Les conclusions du premier rapport « Data Risk Report », de Varonis, consacré au secteur de la santé, pharmacie et biotechnologie sont inquiétantes : trop de données sensibles sont accessibles sans réelle sécurité…
Pour cette enquête, Varonis a analysé environ 3 milliards de fichiers (de ses clients) dans 58 organismes de santé, notamment en France. Le paradoxe constaté par Varonis est étonnant : comparés aux services financiers financiers, les établissements de santé ont 75 % de données en moins.
Mais ces derniers ont un plus grand nombre de fichiers accessibles à chaque employé :
- En moyenne, un nouvel employé dans le secteur de la santé a accès à 31 000 fichiers sensibles dès son premier jour de travail
- Près de 20 % des fichiers sont accessibles à tous les employés des établissements de santé (en moyenne)
- 31 000 fichiers sensibles (HIPAA + financiers + recherches exclusives) sont accessibles à l’ensemble des employés des organismes de santé (hôpitaux, établissements pharmaceutiques, et entreprises de biotechnologie)
- Plus de 50 % des établissements ont plus de 1 000 fichiers sensibles accessibles à tous les employés
- Environ deux tiers des entreprises ont plus de 500 comptes avec des mots de passe qui n'expirent jamais.
D’autres chiffres donnent le tournis : en moyenne, chaque employé a accès à plus de 11 millions de fichiers, soit près de 20 % de l'ensemble des fichiers de son entreprise. Dans les petites et moyennes entreprises, ils ont un accès illimité à près d'un fichier sur quatre.
Ces résultats soulignent que les accès aux données sensibles au sein des organismes de santé sont très peu limités, et qu’une partie de ces informations est même en accès libre à l’ensemble des employés…
Concrètement, cela expose fortement ces établissements au vol de données, par de la malveillance interne ou externe, et bien entendu à une non-conformité aux réglementations telles que le RGPD et celles spécifiques à ce secteur.
Or, ce secteur « est terriblement mal préparé aux cyberattaques. À peine 23 % des organismes de santé ont entièrement déployé l'automatisation de la sécurité.
Le résultat est un cycle de vie moyen des violations de 329 jours, le plus élevé de tous les secteurs d'activité et un coût moyen des violations de données de 7,13 millions de dollars en 2020, soit une augmentation de 10,5 % par rapport à 2019 », lit-on dans ce rapport.