Un examen approfondi des systèmes de dossiers médicaux électroniques (DME), qui sont au cœur de l'informatique de la santé moderne, est aujourd’hui indispensable. Puisque les DSE (Dossier de Santé Electronique) contiennent essentiellement les dossiers médicaux numérisés des patients, ceux-ci sont des cibles de choix pour les cyberattaques dans le domaine de la santé.
Les DME désignent une version numérique du dossier du patient, où on peut y retrouver ses antécédents médicaux, tests de laboratoires ou autres informations nécessaires au soin, figurant dans un système informatique. En revanche, le DSE contient davantage d’informations numériques et peut être transféré à l’extérieur des locaux de l’organisation, vers d’autres établissements de santé par exemple.
Digitalisation de la santé : risques croissants en matière de cybersécurité
De nombreuses organisations ont adopté des systèmes de dossier de santé électronique dans le cadre de la transformation numérique, afin de réduire les inefficacités et faciliter le partage des données. D’après une étude réalisée par Opinion Way, près de 60 % des Français estiment que la digitalisation de leurs données personnelles est une avancée positive. Si la numérisation améliore de nombreux processus et expériences, elle tend également à compliquer les systèmes informatiques. En effet, lorsque le système A est coupé du système B, les cliniciens peuvent perdre un temps précieux à reconstituer les antécédents médicaux du patient, les allergies médicamenteuses, ou bien les ordonnances.Les projets de transformation numérique peuvent également créer des lacunes en matière de sécurité, ce qui accroît les risques et la cyber-dette. D’après notre récente étude, les professionnels de la sécurité, tous secteurs confondus, reconnaissent à une grande majorité (79 %) que la sécurité est en retard sur les investissements dans les initiatives informatiques et numériques.
Ce même rapport a identifié l'escalade des privilèges comme le premier vecteur d'attaque pour les organismes de santé. En volant des identifiants par phishing, ingénierie sociale ou d'autres techniques, les cybercriminels peuvent compromettre ou abuser des identités, évaluer l’informatique des soins de santé et escalader les privilèges pour atteindre leur objectif : voler les données médicales ou les détenir contre rançon.
Simplifier les flux d'authentification des DSE pour améliorer les résultats des soins de santé
En revanche, pour les défenseurs, la confidentialité, l'intégrité et la disponibilité des données de santé sont plus importantes que jamais. Pour atteindre ces objectifs, l'authentification multi-facteurs (MFA) est une couche de sécurité cruciale.La plupart des organismes de santé disposent déjà d'une méthode d'authentification à deux ou plusieurs facteurs en raison des exigences de conformité réglementaire. Cependant, toutes les MFA ne se valent pas, et de nombreuses organisations utilisent des méthodes non sécurisées qui mettent en péril les systèmes de DSE et les données des patients. Une étude sur la cybersécurité récemment publiée par la Healthcare Information and Management society (HIMSS) révèle que 57,23 % des organismes de soins de santé utilisent encore des noms d'utilisateur et des mots de passe de base et 58,49 % utilisent l'authentification traditionnelle par SMS (connue pour faciliter les attaques par échange de cartes SIM). Tandis que seulement 9,43 % utilisent des systèmes d'authentification résistants au phishing (ou sans mot de passe), tels que FIDO, les codes QR, la biométrie ou les jetons physiques. Les chercheurs appellent à des mesures d'authentification plus robustes pour les soins de santé comme l’authentification multifactorielle sans mot de passe pour éviter les compromissions qui se produisent très souvent par ce biais.
En outre, la sécurité n'est pas le seul facteur en jeu. La facilité d'utilisation est tout aussi importante pour le personnel de santé dont le temps passé sur les tâches administratives doit être limité pour qu’ils puissent se consacrer pleinement à leurs patients. Se réauthentifier constamment dans les systèmes de DSE pour accéder aux données, saisir des informations et remplir des ordonnances n'est pas seulement chronophage, c'est aussi une source de distraction. Aux Etats-Unis, où cette pratique est plus répandue, une étude a récemment démontré que les DSE rendent les visites aux patients moins personnelles.
Il est également intéressant de noter que la même étude a révélé que la plupart des patients perçoivent les systèmes de DSE positivement (91 %). Cela suggère que de nombreux problèmes liés au DSE pourraient être résolus en facilitant la vie des praticiens, par exemple en leur donnant accès à tout ce dont ils ont besoin grâce à l'authentification unique. Les organisations de santé peuvent optimiser la technologie pour augmenter le temps passé entre les professionnels de santé et les patients par la simplification des workflows basés sur les DSE et la prise en compte des besoins des patients en matière de soins de santé.
Souffrant de graves pénuries de main-d'œuvre et d'épuisement professionnel, de nombreux professionnels quittent le secteur. L’Organisation Mondiale de la Santé estime qu'il manquera 10 millions de professionnels de la santé dans le monde d'ici à 2030. Il est donc impératif d'alléger les workloads des praticiens par tous les moyens possibles. La santé et l'avenir de ses systèmes en dépendent.
Par Ketty Cassamajor, Responsable avant-vente Europe chez CyberArk
