Réfléchissez à vos priorités, qu'elles soient personnelles, professionnelles ou familiales. La sécurité en fait certainement partie. De la stabilité financière à la sûreté physique et au bien-être de vos proches et de vous-même, la sécurité est même certainement en tête de liste. Hélas, les cybercriminels ne connaissent que trop bien nos priorités et saisissent chaque occasion de les exploiter.
Il n'est pas surprenant que le nombre de préoccupations actuelles nous ait valu une augmentation significative des cyberattaques. L'ingénierie sociale a en effet toujours été un moyen efficace de compromettre et d'infiltrer un réseau. En temps de crise, la population est à juste titre distraite et se concentre sur l'essentiel : la santé, la sécurité et le bien-être de ses proches.
Alors que presque toutes les entreprises ont dû réévaluer leurs mesures de sécurité et déterminer le niveau de risque, il existe un secteur qui subit de plein fouet les défaillances et les attaques : celui de la santé. Alors, pourquoi ces entreprises sont-elles si exposées aux attaques et que peuvent-elles faire pour se protéger ?
La valeur des données de santé
Les organismes de santé sont davantage exposés aux cyberattaques, notamment car ils disposent d'informations confidentielles précieuses que les cybercriminels peuvent vendre ou utiliser comme moyen de pression pour exiger une rançon. De plus, le nombre d'appareils connectés est tel qu'il est pratiquement impossible de tous les protéger isolément, d'autant plus qu'une telle protection ne suffirait pas.
Les dispositifs médicaux sont particulièrement vulnérables en raison des difficultés liées à la sécurité lorsque ceux-ci sont conçus et gérés par le fournisseur. De plus, il n'existe que peu de directives concernant la sécurisation des dispositifs médicaux, si bien que c'est aux prestataires de soins de santé qu'il incombe de résoudre le problème.
Il existe plus précisément deux types de défis pour la sécurité des environnements de soins de santé :
- L’accès: Qui a accès à quel appareil ? Il est fréquent qu'un seul appareil soit partagé par plusieurs utilisateurs (par exemple, un ordinateur installé dans un centre de soins infirmiers), et cela le rend plus vulnérable.
- La couverture: Il est nécessaire de sécuriser ces dispositifs (tout ce qui est spécifique à l'IP et qui se trouve sur le réseau). Mais prenons l'exemple des systèmes de respiration et de surveillance cardiaque qui ne peuvent pas être équipés d'un logiciel de sécurité intégré. En effet, leur réglementation stricte ne permet pas de mettre à jour leurs systèmes d'exploitation ni de corriger leurs vulnérabilités, ce qui les expose dangereusement. Comme il est impossible d'installer un logiciel de sécurité classique sur ces appareils, le réseau doit alors être capable de surveiller et de suivre les menaces.
Il s'agit donc de trouver un équilibre entre la garantie d'un accès autorisé et le traitement des informations personnelles des patients et des employés à partir de divers appareils et lieux, tout en respectant les réglementations nationales et locales (comme le RGPD) et en empêchant la détérioration intentionnelle ou non des systèmes, des appareils et des données.
Le respect de la conformité et de la vie privée
Les soins de santé soulèvent une problématique unique en son genre dans la mesure où il faut concilier les systèmes existants avec la conformité et le respect de la vie privée, une tâche particulièrement difficile. De nombreuses technologies de sécurité violeraient, dans une certaine mesure, la confidentialité des données des patients si elles devaient les sécuriser.
En effet, les systèmes en place n'offrent pas le bon niveau d'accès ou de segmentation par fonction qui est nécessaire pour garantir le respect de la conformité et de la vie privée. Ils n'offrent pas non plus la possibilité d'effectuer les contrôles de sécurité nécessaires pour identifier avec précision les potentielles menaces. Par exemple, un ransomware qui se dissimule dans un trafic chiffré sans rompre le protocole peut compromettre la protection de la vie privée. Par ailleurs, une visibilité réduite avec le trafic chiffré pose également un problème, ce qui peut vraiment déséquilibrer la balance entre la vie privée et la sécurité.
Qu'il s'agisse de l'accès et de la couverture, de la conformité ou du respect de la vie privée, le domaine de la santé est déjà confronté à une rude bataille pour assurer une sécurité totale. Ajoutez à cela le contexte mondial actuel et quelques mauvais esprits opportunistes, et vous avez le risque d'une brèche majeure.
La combinaison à la place du choix
Reconnaître les défis imminents est la première étape pour les surmonter - tant du point de vue de l'opérateur que de la technologie. C'est pourquoi il est nécessaire que les équipes IT de la santé élaborent une stratégie qui sécurisera tous les appareils du réseau, de bout en bout. Celle-ci ne peut pas être un choix entre "ceci" ou "cela" mais doit plutôt être pensée comme "ceci ET cela". Sécuriser un seul appareil, quelle que soit son importance, ne résoudra pas le problème mais le déplacera simplement.
C'est là que la sensibilisation aux menaces entre en jeu. Si votre réseau est déjà conscient des menaces, vous n'avez pas besoin de penser à sécuriser tous les éléments individuellement en place. Il devient alors complètement résilient, comme vous n'y auriez peut-être pas pensé jusque-là.
Avec tant d'hôpitaux qui isolent leurs réseaux, bâtissent des installations de triage autonomes pour effectuer des tests à grande échelle ou encore des analyses de la position de leur communauté, la sécurité est essentielle et doit être assurée à chaque point de connexion afin d'être capable de détecter les menaces en fonction de sa position dans la pile technologique.
Il en va de même pour l'intégration du "threat intelligence" (TI) dans le réseau. Si un utilisateur est dupé d'une manière ou d'une autre et que le TI est bien intégré, le réseau reconnaîtra automatiquement la menace et l'isolera, réduisant ainsi le risque d'une propagation.
Si le secteur de la santé a indéniablement de nombreux obstacles à surmonter, il existe toutefois des moyens de se défendre contre les cyberattaques. En se concentrant sur les objectifs à atteindre et en adoptant une approche axée sur la sécurité, il est possible d'arrêter les cybercriminels et de se consacrer à l'essentiel : assurer la sécurité et la santé de la population.
Par Samantha Madrid, Vice President, Security Business & Strategy Chez Juniper Networks