Dans l’industrie de la santé, les volumes significatifs d’informations sensibles et les réglementations strictes de conformité ont fait de la sécurité la priorité numéro un. Cependant, ces organisations hésitent désormais à adopter de nouvelles technologies susceptibles d’augmenter les vulnérabilités, comme les outils hébergés dans le cloud.

La digitalisation accroit en effet la surface d’attaque et attire l’attention des cybercriminels, en recherche de données critiques mal sécurisées.

Depuis plusieurs années, les cyberattaques n’ont cessé de croître. Une entreprise est ainsi frappée par un ransomware toutes les 40 secondes en moyenne. Les malwares ont particulièrement gagné du terrain chez les prestataires de soins de santé ; de nombreuses organisations médicales ont en effet été touchées par NotPetya, WannaCry et Locky. Même le National Health Service (NHS), le système de santé national britannique, a été touché par WannaCry : l’attaque a provoqué des perturbations dans 37 % des fiducies du NHS, et l’annulation de milliers de rendez-vous et d’opérations chirurgicales. Bien que le NHS n’ait pas payé la rançon, il a dû engager des frais pour couvrir les rendez-vous annulés, recruter des consultants en informatique, et restaurer les données et les systèmes après l’attaque ; sans parler des dommages en termes d’image et de réputation.

Les normes de conformité dans le secteur de la santé imposent souvent le chiffrement des données, mais cela peut rapidement devenir très couteux compte tenu du volume de données sensibles collecté par les cabinets, les laboratoires, ou encore les hôpitaux. En conséquence, les plus petites organisations ont tendance à résister à la migration dans le cloud, ou du moins à éviter d’y stocker des informations personnelles de santé. En outre, les organisations du secteur de la santé désignent bien souvent à tort les employés comme le principal risque en matière de sécurité du cloud ; les tiers, les acteurs externes et les fournisseurs de cloud sont perçus comme une menace moindre. Or, ces entreprises ont une compréhension incomplète des activités de leurs collaborateurs en ligne, et une visibilité généralement nulle. Les équipes IT, quand elles existent, connaissent cette inadéquation, mais ne reçoivent pas l’appui nécessaire de la direction pour y remédier.

Ce soutien mitigé des cadres laisse les équipes IT sans le budget nécessaire au déploiement de nouveaux outils de sécurité ou à l’embauche de professionnels expérimentés. Elles doivent donc faire face, seules, aux défis de la cyberprotection. La première étape consiste alors à améliorer la formation des employés et à renforcer les politiques de sécurité. À première vue, ces stratégies pourraient sembler être une réponse valable au risque de sécurité associé aux employés. Cependant, la faible visibilité sur les pratiques des utilisateurs rend impossible la mesure du succès ; la plupart des équipes informatiques n’ont en effet tout simplement aucun moyen de déterminer si la formation et des règles plus strictes incitent leurs collègues à améliorer leurs habitudes.

A l’avenir, le secteur de la santé devrait davantage embrasser le cloud, malgré les préoccupations en matière de sécurité. Les entreprises de santé publiques seront probablement les pionnières dans l’adoption, les sociétés privées préférant actuellement attendre que les autorités les obligent à stocker les données de santé dans le cloud. En effet, le coût d’une erreur – en termes d’amendes, d’image de marque, et d’activités –, est aujourd’hui trop élevé pour prendre le risque. Les entreprises de santé plus petites adopteront aussi le cloud lorsque le coût du chiffrement des données baissera. Finalement, en dotant le service IT d’outils capables d’alerter en cas d’activité suspecte ou dangereuse, et en offrant aux employés des formations régulières sur les bonnes pratiques, le corps médical pourra se concentrer sur sa mission principale : servir leurs patients.

___________
Pierre-Louis Lussan est Country Manager South-West Europe, chez Netwrix