Privilégier la sécurité et la conformité dans la santé

Parallèlement à la rapide évolution des technologies médicales — des applications cloud aux appareils compatibles avec l’Internet des Objets (IoT) et à la télémédecine —, l’utilisation croissante des données numériques personnelles relatives à la santé (ePHI) [(electronic protected health information) : numéros de sécurité sociale, d’identification médicale, de carte de crédit ou de permis de conduire ; adresses de domicile, numéros de téléphone, dossiers médicaux et autres données sensibles] a mené à la création de réseaux de prestation de soins d’une grande complexité qui constituent des cibles extrêmement intéressantes pour les cyberattaquants.
Confrontés à l’utilisation de logiciels obsolètes dépourvus d’assistance technique, à une pénurie massive de compétences en cybersécurité et à l’évolution rapide de la technologie, les hôpitaux et les systèmes de santé sont particulièrement vulnérables aux demandes de rançons et aux dangers qui pèsent en interne sur les informations ePHI — qu’il s’agisse de menaces malveillantes ou provoquées par des erreurs humaines. Par ailleurs, les réglementations applicables à ces informations électroniques, telles que les lois HIPAA/HITECH aux États-Unis ou le règlement RGPD en Europe, sont de plus en plus strictes, et la non-conformité induit des sanctions de plus en plus sévères, notamment en ce qui concerne la gestion des accès à privilèges.
Dans le domaine de la santé, les vecteurs d’attaque sont variés. S’agissant des accès à privilèges, il convient de tenir compte des multiples points d’accès humains (y compris des personnes disposant de droits d’administrateur) et non humains, à savoir les applications et les appareils médicaux qui interagissent avec les systèmes essentiels et sont au cœur de processus fondamentaux, tels que l’intégration des données de diagnostics des patients à partir de services tiers, ou les demandes de remboursement par un organisme payeur. La gestion de l’accès aux comptes à privilèges, aux identifiants et aux secrets constitue un moyen efficace de limiter les possibilités qui s’offrent à un intrus profitant d’une faille de sécurité. La mise en œuvre de mesures de protection au niveau des accès administrateurs limite la capacité des attaquants à escalader les privilèges et à se déplacer latéralement pour accéder aux systèmes sensibles.
Dans un environnement où les enjeux sont particulièrement élevés, une bonne hygiène en matière de cybersécurité constitue une nécessité absolue, à commencer par la gestion efficace des accès à privilèges.
L’environnement actuel des soins de santé
Si elle introduit en permanence des technologies originales qui améliorent les soins dispensés aux patients, l’innovation n’en représente pas moins une source de risques potentielle pour les établissements hospitaliers. En effet, les informations ePHI étant disséminées aux quatre coins de vastes réseaux d’appareils de surveillance des patients, ainsi que dans des terminaux mobiles utilisés par les employés et des portails Web accessibles en libre-service par les patients, les risques encourus par les prestataires de santé ne cessent d’évoluer. Seules les entreprises qui adoptent une approche holistique pour sécuriser leur environnement — y compris pour contrôler de façon efficace leurs accès à privilèges — parviendront à minimiser le risque d’être confrontées à une cyber-catastrophe.
En outre, la construction d’une forteresse censée protéger le périmètre d’une entreprise représente une approche obsolète de la sécurité. Selon le rapport Global Advanced Threat Landscape Report 2018 de CyberArk, 52 % des décideurs IT du secteur la santé se déclarent incapables d’empêcher les attaquants de pénétrer à l’intérieur de leur réseau, tandis que 59 % sont convaincus que les informations personnelles identifiables (IPI) de leurs clients pourraient être exposées à certains dangers. C’est pourquoi ces organisations doivent partir du principe qu’une brèche de sécurité va se produire et, dans cette optique, déployer des outils de sécurité qui empêcheront les attaquants d’accéder à leurs systèmes sensibles.
Des réglementations plus strictes et des sanctions plus lourdes
Alors que les demandes de rançons et autres cyberattaques sont de plus en plus courantes, les services informatiques doivent faire face à des environnements réglementaires de plus en plus stricts. Une politique de sécurité robuste basée sur les accès à privilèges permet aux prestataires de santé de démontrer leur conformité à ces réglementations et ainsi d’éviter des pénalités financières. Bien sûr, l’inverse est également vrai. L’année dernière par exemple, le groupe de santé Memorial Healthcare Systems (MHS) basé en Floride a dû verser 5,5 millions de dollars au ministère américain de la Santé et des Services sociaux (HHS) pour violation des règles HIPAA/HITECH. Cette amende a été infligée à ce prestataire de santé pour avoir omis d’examiner les contrôles d’accès et ses journaux d’audit, un manquement qui a permis à certains employés non autorisés d’accéder à des informations confidentielles en partageant des identifiants de connexion.
Au-delà de ces pénalités « réglementaires », les entreprises doivent également supporter des coûts opérationnels importants en cas de faille de données. Une étude du cabinet Ponemon révèle ainsi qu’une atteinte à la protection des données dans le domaine de la santé coûte en moyenne 380 dollars par dossier, soit plus de 2,5 fois la moyenne industrielle.
Pour démontrer leur conformité aux normes HIPAA/HITECH, au RGPD et aux autres réglementations en vigueur dans ce secteur, les prestataires de soins de santé doivent pouvoir accéder à des preuves documentées et vérifiables : des mesures prises pour protéger les accès à privilèges. Les pistes d’audit requièrent une solution capable de surveiller, d’enregistrer et d’isoler la totalité des sessions ouvertes par les utilisateurs à privilèges, les rapports d’activité détaillés concernant les bases de données et les applications ePHI critiques, les journaux d’audit entièrement consultables, ainsi que la protection complète des données des pistes d’audit.
Protéger les investissements consacrés au réseau de prestation de soins intégré
Les entreprises doivent gérer leurs privilèges pour se protéger de manière proactive contre les attaques en cours en les détectant et les stoppant avant que les attaquants n’infectent leurs systèmes et leurs données critiques. Mais gérer les privilèges ne signifie pas les refuser. A contrario, il s’agit de contrôler qui peut accéder à quoi et pourquoi. La gestion des accès à privilèges s’inscrit dans le cadre d’une approche élémentaire de la cyber-hygiène, et peut avoir un impact positif considérable sur la stratégie de sécurité et les mesures de mise en conformité prises par les entreprises.
Les systèmes des organismes de santé sont en effet essentiels pour les soins des patients. La sécurité des accès à privilèges marque une première étape essentielle vers la maturation de la cybersécurité dans le domaine de la santé et à ce titre, elle doit revêtir une priorité absolue. Des identifiants ou des applications infectés peuvent exposer des informations personnelles identifiables (IPI) et des informations de santé confidentielles et/ou provoquer des pannes au sein des systèmes de soins. Protéger leurs accès à privilèges est ainsi indispensable à la compréhension des risques encourus, et permet de prendre les mesures appropriées pour renforcer le niveau de sécurité.