Dans le secteur de la santé, l’adoption du cloud et la dérive du shadow IT engendrée par les employés font courir de plus en plus de risques aux données de santé.
L’arrivée du cloud modifie en profondeur la façon à laquelle sont traités les patients et les soins. Les services cloud et les données de santé font l’objet de diverses réglementations, et cela dans tous les pays où sont déployées des solutions de santé, qui garantissent leur protection et la conformité des services dans le nuage.
Dans le même temps, les employés n’hésitent pas à introduire, à l’insu de leur hiérarchie comme du service informatique, des applications en mode SaaS, alimentant ainsi la dérive du Shadow IT. Ce qui augmente les menaces internes liées aux services dans le cloud.
Des chiffres pour prendre la mesure du phénomène
Une organisation de santé cumule en moyenne 928 services cloud, et parmi ceux-ci, 868 ont été déployés à l’insu du service IT. Ainsi plus de 9 services cloud sur 10 relèvent du Shadow IT.
Les services cloud les plus déployés dans le secteur sont :
- Outils collaboratifs
- Outils de développement
- Outils de partage de contenu
- Outils de partage de contenu
Incidents de sécurité, entre mythe et réalité
53 % des organisations de santé ont rencontré un incident de type menace interne.
Ce chiffre révèle soit une inconscience de la réalité par les services concernés, soit plus sûrement une réalité et des chiffres détournés. En effet, il ne tient pas la comparaison avec les entreprises qui attichent 79 % de comportements anormaux.
Les services cloud ne sont pas en reste
Du côté des services cloud, la situation n’est pas meilleure :
- 2,8 % sont certifiés ISO 27001
- 7 % répondent aux impératifs de sécurité et de conformité
- 9,4 % chiffrent les données archivées en ligne
- 14,5 % possèdent une authentification multi-facteurs
La dérive des données de santé
Aux États-Unis plus qu’en France, les données de santé ont une valeur marchande élevée. Dans les pays anglo-saxons, en effet, le numéro de sécurité sociale équivaut à une pièce d’identité. Il permet par exemple d’obtenir un crédit. S’ajoutent les arnaques sur les personnes en fin de vie, que les familles en cas de décès mettront du temps à découvrir. Dans ces conditions, la valeur des données de santé ne cesse d’augmenter au marché noir. Et d’attiser les convoitises. Au point que les menaces internes représentent une menace largement sous-estimée et potentiellement associée au Shadow IT.
Source : Etude « Cloud Adoption & Risk in Healthcare » de Skyhigh Networks Image d’entête 17434378 @ iStock min6939