Si tous les aspects des opérations de santé sont essentiels au bien-être des patients, la cybersécurité en est l’une des composantes les plus critiques.
La capacité de documenter, d’organiser et d’accéder facilement aux dossiers médicaux des patients améliore la qualité des services qu’ils reçoivent. Mais lorsque ces informations sont perdues ou compromises en raison de cybermenaces et d’attaques, ils risquent de perdre la vie. Comprendre ces cyber-risques et savoir comment les prévenir peut sauver des vies.
Qu’est-ce que la cybersécurité dans le secteur de la santé ?
La cybersécurité dans le secteur de la santé fait référence aux mesures techniques adoptées par les organismes de santé pour sécuriser les données de leurs patients et protéger leur vie privée contre les cybermenaces et les cyberattaques.
La confidentialité des données est de la plus haute importance dans le secteur de la santé en raison de la sensibilité des dossiers médicaux des patients, et les parties prenantes doivent donc la préserver à tout prix. Il est important de noter que les menaces qui peuvent compromettre la cybersécurité des soins de santé ne sont pas seulement externes, mais aussi internes.
Dans le domaine de la cybersécurité des soins de santé, il existe des menaces externes et des menaces internes. Les premières proviennent d’étrangers, tandis que les secondes sont le fait de personnes internes à l’établissement de santé. De même qu’un cybercriminel peut attaquer un établissement médical à des fins malveillantes, un professionnel de la santé peut également exposer les dossiers sensibles des patients, intentionnellement ou non.
La cybersécurité dans le secteur de la santé permet de prévenir les menaces extérieures et intérieures et d’atténuer les dommages causés par une violation de données.
Quels sont les cyberrisques les plus courants dans le secteur de la santé ?
Les établissements de santé ne se contentent pas de conserver les dossiers médicaux sensibles des patients. Ils reçoivent également d’importantes sommes d’argent. Les acteurs de la cybermenace sont impatients de s’emparer des données de paiement des patients, afin de pouvoir se livrer à l’usurpation d’identité et à la fraude financière.
Les entreprises médicales doivent se familiariser avec les cyberrisques courants dans leur domaine.
Hameçonnage
Le phishing est un processus par lequel un acteur de la menace se fait passer pour une personne ou une institution légitime et vous incite à partager des informations confidentielles avec lui. L’attaquant se rend compte que vous n’êtes peut-être pas disposé à partager ces informations, et il vous incite donc à ouvrir ou à cliquer sur un contenu infecté par un logiciel malveillant qui lui permet d’accéder à votre réseau. Ce type de contenu a généralement un caractère urgent, suscite la peur de manquer quelque chose et est souvent trop beau pour être vrai.
Les organismes de santé s’adressant au public, ils reçoivent beaucoup de courriels et d’autres messages. Un acteur de la menace peut facilement se faire passer pour un patient potentiel ou un partenaire commercial et lancer une attaque par hameçonnage.
Ransomware
Le ransomware est une technique d’attaque utilisée par les pirates pour prendre le contrôle de votre réseau et vous en interdire l’accès. Ils cryptent les fichiers de votre système, rendant difficile l’ouverture des fichiers sans les clés de décryptage. Ensuite, ils vous demandent une rançon pour que vous puissiez récupérer votre système.
Les organismes de santé sont sujets aux attaques de ransomware car ils possèdent des données qui valent une rançon. Ils préfèrent payer plutôt que de laisser les attaquants exposer ou compromettre les informations confidentielles de leurs patients.
Attaque de la chaîne d’approvisionnement
Les attaques de la chaîne d’approvisionnement sont des attaques provenant de n’importe lequel des multiples domaines de la chaîne d’approvisionnement. Les établissements de santé travaillent avec divers partenaires et fournisseurs qui proposent des produits et des services qu’ils utilisent dans le cadre de leurs activités. Pour assurer la continuité de leurs opérations, ils accordent à ces tiers un accès autorisé à leur réseau.
Si les organismes de santé sécurisent leur réseau à l’aide de contrôles d’accès, les intrus peuvent profiter de l’accès des tiers pour mener des attaques. Une fois qu’ils ont obtenu les identifiants de connexion d’un partenaire ou d’un fournisseur, ils peuvent accéder au réseau de l’organisation.
5 façons de mesurer les cyberrisques dans le secteur de la santé
Un moyen efficace pour les établissements de santé de sécuriser leurs actifs numériques est de mesurer les cyber-risques. Ils pourront ainsi renforcer leur infrastructure de sécurité. Comment procéder ?
1. Évaluer les risques
Une multitude de menaces et de vulnérabilités au sein des établissements de santé s’intensifient et ont des effets néfastes si elles persistent ou passent inaperçues. Ces établissements doivent procéder à des évaluations des risques à l’aide de cadres crédibles tels que le cadre d’évaluation des risques du National Institute of Standards and Technology (NIST) afin de déterminer leurs faiblesses en matière de sécurité.
Des incidents de cybersécurité fréquents indiquent qu’un système est très vulnérable aux attaques et nécessitent une évaluation approfondie des risques. Pour tirer le meilleur parti de l’évaluation des risques, les prestataires de soins de santé doivent la réaliser régulièrement, au moins deux fois par an.
2. Obtenir une visibilité complète
La mesure efficace des risques repose sur la couverture de la visibilité. Les risques n’existent pas dans le vide : ils se développent de l’intérieur. Pour mesurer les risques dans un système de soins de santé, les fournisseurs doivent identifier tous leurs actifs numériques, y compris les applications et les services actifs. Ils doivent donc comprendre comment les appareils fonctionnent et fournir l’infrastructure de sécurité nécessaire pour les mettre à l’abri du danger.
La visibilité aide les organismes de santé à sécuriser la surface d’attaque de leur système en leur permettant de mettre en œuvre une gestion efficace de la surface d’attaque. Elle leur permet également de connaître les risques potentiels avant qu’ils ne dégénèrent.
3. Évaluer le temps de réponse
En matière de cybersécurité dans le secteur de la santé, le temps est un facteur essentiel. La question n’est pas de savoir « si » les cybercriminels vont cibler votre réseau, mais « quand ». À quelle vitesse vos défenses de sécurité seront-elles à la hauteur de la situation ? Les retards dans le temps de réponse aux incidents peuvent entraîner la perte de données critiques.
Les organismes de santé doivent établir leur délai moyen de réponse aux incidents et examiner son efficacité à atténuer les attaques. L’objectif est de réagir le plus rapidement possible, en mettant en œuvre les meilleures pratiques de sécurité pour protéger vos actifs.
4. Adopter des cadres de sécurité normalisés
Les résultats de la mesure des risques sont plus précis lorsque les acteurs utilisent les paramètres de mesure des cadres de cybersécurité normalisés. Compte tenu des exigences strictes en matière de sécurité dans le secteur des soins de santé, les hôpitaux ont tout intérêt à mettre en œuvre des cadres tels que les Health Industry Cybersecurity Practices (HICP), qui sont reconnus par les autorités.
En comparant leurs niveaux de sécurité aux lignes directrices du HICP, les organismes de soins de santé peuvent déterminer leurs risques de cybersécurité et les résoudre en conséquence sur la base des recommandations énoncées.
5. Utiliser l’évaluation comparative par les pairs
Une concurrence saine entre les organisations médicales améliore la qualité de leurs activités en général. L’évaluation comparative par les pairs consiste à comparer les services, la stratégie et les opérations d’une organisation à ceux d’une autre. Elle permet aux organismes de soins de santé d’accéder à leur cybersécurité au-delà de leur environnement immédiat et de penser à la société dans son ensemble.
On peut penser que l’infrastructure de sécurité de son hôpital est conforme aux normes, mais lorsqu’on la compare à celle d’un autre hôpital, on se rend compte qu’elle est à la traîne dans certains domaines. Cette comparaison vous aide à prendre note des lacunes en matière de sécurité et vous oriente dans la bonne direction pour améliorer la situation.
Améliorer les soins de santé grâce à une cybersécurité efficace
Les détails opérationnels quotidiens des établissements de soins de santé peuvent différer, mais ils ont tous un objectif commun : sauver des vies. La numérisation des dossiers des patients est essentielle pour simplifier la prestation des soins de santé, et ces dossiers ne peuvent être utiles que s’ils sont sécurisés.
La sécurisation des systèmes de santé est un gain pour tous : nous en bénéficierons tous d’une manière ou d’une autre, en particulier lorsque nos proches ou nous-mêmes avons besoin d’une assistance médicale.
Grâce au renforcement de la sécurité des soins de santé, les prestataires de soins pourront créer et consulter facilement les dossiers de leurs patients et leur administrer les meilleurs traitements.
