LA CYBERSÉCURITÉ DANS LES SOINS DE SANTÉ : LES MENACES ET LEUR PRÉVENTION

Protéger les patients aussi bien virtuellement qu'à l'hôpital

Le secteur des soins de santé a énormément bénéficié de l'utilisation généralisée d'Internet et d'ordinateurs médicaux spécialisés. Les dossiers médicaux électroniques, la télémédecine et les dispositifs de l'internet des objets (IdO) ne sont que quelques-uns des avantages dont bénéficient les hôpitaux et les cabinets médicaux à l'ère du numérique.

Malheureusement, toutes ces données transmises dans les deux sens entre les appareils électroniques de santé constituent une cible de choix pour les cybercriminels. Au 22 septembre 2023, le Bureau des droits civils du Département américain de la santé et des services sociaux avait enquêté sur 907 violations de données au cours des seuls 24 mois précédents. Chaque violation concernait au moins 500 personnes, la plus importante touchant plus de 11 millions de personnes. La cybersécurité dans le secteur de la santé n'est pas seulement l'affaire des équipes informatiques ; c'est une préoccupation essentielle pour tous les employés, à tous les niveaux du secteur.

Sensibilité des données dans le secteur de la santé

Les données relatives aux soins de santé, notamment les dossiers médicaux, les données personnelles et les informations relatives aux assurances, sont extrêmement sensibles et confidentielles :

Informations personnelles sur la santé (PHI) : les PHI comprennent des informations sur les antécédents médicaux, les diagnostics, les traitements et les prescriptions d'un individu. L'accès non autorisé à ces données peut conduire à une usurpation d'identité, à une fraude à l'assurance, voire mettre en danger la vie du patient si les dossiers médicaux sont modifiés ou utilisés à mauvais escient.

Informations financières : Les dossiers médicaux contiennent souvent des informations relatives à la facturation et à l'assurance, ce qui les rend attrayants pour les cybercriminels qui cherchent à en tirer un profit financier.

Une violation de données dans le secteur de la santé peut entraîner une perte de confiance entre les patients et les prestataires de soins. Les patients s'attendent à ce que leurs informations sensibles soient protégées, et les violations peuvent éroder la confiance dans les établissements de santé.

Principaux acteurs de la cybersécurité dans le secteur de la santé

De nombreux acteurs sont responsables de la cybersécurité dans le secteur de la santé, notamment les patients, les cadres dirigeants, les membres du personnel et les vendeurs/fournisseurs d'équipements. Toutes les parties doivent suivre les meilleures pratiques en matière de cybersécurité.

Les patients doivent savoir comment communiquer en toute sécurité avec leurs prestataires de soins. Ils doivent également comprendre les politiques de confidentialité et de sécurité et savoir comment protéger leurs informations personnelles. Cela est particulièrement important s'ils interagissent virtuellement avec leur prestataire, par exemple par l'intermédiaire de plateformes de télésanté.

Les cadres supérieurs définissent les politiques qui déterminent l'approche d'un organisme de santé en matière de cybersécurité. De nombreuses entreprises emploient désormais un responsable de la sécurité de l'information (CISO), au même titre qu'un directeur financier ou qu'un directeur du marketing. La responsabilité du RSSI est de se concentrer sur la stratégie globale de cybersécurité de l'entreprise, tandis que ses subordonnés l'exécutent.

Les employés des établissements de santé doivent comprendre les politiques de confidentialité et de sécurité de leur organisation. Ils doivent également se former régulièrement aux meilleures pratiques en matière de cybersécurité, être en mesure d'expliquer ces politiques aux patients et savoir ce qu'il faut faire en cas d'urgence liée à la cybersécurité.

Les vendeurs et les fournisseurs du marché doivent proposer des produits dotés d'options rigoureuses de cybersécurité et de protection de la vie privée. Étant donné que les fournisseurs disposent souvent d'informations d'identification ou de privilèges élevés dans plusieurs établissements de santé, ils doivent veiller tout particulièrement à ne pas être victimes d'une violation de données de leur côté, de peur que ces informations d'identification compromises ne soient utilisées contre leurs clients.

Menaces de cybersécurité courantes dans le secteur de la santé

Les cybercriminels disposent d'un arsenal de tactiques et d'outils pour s'introduire dans un réseau de santé et voler des données. Voici quelques-unes des façons dont un pirate peut cibler le réseau d'un organisme de santé.

Hameçonnage

L'hameçonnage consiste en des tentatives frauduleuses visant à tromper des personnes pour qu'elles révèlent des informations sensibles, telles que des identifiants de connexion ou des données personnelles, en se faisant passer pour des entités dignes de confiance que le destinataire connaît bien. Les cybercriminels utilisent souvent de faux courriels ou messages texte pour demander à la cible d'ouvrir un lien ou de télécharger un programme qui nécessite l'utilisation de ses identifiants de connexion ou d'autres informations personnelles qui seront ensuite utilisées à mauvais escient

Par exemple, un employé peut recevoir un courriel apparemment légitime lui demandant de mettre à jour ses identifiants de connexion et donner ainsi accès aux cybercriminels sans le savoir.

Le phishing est un type de cybercriminalité très répandu qui ne demande qu'un effort minime de la part du criminel et qui exploite l'un des maillons les plus faibles de tout système de sécurité : l'être humain. Il peut entraîner un accès non autorisé aux dossiers des patients, une fraude financière ou l'introduction de logiciels malveillants dans les systèmes de santé.

Les rançongiciels

Un ransomware est un logiciel malveillant qui crypte les données d'une organisation, les rendant inaccessibles jusqu'à ce qu'une rançon soit versée à l'attaquant. Les établissements de santé sont des cibles privilégiées en raison de la nature critique des données des patients.

Si la victime ne paie pas la rançon, les pirates téléchargeront souvent les données volées sur Internet ou désactiveront définitivement l'appareil dont ils ont pris le contrôle. Les attaques par ransomware compromettent la vie privée et la sécurité des patients et peuvent paralyser le système de l'établissement.

Rien qu'en 2022, le secteur de la santé a été la cible de 210 attaques de ransomware. L'une des plus importantes, qui visait CommonSpirit Health, a touché plus de 620 000 patients.

Attaques de l'homme du milieu (MITM)

Dans une attaque MITM, les cybercriminels interceptent les données transmises lorsqu'elles transitent par un réseau.

L'une des méthodes les plus simples consiste à ouvrir des points d'accès Wi-Fi dans un lieu public, tel qu'un hôpital. Ces points d'accès portent souvent le nom du lieu dans le réseau, mais sont en réalité gérés par des acteurs malveillants. D'autres techniques avancées consistent pour les criminels à imiter les adresses IP afin de rediriger les internautes vers leurs faux sites web plutôt que vers la destination prévue.

Quelles que soient leurs méthodes, si un attaquant de type Man-in-the-Middle (MITM) accède à vos messages, il peut essayer de les décrypter et de les lire. Une fois qu'il y est parvenu, l'attaquant peut utiliser les messages piratés pour procéder à une usurpation d'identité, perturber les opérations commerciales, voire pire, en fonction du contenu des messages interceptés.

Sécurité physique

Malgré la diversité des possibilités d'infiltration à distance, l'un des moyens les plus simples pour les pirates d'accéder à un réseau est de mettre la main sur un appareil utilisé dans ce réseau. Une fois l'appareil volé, les pirates peuvent l'utiliser pour accéder aux dossiers des patients, aux informations relatives à l'assurance, etc. Pire encore, comme ils utilisent un appareil enregistré sur le réseau, leurs actions ne seront pas signalées comme illégitimes avant qu'il ne soit trop tard pour les arrêter. C'est pourquoi les fonctions de sécurité, telles que le SSO et la RFID, qui ne permettent qu'au personnel autorisé d'utiliser les appareils d'un organisme de santé, sont si importantes.

Attaques par déni de service distribué (DDoS)

Une attaque DDoS consiste en un déluge de fausses demandes de connexion ciblant le même serveur. Le serveur ralentit ou tombe en panne car il s'efforce de répondre au nombre écrasant de demandes. Dans le secteur des soins de santé, cela peut rendre les ressources du réseau inutilisables et empêcher les prestataires de soins d'accéder aux dossiers médicaux des patients ou d'utiliser leur équipement.

Les attaques DDoS sont souvent utilisées en conjonction avec d'autres types de cybercriminalité. Par exemple, un appareil déjà compromis par un logiciel malveillant peut être utilisé dans le cadre d'une attaque DDoS sans que son propriétaire s'en rende compte.

Conséquences des atteintes à la sécurité des données dans le secteur de la santé

Les prestataires de soins de santé qui subissent une violation de données peuvent être confrontés à diverses conséquences douloureuses par la suite, allant de la perte financière aux répercussions réglementaires.

Inquiétudes quant à la protection de la vie privée des patients

La quantité d'informations privées qu'elles contiennent fait des données de santé une cible si tentante pour les criminels. Par exemple, les conditions médicales, les traitements et les détails d'identification personnelle, comme les coordonnées, le numéro de sécurité sociale et les informations financières, sont des données potentielles qui peuvent être compromises lors d'une violation.

Lorsque ces dossiers tombent entre de mauvaises mains à la suite d'une violation, il peut en résulter de graves problèmes de protection de la vie privée :

Le vol d'identité : Les cybercriminels peuvent utiliser les données volées d'un patient pour commettre une usurpation d'identité, ouvrir une ligne de crédit, obtenir des services médicaux ou se livrer à des activités frauduleuses sous le nom de la victime.

Stigmatisation : Les patients peuvent être victimes de stigmatisation sociale ou de discrimination si leurs antécédents médicaux, tels que les diagnostics de santé mentale ou les traitements de toxicomanie, sont rendus publics.

Détresse émotionnelle : Le fait de savoir que leurs informations de santé privées ont été compromises peut provoquer une détresse émotionnelle importante chez les patients, érodant la confiance dans les prestataires de soins et les institutions.

Impact sur les soins aux patients

Une violation de données peut avoir de graves conséquences, notamment la perte d'accès au réseau ou l'arrêt complet d'un appareil. Il peut en résulter des situations frustrantes, comme l'impossibilité d'accéder aux dossiers médicaux électroniques d'un patient ou, dans des cas extrêmes, l'arrêt sans préavis d'un équipement de maintien en vie.

Temps d'arrêt : Les attaques telles que les ransomwares peuvent entraîner des temps d'arrêt du système, empêchant les professionnels de santé d'accéder aux dossiers des patients et retardant les procédures médicales critiques.

Intégrité des données : Les violations peuvent compromettre l'intégrité des dossiers des patients, entraînant des décisions thérapeutiques erronées et des conséquences potentiellement néfastes pour les patients.

Perte de confiance : Les patients peuvent perdre confiance dans les prestataires de soins de santé et les institutions, ce qui les rend réticents à partager des informations sensibles ou à se faire soigner.

Détournement des ressources : La réponse aux incidents de cybersécurité détourne les ressources des soins aux patients, ce qui a un impact sur les opérations de soins de santé et la productivité du personnel.

Pertes financières

Les coûts de récupération des données, les frais juridiques et l'atteinte à la réputation portent le coût moyen d'une violation de données dans le secteur de la santé à environ 11 millions de dollars en 2023. C'est presque deux fois plus que le deuxième secteur le plus coûteux, le secteur financier, avec 5,9 millions de dollars par violation de données. Ce coût est dû à l'interruption de services vitaux que les hôpitaux ne peuvent pas se permettre de laisser s'arrêter, et à la prévalence des attaques de ransomware contre les prestataires de soins de santé.

Malheureusement, le nombre de violations de données et leurs coûts augmentent chaque année, car de plus en plus de cybercriminels reconnaissent que le secteur de la santé est une cible tentante.

Conséquences juridiques et réglementaires

Même après que la violation de données a été identifiée et scellée, les malheurs d'un prestataire de soins de santé ne font que commencer. Les données de santé des patients sont fortement réglementées, et si une entreprise ou un prestataire est jugé négligent dans la manière dont il stocke ou protège ces données, il peut être confronté à de lourdes répercussions juridiques. Les infractions à la loi HIPAA, par exemple, peuvent coûter entre 100 et 50 000 dollars par infraction. Les infractions particulièrement négligentes peuvent même entraîner des peines d'emprisonnement.

Les recours collectifs intentés par des particuliers constituent un autre problème. Par exemple, le Johns Hopkins Health System a récemment été poursuivi en justice après avoir été victime d'une violation de données. La plainte accuse Johns Hopkins d'avoir été au courant de l'existence d'une sécurité informatique "inférieure aux normes", mais de ne pas avoir agi et de ne pas avoir notifié rapidement les personnes touchées par la violation.

Bonnes pratiques en matière de cybersécurité dans le secteur de la santé

Les organismes de santé doivent donner la priorité aux meilleures pratiques en matière de cybersécurité afin d'atténuer les menaces et les conséquences.

Contrôle d'accès et authentification

Les ordinateurs médicaux mettent souvent en œuvre des méthodes de contrôle d'accès telles que des lecteurs RFID ou des cartes à puce pour garantir la sécurité physique. Les personnes qui tentent d'utiliser l'ordinateur sans disposer de l'identification appropriée sont bloquées. Même quelque chose d'aussi simple qu'un écran de confidentialité peut empêcher les regards indiscrets d'espionner un prestataire de soins de santé pendant qu'il entre son mot de passe.

Formation et sensibilisation des employés

Le type de cyberattaque le plus courant, l'hameçonnage, repose sur l'inconscience et la confiance excessive de la cible. Apprendre aux employés à reconnaître et à signaler les tactiques d'hameçonnage, ainsi qu'à utiliser correctement les filtres anti-spam, permet d'éviter les failles.

Une formation similaire pour une réaction rapide à une notification de violation, l'utilisation de l'authentification multifactorielle et d'autres principes de base de la cybersécurité peuvent contribuer grandement à la protection des organismes de soins de santé.

Chiffrement et protection des données

La mise en œuvre du cryptage des données sensibles est un élément essentiel de la cybersécurité. Ainsi, même si des acteurs malveillants parviennent à accéder à vos données, ils ne pourront rien en faire s'ils ne disposent pas des clés de décryptage. C'est pourquoi vous ne devriez utiliser que des tablettes et des ordinateurs médicaux équipés par défaut d'un logiciel de cryptage tel qu'Imprivata.

En outre, sauvegardez régulièrement les données et les systèmes de santé critiques pour garantir la récupération des données en cas d'incident.

L'internet des objets

Les hôpitaux modernes s'appuient de plus en plus sur des réseaux d'appareils sans fil qui interagissent entre eux dans le cadre d'un "Internet des objets" Par exemple, le moniteur de fréquence cardiaque d'un patient peut transmettre des informations sans fil à l'ordinateur d'un prestataire de soins pour une surveillance à distance.

Cependant, le problème de ces dispositifs est qu'ils ont souvent besoin d'une cybersécurité plus forte. C'est particulièrement vrai pour les anciens systèmes dont dépendent encore de nombreux hôpitaux. En connectant ces anciens appareils à un ordinateur médical plus moderne, un hôpital peut continuer à les utiliser tout en mettant en œuvre des mesures de cybersécurité plus modernes.

Réponse aux incidents et récupération

Si le pire se produit et que votre organisme de soins de santé est victime d'une violation de données, il est essentiel de savoir comment réagir. Considérez la réponse à un incident comme un plan d'évacuation en cas d'incendie, c'est-à-dire comme quelque chose de préparé, mis à jour et pour lequel on s'entraîne. Plus vite votre organisation sécurisera ses systèmes et corrigera les vulnérabilités, moins vous subirez de dommages.

Élaborez un plan complet de réponse aux incidents qui décrit les mesures à prendre en cas d'atteinte à la cybersécurité.

Testez et mettez à jour régulièrement le plan de réponse aux incidents pour vous assurer qu'il reste efficace.

Établir des protocoles de communication clairs pour informer les parties prenantes, y compris les patients et les autorités réglementaires, en cas de violation de données.

Prévenir les cyberattaques avec les bons ordinateurs médicaux

Le nombre de cyberattaques contre les établissements de santé et leur coût ne cessent d'augmenter. Les organismes de santé doivent faire de la cybersécurité une priorité absolue en raison des graves conséquences qu'elle entraîne.

Si votre organisation souhaite améliorer sa cybersécurité, pensez à la gamme d'ordinateurs médicaux spécialisés de Cybernet Manufacturing. En plus d'être conçus spécifiquement pour les environnements médicaux, nos ordinateurs intègrent de nombreuses fonctionnalités pour mieux se protéger contre les menaces de la cybercriminalité, comme le cryptage Imprivata et les scanners RFID pour verrouiller les accès non autorisés. Contactez nos experts dès aujourd'hui ; nous pouvons vous aider à choisir l'ordinateur médical adapté aux besoins de votre organisation.