Martin Hirsch, directeur général de l’Assistance publique-hôpitaux de Paris (APHP), a annoncé le 2 mars dernier le lancement en France d’une application mobile afin de faire face à l’épidémie de coronavirus qui se répand dans le monde. De son côté, le groupe chinois Alibaba aurait développé une IA permettant d’aider les médecins à détecter le virus chez les patients.
Ces innovations développées en situation de crise sanitaire, ajoutées à celles qui émergent quotidiennement, sont la preuve que les patients bénéficient aujourd’hui de services médicaux qui dépassent ceux dispensés aux générations précédentes. De la télémédecine, aux soins virtuels en passant par les dispositifs médicaux qui reposent sur l’internet des objets (IoT) ou encore les portails de communication avec les patients, cet écosystème en croissance aspire à améliorer les résultats cliniques et à fournir de nouveaux modèles de soins dans un secteur en pleine évolution.
Si ces développements permettent sans aucun doute d’améliorer les traitements et leur accessibilité pour les patients, ils génèrent également un réseau complexe de prestation de soins – qui pourrait être une cible intéressante pour les attaquants ; des premières campagnes de phishing exploitant la peur du virus ont d’ailleurs déjà vu le jour en ce début d’année. En effet, selon nos dernières recherches, 50 % des organismes de santé ont fait état d’une cyberattaque ayant eu des répercussions sur leur activité au cours des trois dernières années. Nous avons notamment identifié que les plus grands risques de cybersécurité dans le secteur de la santé sont les attaques externes telles que le phishing (cité par 61 % des répondants), les ransomwares/malwares (57 %), la gestion du cloud (43 %) et les menaces internes (41 %). En outre, près de 20 % des organismes de santé ont désigné les personnes bénéficiant d’accès à privilèges comme leur principale menace pour la sécurité.
Alors que les hôpitaux et les écosystèmes de santé continuent de se développer et d’adopter la transformation numérique, il est important qu’ils mettent l’accent sur la protection des informations de santé personnelles électroniques – notamment dans le cadre des dossiers médicaux partagés – hautement ciblées au sein de réseaux de prestation de soins en expansion et interopérables. En effet, si « charité bien ordonnée commence par soi-même », la sécurité des patients passe aussi par une bonne cyber-hygiène des organismes qui les prennent en charge.
Le cloud au service de la santé
Les organismes de santé sont des cibles de choix pour les attaquants, car elles détiennent une multitude d’informations sensibles et potentiellement précieuses, dont une grande partie se trouve dans le cloud. À mesure que de nouvelles fonctions sont transférées vers des environnements cloud et hybrides, les risques de sécurité augmentent.
Quarante-trois pour cent des organismes de santé déclarent transférer ou stocker des données sur les patients, y compris celles soumises à une surveillance réglementaire, dans le cloud. Près de la moitié (46 %) déploient ou stockent, dans le cloud, des applications métiers critiques axées sur le cloud, y compris des applications génératrices de recettes et orientées client. En outre, 45 % des organismes de santé déploient des applications métiers critiques sur des solutions de logiciel-service (SaaS) – notamment des applications orientées client, des logiciels de planification des ressources de l’entreprise (ERP), des logiciels de gestion de la relation client (CRM) et des logiciels de gestion financière.
Cela prouve que l’utilisation du cloud n’est pas problématique en soi, ce sont plutôt certaines habitudes préoccupantes liées au cloud qui pourraient être mises en cause. Par exemple, un bon nombre d’organisations du secteur admettent ne pas avertir leurs clients lorsque leurs données sensibles ont été compromises à la suite d’une cyberattaque, et 37 % déclarent qu’ils préféreraient payer une amende ou une astreinte pour non-respect de la réglementation plutôt que de modifier en profondeur leur stratégie de sécurité.
En outre, du fait de leur caractère sensible, les données personnelles de santé doivent être encadrées par la loi, afin d’assurer leur sécurité et la confidentialité de leur propriétaire. A cet effet, le gouvernement français a mis en place une certification des hébergeurs de données de santé (HDS)[1] afin de renforcer le cadre réglementaire autour de la gestion de ce type de données en soumettant leur hébergement à des règles strictes. Or en réalité, le respect de la réglementation sur la protection des données semble constituer un défi majeur pour les entreprises du secteur de la santé, puisque seulement 40 % d’entre elles se disent prêtes à faire face à une éventuelle enquête sur une violation du règlement général sur la protection des données (RGPD).
Prévenir les abus de privilèges
La gestion de ces accès administrateurs donnant accès à l’ensemble du réseau constitue une autre préoccupation de sécurité majeure du secteur de la santé. La grande majorité des organismes (86 %) pensent que l’infrastructure IT et les données critiques ne sont pas entièrement protégées si les comptes à privilèges, les informations d’identification et les secrets ne sont pas sécurisés. Pourtant, 38 % des organismes de santé ne disposent pas d’une stratégie de gestion des accès à privilèges pour les infrastructures et les workloads du cloud, et 44 % ne possèdent pas de stratégie de gestion des accès à privilèges pour les applications métiers critiques – y compris les applications orientées client. Un manquement qui s’explique en partie par le fait que les acteurs du secteur de la santé ne savent pas très bien où se trouvent les comptes à privilèges, les informations d’identification et les secrets dans un environnement IT.
À mesure que les organismes de santé modernisent leurs méthodes de soins destinés aux patients du monde entier et adoptent la transformation numérique, les équipes de sécurité devront de mieux en mieux appréhender l’impact de ces activités sur les stratégies de sécurité, puis s’adapter en conséquence et de manière globale. Chaque employé, application et technologie a une incidence sur le profil de risque et il est indispensable que les organisations partent du principe qu’ils peuvent être à tout moment victimes d’une cyberattaque.
Afin de s’adapter efficacement aux menaces auxquelles il est actuellement confronté, le secteur de la santé doit donc redéfinir la manière dont il évalue les risques et comprendre que cela peut nécessiter de nouveaux outils et compétences pour mieux s’armer contre des cybercriminels innovants et motivés. La gestion des accès à privilèges et des informations d’identification est un moyen efficace de minimiser les mouvements qu’un pirate informatique peut opérer après s’être introduit dans le réseau, et c’est également une pièce essentielle du puzzle de la cybersécurité dans un environnement où les enjeux sont si importants.
Par Jean-Christophe Vitu, VP Solutions Engineers chez CyberArk