Article
Gardien de la santé : Le paysage de la cybersécurité dans le secteur de la santé
Sécuriser les données des patients à l’ère numérique : Une plongée en profondeur dans la cybersécurité des soins de santé
21 Mars, 2024
La cybersécurité joue un rôle essentiel dans la protection des informations sensibles des patients et dans le renforcement de l’infrastructure numérique des systèmes de soins de santé.
L’intersection de la technologie et des soins de santé met en lumière l’importance primordiale de la cybersécurité.
Qu’il s’agisse des menaces croissantes ou des solutions innovantes et des meilleures pratiques, la cybersécurité est la gardienne de la santé, garantissant l’intégrité, la confidentialité et la disponibilité des informations sensibles dans les systèmes de soins de santé.
Les principaux points à aborder dans le cadre de la discussion sur la cybersécurité sont les suivants :
Pourquoi les soins de santé sont-ils vulnérables ?
Pourquoi les soins de santé sont-ils visés ?
Quelles sont les menaces et les conséquences qui pèsent actuellement sur les soins de santé ?
Quel est le rôle de la législation et des normes ?
Comment le secteur des soins de santé peut-il aller de l’avant ?
Pourquoi les soins de santé sont-ils vulnérables ?
La cybersécurité dans le secteur de la santé est confrontée à de nombreux défis qui contribuent à une vulnérabilité croissante au fil du temps. L’intégration croissante de la technologie, qui vise à améliorer les soins aux patients, se traduit par un réseau de plus en plus étendu d’appareils médicaux connectés. Malheureusement, ces appareils sont souvent facilement accessibles, ce qui accroît le risque que des attaquants potentiels trouvent des points d’entrée exploitables.
Un problème se pose lorsqu’un seul appareil compromis peut servir de passerelle (échappant aux pare-feu) vers des réseaux hospitaliers plus vastes. En outre, il s’écoule souvent un certain temps entre la survenue d’une attaque et la détection de la violation, ce qui accroît la vulnérabilité globale.
L’importance croissante accordée au bien-être des patients encourage une surveillance continue en dehors du cadre clinique, ce qui introduit une multitude d’appareils dans le paysage des soins de santé au sens large et accroît par conséquent le risque de failles de sécurité.
En outre, l’adoption généralisée d’appareils mobiles grand public, tels que les smartphones, rend plus complexe la protection des données de santé, car ces appareils à usage général présentent des risques inhérents.
Pourquoi les soins de santé sont-ils ciblés ?
Le secteur de la santé présente des faiblesses qui peuvent être exploitées, mais les attaquants ont besoin de motivation pour lancer des attaques. Les possibilités de gains politiques et financiers, ainsi que la possibilité d’assassiner des personnes par le biais de la cyberguerre, sont autant de sources de motivation. De toutes ces motivations, c’est le gain financier qui est le plus fort. Comparées à d’autres types de données, les données relatives aux soins de santé ont une valeur nettement plus élevée. Un jeu complet d’informations médicales, par exemple, peut coûter plus de 1 000 dollars sur le dark web.
Quelles sont les menaces et les conséquences qui pèsent actuellement sur les soins de santé ?
Depuis 2015, le piratage informatique est devenu le principal responsable des violations de données de santé, avec la complication supplémentaire des logiciels malveillants, y compris les ransomwares. Exploitant des mesures de sécurité insuffisantes, les pirates persistent à voler des dossiers médicaux, à entraver l’accès aux services de santé et à causer des dommages intentionnels.
Ces dernières années, le secteur des soins de santé a connu une augmentation significative de la fréquence et de l’ampleur des violations de données, entraînant des pertes financières, une atteinte à la réputation et une compromission de la sécurité des patients.
Si la cybersécurité n’est pas intégrée dès le début du cycle de vie d’un produit ou d’un projet, les risques associés à ces violations sont appelés à s’intensifier.
Quel est le rôle de la législation et des normes ?
Le règlement général sur la protection des données (RGPD) vise à harmoniser les lois sur la confidentialité des données à travers l’Europe, afin de se protéger contre les violations de la vie privée et des données. Le RGPD s’applique à toutes les données personnelles détenues par une organisation. Toutes les violations susceptibles d’entraîner un risque pour les droits et libertés des personnes doivent être signalées aux autorités chargées de la protection des données (DPA).
Les violations de données relatives à la santé entrent dans cette catégorie ; elles devront donc être signalées à l’autorité de protection des données dans les 72 heures suivant la violation. Le non-respect de cette obligation est passible d’amendes pouvant aller jusqu’à 20 millions d’euros. Parmi les autres changements, citons la nécessité pour tous les cabinets de soins de santé de disposer d’un délégué à la protection des données et l’introduction d’une législation supplémentaire en matière de “transparence et de traitement équitable” qui doit être incluse dans les avis de confidentialité des patients.
La législation augmente considérablement le coût des infractions (en raison des amendes appliquées) et peut contribuer à sensibiliser aux questions de protection de la vie privée et à la nécessité d’améliorer la cybersécurité.
Dans le cadre du système national de retrait des données, les patients doivent avoir la possibilité de refuser que leurs données personnelles soient partagées à des fins autres que les soins qui leur sont prodigués. En vertu du RGPD, toute demande de données émanant d’une organisation externe doit être formulée dans un langage clair et facilement accessible, y compris la raison pour laquelle les données sont demandées. Cela permettra aux cliniciens de respecter les préférences des patients en matière de données.
En ce qui concerne les dispositifs médicaux, la Food and Drug Administration (FDA) des États-Unis confie la responsabilité de la cybersécurité au fabricant du produit médical. La FDA a publié des lignes directrices préalables et postérieures à la mise sur le marché qui contiennent des recommandations pour la gestion des risques de cybersécurité des dispositifs médicaux tout au long du cycle de vie du produit. Il s’agit notamment d’encourager les gens à signaler les problèmes de cybersécurité et d’obliger les fabricants et les installations utilisatrices de dispositifs à signaler tout dysfonctionnement du dispositif s’il présente un risque pour la santé.
Comment le secteur des soins de santé peut-il aller de l’avant ?
Il n’existe pas de moyen efficace à 100 % pour prévenir toutes les atteintes à la cybersécurité, mais la cybersécurité doit faire partie du processus de gestion des risques et la cyber-résilience doit être assurée. La cyber-résilience est une vision holistique du risque cybernétique, qui tient compte de la culture, des personnes et des processus, ainsi que de la technologie.
Plusieurs facteurs ont été identifiés pour réduire les risques (cliquez sur chaque facteur pour en savoir plus) :
Une cyber-hygiène de base doit être maintenue, voir les 10 étapes du Centre national de cybersécurité. Cela inclut des sauvegardes régulières et sécurisées (essentielles pour maintenir la résilience et être en mesure de récupérer rapidement en cas d’attaque) et la mise à jour des logiciels pour s’assurer que les correctifs de sécurité sont en place. La confidentialité doit être maintenue.
La sécurité doit être au cœur du cycle de vie du produit. Pour ce faire, il convient d’examiner dès le départ les compromis entre la sécurité et les autres exigences. Des incitations appropriées devraient garantir que les futurs dispositifs et réseaux soient dotés d’une sécurité solide dès le départ et qu’ils ne soient pas ajoutés ultérieurement comme des “boulons”.
Cette démarche pourrait s’appuyer sur des normes de sécurité pour la gestion de l’information, qui tiennent compte du contexte unique des soins de santé, qui tend à privilégier la disponibilité par rapport à la confidentialité. Toute norme, réglementation ou règle doit alléger les contraintes et empêcher le personnel d’être tenté de recourir à des solutions de contournement peu sûres.
La cybersécurité doit être un élément clé de la culture des soins aux patients, car les processus non sécurisés doivent être remplacés par des approches plus sûres et plus substantielles. Cela signifie qu’il ne suffit pas d’être perçu comme étant sécurisé (par exemple pour se conformer à la réglementation), mais qu’il faut intégrer la sécurité dans la culture.
Une culture de la sécurité efficace a le potentiel d’améliorer les employés en agissant comme un “pare-feu humain” qui peut aider à protéger les actifs électroniques. Cela implique que le personnel ne soit pas connecté en tant qu’administrateur de domaine, que les identifiants de connexion ne soient pas partagés et que le personnel soit régulièrement formé pour communiquer les risques présentés par les comportements non sécurisés et la manière dont la sécurité peut être atteinte sans compromettre les soins aux patients.
Il est possible que des identifiants de sécurité plus sophistiqués (par exemple, imagerie rétinienne, empreintes digitales, identification faciale) soient utilisés pour empêcher le partage des identifiants et des mots de passe.
Conclusions
La cybersécurité est un élément essentiel du maintien de la sécurité, de la confidentialité et de la confiance des patients. Il faut investir davantage d’argent et d’efforts pour garantir la sécurité des technologies de santé et des informations sur les patients. La sécurité doit être intégrée au produit dès sa conception et ne doit pas être envisagée après coup. La cybersécurité doit faire partie de la culture des soins aux patients.
Dans le cadre du dialogue sur les risques dans le secteur des soins de santé, de nombreux arguments peuvent être avancés en faveur de nombreuses solutions. L’augmentation du budget, le contrôle des informations d’identification compromises et la formation de l’ensemble du personnel à la sensibilisation à la sécurité en font partie.
Le filtrage des données d’identification est peut-être le plus efficace parce qu’il protège à la fois les utilisateurs et les organisations, et parce que les données d’identification compromises sont à l’origine de nombreux problèmes de sécurité, qu’il s’agisse d’attaques sous forme de courriels d’hameçonnage ou d’attaques par force brute.
Le filtrage des identifiants serait également très efficace pour les organismes de soins de santé, car il permettrait de filtrer les mots de passe des employés en continu, sans modifier l’interface utilisateur. Cela renforcerait la cybersécurité globale du système, tout en permettant aux professionnels de la santé de se concentrer sur les soins aux patients.
