Récemment, la mutuelle nationale des hospitaliers a révélé être visée par une cyberattaque. Il s'agit du dernier événement d'une longue série de campagnes malveillantes contre le secteur de la santé. En effet, ces organisations collectent et stockent de grandes quantités d'informations à caractère personnel et de santé. Ces données ont une forte valeur marchande sur le dark net, ce qui fait des hôpitaux, des centres médicaux et autres établissements de santé, une cible attrayante pour les cyberattaques. Par conséquent, assurer la sécurité des données est la priorité absolue de ces établissements, grâce à une confidentialité, une intégrité et une disponibilité adéquates des informations électroniques.
Surveiller les comptes et accès
Un mauvais contrôle des comptes utilisateurs et des ordinateurs est la première tâche à laquelle s’attaquer, afin de réduire l'exposition des dossiers de santé de grande valeur aux menaces avancées actuelles. Les organisations doivent donc avoir des rapports à leur disposition, fournissant le nombre total de comptes existants et spécifiant des détails clés - comme les accès, le statut, la dernière heure de connexion- et être en mesure de vérifier l'état des comptes utilisateurs, ainsi que l’historique des activités. En outre, il est essentiel de pouvoir trouver et analyser rapidement tous les comptes inactifs, verrouillés et obsolètes, et de repérer les abus de compte potentiels et les violations des règles.
Garantir un accès approprié aux données est une autre «règle d'or», qui contribue à protéger les dossiers de santé numériques sensibles. Bien qu’il existe des raisons légitimes pour modifier les droits d’accès, telles que l’évolution du rôle des employés, d’autres changements peuvent signaler une tentative illicite d’améliorer les privilèges d’un utilisateur. En effet, certaines modifications signalent une menace très probable pour la sécurité des données sensibles. En particulier, il est inhabituel qu'un compte utilisateur doté de privilèges élevés soit supprimé peu de temps après sa création; cela peut indiquer qu’un employé non autorisé, ou une personne extérieure à l’organisation, essaye d'obtenir des privilèges étendus et de couvrir ses traces. Des autorisations d'accès excessives exposent en effet les données des patients à un risque accru de divulgation ou de destruction. Il est donc recommandé de mettre en place la stratégie du moindre privilège, avec une séparation des rôles appropriée et des attributions d'autorisations temporaires, et de faciliter l’identification d'utilisateurs avec des autorisations qui ne sont pas pertinentes pour leurs activités.
En outre, la protection des actifs contenant des dossiers médicaux sensibles nécessite un examen régulier du niveau d'autorisations accordé: qui peut accéder à ces données, quelles autorisations ces utilisateurs ont, et si leurs droits d'accès ont été explicitement attribués. Certains événements de connexion nécessitent également une vigilance constante. Ainsi, les ouvertures de session à des horaires inhabituels, plusieurs connexions pendant une courte période ou à partir de nouveaux points de terminaison, et les échecs répétés de tentatives de connexion, sont des signaux d'alarme pouvant indiquer une activité malveillante des employés, une usurpation d'identité ou des tentatives d'intrusion de robots.
Enquêter sur les événements
Une réponse efficace et rapide à une menace ou à un incident nécessite d'être en mesure de mener rapidement une enquête approfondie et d'établir la responsabilité potentielle des utilisateurs. Les équipes de sécurité doivent donc être en mesure de naviguer facilement à travers une multitude de données d'audit pour trouver les informations spécifiques dont elles ont besoin. Ces informations doivent être crédibles et cohérentes, et lier toutes les preuves en un tout pertinent, afin que les équipes informatiques puissent reconstruire les événements contextuels et déterminer si un problème particulier est une attaque malveillante ou une simple erreur. Ainsi, elles pourront traiter rapidement tout incident, appliquer les règles de sécurité et tenir les individus responsables de leurs actions. La sécurisation des données des patients nécessite en effet de responsabiliser les médecins, les sous-traitants, les partenaires commerciaux et le personnel IT de leurs actions, afin de dissuader les activités internes sciemment malveillante ou les mauvaises habitudes, de détecter les actions non autorisées et d'améliorer la responsabilité.
Réussir les audits de conformité
Toute organisation qui gère des informations personnellement identifiables ou de santé doit se conformer à de nombreuses lois et réglementations. L'échec des audits entraîne généralement de lourdes amendes et une atteinte à la réputation de l'organismes. Les auto-évaluations internes sont une première étape judicieuse, mais prouver la conformité n'est jamais facile. Les auditeurs sont rarement satisfaits de voir simplement ce que promettent les règlesmises en place ; ils ont généralement des attentes et des bases de référence spécifiques qui se traduisent par une réponse concrète en action. En d'autres termes, réussir les audits nécessite d'être en mesure de démontrer l'efficacité des mesures de sécurité en vigueur. Grâce à des rapports de conformité détaillés et continus, les établissements de santé cochent de nombreuses cases dans les listes d'auditeurs, en permettant la vigilance requise pour gérer les risques liés aux informations de santé personnelles sensibles. En conséquence, les équipes de sécurité travaillent beaucoup plus efficacement, à la fois avant et pendant les évaluations, ce qui se traduit par des contrôles plus rapides et moins pénibles et, au final, des notes améliorées avec les régulateurs. Il est également important de démontrer aux auditeurs que les employés chargés de la cybersécurité se tiennent régulièrement informés des menaces potentielles et déploient des stratégies en place pour y faire face.
Assurer la sécurité d’une organisation de santé, et des données de ses patients, n’a jamais été plus important ni plus difficile. Ces organismes sont confrontés à des cybermenaces de plus en plus fréquentes et sophistiquées, et doivent régulièrement démontrer leur conformité à un large éventail de réglementations complexes. Certains ont déjà déployé la bonne stratégie pour minimiser les risques pour leurs informations sensibles et pour réussir les audits réglementaires. Pour ce faire, ces organisations ont déployé les outils adéquats pour collecter et consolider les données d'audit de tous les systèmes critiques sur les réseaux, à la fois sur site et dans le cloud ; et peuvent donc facilement détecter les vulnérabilités ainsi que les menaces en cours, pour réagir rapidement et efficacement le cas échéant. En outre, il est essentiel de réduire le temps et les efforts nécessaires pour se préparer aux audits de conformité réglementaire, afin de les réussir facilement.
Par Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix
