Cas d’utilisation de
La santé
Pour la 11e année consécutive, le marché de la santé a les coûts moyens de violation de données les plus élevés
Les coûts des violations de données dans le secteur de la santé sont passés d’un montant total moyen de 7,13 millions de dollars en 2020 à 9,23 millions de dollars en 2021, soit une augmentation de 29,5 %
Une cible attrayante
Le secteur de la santé a été la cible de centaines de cyberattaques en 2021. La violation de données signale l’exposition de dizaines de millions de dossiers de santé à des parties non autorisées.
Les violations massives de données provoquent des attaques de rançongiciels. Les hôpitaux sont des cibles idéal car ils disposent de grandes quantités de données que les cybercriminels peuvent crypter et de faibles défenses pour prévenir des attaques. Les pirates ont tendance à attaquer le marché de la santé, car l’industrie traite des données sensibles jugées précieuses dans le monde des cybercriminels.
Une attaque de rançongiciel implique le piratage d’un réseau, le cryptage de ses données et la demande d’une rançon. Il est généralement payé avec une crypto-monnaie pour le déverrouiller.
On ne compte plus les attaques contre les hôpitaux, les mutuelles, les laboratoires pharmaceutiques et autres prestataires de services dans ce domaine, dans plusieurs pays:
- Utah Imaging Associates (UIA) : une violation de données a touché 582 170 personnes, exposant leurs informations personnelles.
- Des dossiers médicaux hautement confidentiels ont été divulgués, y compris des détails sur les avortements, les tests de dépistage du VIH et les problèmes de santé mentale après une cyberattaque subie par le NHS, le British National Health Service.
- Une attaque massive de rançongiciel a frappé neuf hôpitaux et établissements de santé en Israël, perturbant la continuité du service.
- Les pirates ont piraté le système de santé du Florida Department of Health (DOH-Broward), exposant des données sur plus de 1,3 million de personnes qui ont utilisé leurs services.
- Grupo Fleury au Brésil, cible d’une cyberattaque, provoquant une panne des systèmes pendant plusieurs jours, affectant clients et hôpitaux.
En plus de la fragilité de la sécurité de l’information dans le secteur de la santé, de nombreux événements ont leur origine dans les chaînes d’approvisionnement, montrant à quel point les hôpitaux et les organisations de santé sont vulnérables aux attaques de pirates. En ce qui concerne les cas ci-dessus, deux d’entre eux découlaient d’attaques de la chaîne d’approvisionnement :
- Stor-A-File, une société britannique de stockage de données dont les clients comprennent des cabinets médicaux, des fonds hospitaliers, des conseils locaux, des cabinets d’avocats et des comptables, a été à l’origine de l’attaque qui a entraîné une fuite de données du NHS.
- Dans le cas de DOH-Broward, les attaquants ont accédé aux réseaux informatiques par l’intermédiaire d’un fournisseur de soins médicaux tiers
Les réglementations peuvent aider, mais ne suffisent pas
Aux États-Unis, la règle de notification de violation en vertu de la loi HIPAA (Health Insurance Portability and Accountability Act) oblige les organismes de santé à divulguer une violation si elle affecte plus de 500 résidents d’un État ou d’une juridiction. Selon la HIPAA, on estime que 45 millions de dossiers de santé ont été exposés ou volés lors de violations signalées en 2021 seulement.
Un résident de Floride a déposé une plainte contre UF Health Central Florida après qu’une violation de données ait potentiellement exposé les informations de plus de 700 000 personnes. Il a accusé le système de ne pas protéger adéquatement les informations personnellement identifiables des utilisateurs du système de santé.
Les responsables informatiques affirment que la sécurité est une priorité absolue pour les organisations. Cependant, le niveau de menace a évolué et s’est intensifié, tout comme les méthodes utilisées et la sophistication des attaques des cybercriminels. Pourtant, de la part des conseils d’administration et des autres administrateurs, il existe toujours une compréhension que la sécurité signifie un coût et non un investissement qui pourrait empêcher ce type d’événement, garantissant la continuité des activités et protégeant les intérêts des actionnaires et des autres parties prenantes.
Les attaques de rançongiciel ont conduit les conseils d’administration et les dirigeants des hôpitaux à investir davantage dans les ressources humaines, augmentant ainsi le budget pour faire face aux défis de la cybersécurité. Le changement de mentalité en Sécurité de l’Information dans les Conseils, qui n’ont pas la même expérience dans la technologie que dans le domaine technique, évolue rapidement. Ce changement est dû aux fuites de données, aux scénarios de menace et à l’arrêt des opérations, compte tenu du potentiel de dommages causés par les attaques sur les dispositifs médicaux connectés à leurs réseaux.
De mars 2020 à septembre 2021, 82 % des hôpitaux ont subi des cyberattaques ciblant les appareils IdO. Même avec de faibles impacts, ces attaques peuvent être très destructrices. Les tendances récentes en matière de cyberattaques soulignent le besoin incontournable et urgent de renforcer les structures de cybersécurité dans les organisations de santé.
Ces menaces suggèrent une méthodologie de sécurité unifiée pour l’IT et l’OT. Il doit se défendre contre l’évolution des scénarios dangereux, y faire face et éliminer les points vulnérables.
Zero Trust : Pour élever la sécurité
L’adoption du concept d’architecture Zero Trust est une voie qui tend à générer des résultats positifs. Dans le concept Zero Trust, aucune confiance n’est supposée dans les réseaux, les appareils ou les utilisateurs, déployant une authentification permanente des utilisateurs en temps réel.
Une enquête menée par Symmetry Systems et Osterman Research a publié un rapport auprès de 125 décideurs informatiques et de sécurité dans des moyennes et grandes entreprises détaillant comment ils prévoient de déployer l’architecture Zero Trust : 53 % des personnes interrogées ont cité les rançongiciels comme leur motivation principale. Les dirigeants participant à l’enquête affirment qu’une architecture basée sur Zero Trust pourrait augmenter les protections de cybersécurité pour prévenir les violations de données jusqu’à 144 %.
La transformation numérique mise en évidence par l’hyper-connectivité due à l’augmentation du nombre d’appareils mobiles, de services nuage et de travail à distance remet en question le concept Zero Trust, augmentant sa complexité d’adoption.
Le cas brésilien
Les premières actions ciblent quelques méthodes usuelles pour mener une attaque. L’adoption de l’authentification sans mot de passe, garantissant la non-répudiation de l’utilisateur, évite une vulnérabilité de sécurité majeure : le vol d’identifiants par le biais d’attaques de phishing et de logiciels malveillants. Cette méthode permettra aux médecins, infirmières et autres professionnels de la santé d’accéder au portail Web de l’hôpital sans utiliser de mots de passe.
L’hôpital mettra en œuvre une méthode similaire afin que les patients puissent accéder à leurs examens à l’avenir, atténuant davantage les risques de sécurité et améliorant la convivialité, car il ne sera plus nécessaire d’utiliser des mots de passe.
En raison de ce scénario difficile, qui aura tendance à s’aggraver dans les années à venir, le plus grand hôpital du sud du Brésil a adopté Zero Trust.
Les professionnels de l’informatique accéderont aux actifs critiques (serveurs, sites Web, bases de données, services nuage, etc.) dans une interface unique et sécurisée. Les utilisateurs accèdent uniquement aux systèmes nécessaires pour mener à bien leurs activités et ils n’auront pas accès aux informations d’identification des systèmes. Cette solution évite d’accéder aux systèmes et appareils hors de la plateforme de gestion des actifs critiques. Dans une configuration de sécurité plus robuste pour les systèmes à haut degré de criticité, un accès exclusif via la plate-forme peut être configuré, empêchant ainsi d’autres types d’attaques telles que DDoS (déni de service distribué).
Tout accès aux systèmes, où qu’ils se trouvent (au bureau ou à distance), passe par un tunnel sécurisé. Il élimine un autre risque potentiel du VPN (Virtual Private Network), vulnérable et utilisé dans plusieurs attaques récentes. En outre, cela réduit la réduction des coûts par les frais généraux de la gestion VPN.
La plate-forme rend également possible la gestion du réseau OT, en particulier les nouveaux équipements et appareils IoT qui nécessitent une connexion Internet. Le traitement des données dans un système informatique critique devrait être le même que celui des équipements hospitaliers puisque, de plus en plus, ces deux mondes commencent à coexister pour répondre à la demande de transformation numérique à travers une plate-forme unique et intégrée, facilitant la gestion.
L’architecture Zero Trust ne se limite pas seulement aux employés hospitaliers mais également à toute la chaîne d’approvisionnement qui, d’une certaine manière, a besoin d’accéder aux systèmes informatiques et aux équipements hospitaliers. La chaîne constitue l’un des principaux problèmes, exposant à quel point leur réseau est vulnérable à ce stade.
En plus d’une sécurité robuste, le déploiement de l’architecture Zero Trust répond également à la conformité au règlement général sur la protection des données. Il audite chaque action via des journaux, un enregistrement de frappe et un enregistrement de session vidéo, permettant un suivi dans les systèmes d’entreprise.
Cybersécurité:
Un cycle continu
La promotion d’une culture de la cybersécurité, comme les implémentations techniques, n’a pas d’importance et ne peut être laissée uniquement à l’informatique, mais doit faire partie de la ligne directrice de l’organisation institutionnelle dans son ensemble et s’inscrire dans un cycle continu.
La loi générale sur la protection des données, dans ses lignes, a imposé un traitement et un stockage corrects des données sensibles, ce qui en a fait une tendance internationale. Cela augmente sans aucun doute la protection des données de santé.
Les hôpitaux enregistrent des informations sensibles dans des archives, des dossiers médicaux, des tests de laboratoire et d’imagerie et divers rapports, exigeant l’adoption de solutions de cybersécurité suffisamment robustes pour protéger les droits des patients et des autres parties intéressées, atténuant les risques associés à l’exécution de vos activités.
Dans les cas évoqués ci-dessus, où les violations et fuites de données contenaient des informations de ce type, on peut estimer le potentiel perturbateur – en termes financiers et de réputation – que leur utilisation abusive pourrait causer aux établissements de santé qui contrôlent ces données. Peu importe quand dans ses systèmes ou ceux des fournisseurs de services.
En outre, la loi générale sur la protection des données détermine les sanctions à l’encontre du responsable du traitement qui ne conserve pas correctement les données personnelles conformément à ses dispositions. Le règlement énumère les mesures punitives allant d’un avertissement à des sanctions jusqu’à l’arrêt obligatoire des activités de l’organisation qui viole ses commandements.
Ainsi, les organisations de santé doivent adhérer à des solutions qui empêchent les violations et les fuites de données. Une telle technologie devrait renforcer l’authentification des systèmes et des appareils, en protégeant les données des patients et leur flux.
Les soins de santé doivent adopter des mesures techniques et administratives conformes aux meilleures pratiques de sécurité de l’information, en utilisant le cryptage des données à la source, pour rester anonymes et renforcer la gouvernance des données favorisée par la loi générale sur la protection des données.
Les mesures techniques visent à préserver les opérations, à protéger les données et les services de santé, et à les adapter aux meilleures pratiques et aux politiques de sécurité de l’information. Il garantit également la conformité aux réglementations sur la protection des données personnelles, telles que la loi générale sur la protection des données et les récentes réglementations sur les données IdO aux États-Unis et au Royaume-Uni. Malheureusement, il n’y a pas de réglementation similaire au Brésil, mais cela devrait bientôt avoir lieu car la LGPD a suivi le GDPR.
Retour sur investissement avec Zero Trust
Réduire le risque de violation de données
Réduire le risque de violation de données peut atteindre jusqu’à 50 %.
Économie
Dans les moyennes et grandes entreprises, les économies peuvent atteindre 20 $ par employé et par mois. L’audit avancé peut réduire jusqu’à 25 %.
Efficacité
Les appels au support technique peuvent être réduits jusqu’à 50 %. L’agilité pour fournir une nouvelle infrastructure peut être réduite jusqu’à 80 %.
RGPD – Aperçu des amendes et pénalités
2020
€ 1.240.000
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l’information
2021
€ 107.000
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l’information
2022
€ 152.000
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l’information
Comment ça fonctionne?
1 Mettre fin à l’utilisation du mot de passe dans l’application mobile
2 Mettre fin à l’utilisation du login et du mot de passe sur le WEB
3 Validation des transactions par clé cryptographique
4 Chiffrement des données à la source
4 La transaction peut être signée avec la clé privée