Le 13 février dernier, le gouvernement présentait les avancées de son projet de loi de santé, dans le cadre duquel, la Ministre de la Santé Agnès Buzin, a annoncé l’ouverture d’une « plateforme des données de santé » – destinée à remplacer l’actuel Institut des données de santé – en promettant de protéger la vie privée. Le gouvernement a également proposé un nouvel espace numérique de santé qui sera ouvert à tous les patients d’ici le 1er janvier 2022, et dans lequel ces derniers pourront accéder à leur DMP (Dossier médical partagé) ainsi qu’à des applications de santé.

L’utilisation accrue des dossiers médicaux électroniques, associée à une accélération de la technologie des soins de santé – des applications cloud aux appareils compatibles IoT, en passant par la télémédecine – crée des réseaux de plus en plus complexes pour les prestations de soins, qui constituent des cibles de premier choix pour les cybercriminels avertis.

Des réseaux plus exposés mettent en lumière les vulnérabilités potentielles d’un service de santé, et par conséquent le besoin urgent d’une cybersécurité plus robuste. Parallèlement, les réglementations relatives à la digitalisation des données de santé – telles que la loi HIPAA (Health Insurance Portability and Accountability Act, loi américaine de 1996 qui concerne la santé et l’assurance maladie), la loi HITECH (Health Information Technology for Economic and Clinical Health Act , relative à la technologie de l’information sanitaire) édictée en 2009, ainsi que le règlement général sur la protection des données (RGPD) de l’Union Européenne – continuent de se développer, et la non-conformité génère désormais des pénalités plus lourdes, notamment en ce qui concerne la gestion des accès à privilèges, ou accès administrateurs.

Selon une récente étude conduite par Verizon, 58 % des cyber-incidents impliquent des personnes internes à l’organisation. La santé étant le secteur dans lequel les acteurs internes constituent la plus grande menace pour une organisation. Cependant, il est important de rappeler que les vecteurs d’attaque sont nombreux dans ce secteur. Lorsqu’il s’agit d’accès à privilèges, tous les points d’accès doivent être pris en compte, qu’il s’agisse d’un « humain » ou non : rien ne doit être laissé de côté, que ce soit les personnes ayant des droits d’administrateur, les accès machine, les applications ; ou encore des dispositifs médicaux interagissant avec des systèmes critiques – notamment pour l’intégration d’informations de diagnostic par des services tiers, ou les demandes de remboursement d’un organisme payeur.

La gestion de l’accès aux comptes, aux informations d’identification et aux secrets confidentiels constitue un moyen efficace de prévenir les menaces internes et de limiter les actions qu’un individu – qu’il soit malintentionné ou malhabile – peut effectuer sur le réseau. Avec des procédures de sécurité d’accès administrateurs, gérer étroitement la capacité d’un attaquant à élever ses privilèges et à accéder à des systèmes sensibles sera alors réduite. Dans la Santé, où les enjeux sont si importants, une bonne hygiène en matière de cybersécurité est impérative, et cela passe en priorité par une gestion efficace des accès à privilèges.

Le paysage actuel des menaces pour la Santé

Les attentes des patients ont évolué, ce qui ouvre la voie à de nouvelles technologies innovantes pour améliorer les soins. Mais l’innovation doit s’accompagner de mesures de cybersécurité plus strictes. Seules les organisations qui adopteront une approche holistique de la protection de leurs environnements, y compris un contrôle adéquat des accès à privilèges, réduiront les risques d’incidents de cybersécurité aux conséquences préjudiciables.

La construction de « hauts murs » pour protéger le périmètre numérique d’une organisation est une approche de sécurité obsolète, qui n’empêche plus les cybercriminels d’atteindre les données sensibles. Par conséquent, les entreprises doivent partir du principe qu’elles seront victime d’une violation de données, et déployer des outils de sécurité permettant d’empêcher la compromission de systèmes sensibles.

Renforcer les règlementations, et imposer des sanctions plus sévères

Alors que les cyberattaques continuent de prendre de l’ampleur à un rythme alarmant, les organisations sont confrontées à un environnement réglementaire de plus en plus contraignant. Une sécurité des accès administrateurs peut permettre à un établissement de santé de démontrer sa conformité et d’éviter de lourdes amendes. En outre, une violation de données implique des coûts opérationnels importants. Selon Ponemon, une violation de données sur les soins de Santé coûte en moyenne 336 euros par fichier compromis, soit plus de 2,5 fois la moyenne mondiale de tous les secteurs.

Pour démontrer leur conformité au RGPD, et autres réglementations du secteur, les professionnels de santé doivent avoir accès à une preuve documentée et vérifiable de leurs efforts mis en œuvre pour protéger les accès administrateurs. Les enquêtes d’audit demandent des outils permettant de surveiller, d’enregistrer et d’isoler complètement toutes les sessions à privilèges ; ainsi que de fournir des rapports d’activité détaillés sur les bases de données et applications de santé critiques, des logs d’audit détaillés et une protection des données multicouche destinée à l’audit.

Prendre les bonnes mesures pour protéger son investissement dans le réseau de prestation de soins intégré

Pour se protéger, les organisations doivent gérer les privilèges, ainsi que détecter et réagir de manière proactive aux attaques en cours, avant que les pirates informatiques ne compromettent les données et les systèmes vitaux. Mais gérer les privilèges ne signifie pas pour autant les supprimer. Il s’agit plutôt de contrôler qui accède à quoi, pour quelle raison et quand. La gestion des accès à privilèges fait partie de l’hygiène de base de la cybersécurité, et peut ainsi avoir un impact positif significatif sur la politique de sécurité et les efforts de conformité d’une entreprise.

Etant donné que la sécurité des accès à privilèges est complémentaire des outils de sécurité existants, elle aide les entreprises à optimiser leurs investissements en matière de cyberprotection. Elle constitue une première étape clé dans la maturation d’un programme de cybersécurité des soins de santé, et doit constituer une priorité stratégique.

Les solutions de sécurité des accès administrateurs peuvent offrir une détection et une protection de bout en bout, proactives et automatisées, pour tous les accès à privilèges aux systèmes contenant des données de santé électroniques. La détection et l’analyse des menaces à privilèges offrent la possibilité de réagir à toutes les activités anormales ou à haut risque, et de les corriger. Surveiller le comportement des activités privilégiées pour s’assurer que les utilisateurs ne désactivent pas, ne contournent pas et ne modifient pas les mesures de protection et les contrôles de sécurité mis en place, est non seulement une pratique exemplaire, mais elle est également requise par la réglementation.

À l’ère des cyberattaques sans fin et des réglementations plus strictes, la protection de l’environnement n’est plus une option, mais une nécessité. Au-delà des coûts réglementaires et des risques pour les données des patients, les violations peuvent considérablement ralentir les processus, ce qui peut mettre la vie en danger pour les patients qui attendent de manière urgente une opération et dont les données de santé sont subitement compromises ou effacées de la base de données. La sécurisation de la gestion des accès à privilèges doit être au premier plan des organisations de soins de santé pour qu’elle soit totalement conforme et protège parfaitement les données des patients.

_________
David Higgins est Director of Customer Development EMEA, chez CyberArk