image-Les enjeux cyber sécurité dans le secteur de la santé

Le secteur de la santé comme les autres secteurs se trouvent en stade de transformation digitale. Tous les services de santé d’admissions de patients à la gestion des prescriptions jusqu’au contrôle de l’environnement matériel sont considérés par le numérique et donc désormais exposés aux cyber risques. Le risque le plus important dans ce secteur est la perte, le vol ou la fuite des données personnelles qui sont considérées comme les plus sensibles aujourd’hui. Les cyberattaques de ransomware contre le groupe de santé allemand Fresenius en mai 2020 ou le vol de données de Doctolib en juillet 2020 — montrent que les risques sont bien présents dans le secteur.

Les données de santé font l’objet d’une protection renforcée, notamment sur le plan juridique. Dans l’Union européenne c’est le RGPD assure la protection des données personnelles et implique de protéger à la fois la confidentialité et l’intégrité des données sensibles.

La confidentialité des données implique:

Les services de santé en ligne : portails de résultats d’analyse, dossiers médicaux partagés, logiciels médicaux en ligne. Les interfaces web et les applications mobiles peuvent également constituer les points d’entrée les plus vulnérables.

Les dispositifs médicaux connectés: systèmes de télésurveillance, bracelets connectés, piluliers connectés. Les objets connectés représentent un vrai challenge de cybersécurité quand ils ne sont pas partagés. La prise de contrôle d’objets par des tiers non autorisés et les fuites de données constituent les menaces les plus inquiétantes.

Les systèmes d’information des hôpitaux : logiciels et serveurs utilisés en interne pour la gestion des patients, l’organisation interne et le stockage des informations. Le matériel « classique » connecté à un réseau local peut aussi entraîner des risques de prise de contrôle externe ou de fuites de données. Cela peut concerner des imprimantes/scanners, du matériel médical (des appareils de radiologie, des appareils utilisés pour des soins.

De nombreux types de failles permettent d’accéder aux données traitées par des applications web (des objets connectés, ou des infrastructures internes d’établissements de santé.

Les attaques par ransomware consistent à bloquer un système d’information afin de demander une rançon à ceux qui en sont victimes. D’autres types d’attaques peuvent entraîner l’indisponibilité d’un système d’information. Il existe différents types d’attaques DoS (déni de service) ou DDoS (déni de service distribué), qui peuvent cibler tous types de structures.

Pour prévenir tout type de failles de cybersécurité, afin d’obtenir la confiance des patients, des médecins et de la société, d’assurer la sécurité de données personnelles et l’intégrité de système d’information, il est nécessaire de suivre les pratiques suivantes :

  • Élaborer une stratégie de cybersécurité fondée sur une bonne connaissance des risques
  • Mettre en place les protections anti-malwares, restrictions des droits des utilisateurs aux outils les plus indispensables.
  • Effectuer régulièrement (1-2 fois par an) audit de sécurité : tester les protections mises en place, l’efficacité de la gestion des incidents, ainsi que le comportement des utilisateurs, en simulant une cyberattaque réaliste (test d’intrusion).
  • Sécuriser les portes d’entrée vers le SI et les différents types d’accès.
  • Configurer des objets connectés et la sécurité des réseaux auxquels les objets sont connectés.
  • Sensibiliser le personnel à la cybersécurité