.

Le volume des données non structurées continuant de s’accroître, les entreprises ne savent plus quelles données existent, où elles sont stockées, à qui elles appartiennent et qui peut y accéder. Cette situation constitue un problème important de conformité, et expose les entreprises à des vulnérabilités en matière de sécurité telles que la perte de données sensibles, la perte de propriété intellectuelle et même l’espionnage industriel. Mettre au point un plan d’action pour sécuriser l’accès aux données non structurées implique d’étendre la gouvernance des identités jusqu’aux emplacements où ces dernières sont stockées.

Voici trois priorités essentielles qu’il est bon de rappeler ici :

  • Trouver les données sensibles. Savoir où sont stockées les données sensibles est le premier pas vers leur protection. La seule manière réaliste de trouver et d’effectuer le suivi des énormes quantités d’informations non structurées est d’utiliser une solution automatisée qui puisse analyser tous les systèmes (sur place ou dans le cloud), localiser le lieu où les informations sensibles sont stockées et, si nécessaire, faciliter leur déplacement vers un environnement de stockage sécurisé.
  • Créer des contrôles préventifs pour une gouvernance en temps réel. L’installation de contrôles préventifs garantit que les bonnes personnes ont un accès adéquat aux données sensibles au moment opportun. L’accès aux données patient, dans un établissement de santé, peut être une question de vie ou de mort. Une solide structure de contrôles préventifs permet d’harmoniser l’attribution de droits d’accès d’une manière sécurisée et conforme.
  • Mettre en œuvre des contrôles de détection. Examiner et surveiller les accès et activités en cours des utilisateurs, à la recherche d’anomalies, permet d’ajouter une couche supplémentaire de sécurité. Des mesures proactives telles qu’un examen régulier des accès peuvent permettre à l’entreprise d’éliminer des situations potentiellement dangereuses et d’éviter une violation des données.

Lorsqu’ils associent la gouvernance des accès aux données non structurées à des initiatives de prise de conscience de la sécurité interne et de solides stratégies de gouvernance des identités et d’accès aux données, les prestataires de soins de santé ont de loin une plus grande probabilité de minimiser les risques et les conséquences des violations des données.

 

[1] Source : 3 cyberthreats make up 81% of healthcare breaches – Verizon finds

 

_________
Juliette Rizkallah est Chief Marketing Officer, SailPoint