Comment protéger le cloud des établissements de santé

Secteur de la santé & cyberattaques

Selon les conclusions de notre dernier rapport sur la sécurité des données dans le cloud, 73 % des organismes de soins de santé et des établissements médicaux stockent des données sensibles dans le cloud. Il s’agit généralement d’informations confidentielles, relatives aux patients ou à leur santé (45 %). Ce phénomène ne fait d’ailleurs que s’accentuer, puisque ces organisations prévoient d’augmenter la part de leur workload dans le cloud de 38 % à 54 % d’ici à la fin de 2023.

Or, ce rapport révèle également que 61 % des établissements de soins et de santé ont subi au moins une attaque contre leur infrastructure cloud au cours de l’année écoulée, un taux qui semble appelé à augmenter compte tenu de l’évolution du paysage des cybermenaces. En outre, seuls 14 % des établissements interrogés ayant subi une attaque affirment n’avoir pas souffert de conséquences significatives ; les 86 % restants ont fait face à des dépenses supplémentaires, notamment pour combler leurs lacunes en matière de sécurité ou s’acquitter d’amendes pour non-conformité.

La majorité de ces campagnes malveillantes visant ces établissements reposent sur le phishing, les ransomwares ou les malwares, ainsi que les compromissions de comptes. Ces dernières semblent particulièrement difficiles à détecter, puisqu’elles sont restées inaperçues pendant plusieurs jours dans 20 % des établissements interrogés, voire plusieurs semaines dans 7 % d’entre eux. Pour ce faire, les cybercriminels utilisent généralement deux vecteurs d’attaques principaux : le premier consiste à voler les identifiants de connexion mal sécurisés d’un employé (son nom d’utilisateur et son mot de passe, par exemple), pour accéder à l’infrastructure cloud de leur cible ; le second est de convaincre un utilisateur de cliquer sur un lien de site web frauduleux, ou sur une pièce jointe d’email, afin de déployer un malware.

Les responsables informatiques œuvrant au sein du secteur de la santé doivent donc se pencher sur la sécurisation du cloud, en particulier au vu du manque de précaution caractéristique des utilisateurs externes et tiers. De fait, 48 % des organismes de santé considèrent que leur principal risque de sécurité vient de leurs sous-traitants et partenaires ayant un accès légitime à leurs données dans le cloud.

Faire face aux risques

Pour 69 % des dirigeants du secteur de la santé, le cloud permet de réduire les coûts ; tandis que 55 % y voient un moyen d’améliorer leur cybersécurité. Par ailleurs, 33 % mentionnent l’adoption d’une infrastructure informatique dématérialisée comme une mesure facilitant le télétravail et le travail hybride. Soucieuses de réduire les risques liés aux nouvelles menaces en ligne, certaines organisations ont déjà pris des mesures pour améliorer leur dispositif de sécurité dans le cloud. À titre préventif, 73 % des établissements de santé ont notamment choisi d’utiliser le chiffrement, 66 % ont mis en place des solutions d’authentification multifactorielle (MFA) et 61 % des formations internes pour sensibiliser leurs employés aux stratégies des cybercriminels.

La meilleure façon de renforcer l’ensemble des mesures de sécurité, et de réduire la surface d’attaque effective, consiste à supprimer tout privilège permanent. Une telle politique garantit en effet que les utilisateurs et machines fournissent leurs identifiants à chaque connexion aux ressources de l’organisation. Il est ainsi bien moins facile aux utilisateurs non autorisés de se déplacer dans l’infrastructure ciblée jusqu’à ses données les plus sensibles. Une telle approche peut être gérée en continu via un processus automatisé selon lequel toute demande d’accès à des bases de données fait l’objet d’une vérification. Ce principe est particulièrement important pour les comptes à hauts privilèges, permettant d’obtenir des ressources plus sensibles que les comptes ordinaires.

Dans le cadre des bonnes pratiques, les responsables de ce secteur doivent commencer par optimiser leurs sauvegardes, afin que les données les plus importantes puissent être restaurées rapidement après une attaque ou une violation d’accès ; par exemple, en donnant la priorité aux données à caractère personnel des clients, des employés et aux informations financières de l’entreprise. En outre, si un incident survient, il est important de ne restaurer que les fichiers compromis. Une telle approche permet de réduire les interruptions de service en allégeant et en accélérant les opérations de restauration. À cette fin, il faut tout d’abord déterminer quelles sont les données essentielles et où elles se trouvent exactement dans le cloud. Les outils automatisés de classification peuvent fournir une visibilité complète sur le stockage des données et aider à identifier ce qui est le plus urgent (à la fois dans le cloud et sur site). De fait, 64 % des personnes interrogées dans le cadre de notre enquête prévoient de mettre en œuvre la classification des données comme mesure de protection pour le cloud.

Enfin, les organismes de santé devraient accorder une attention particulière aux appareils et systèmes connectés. Ceux-ci sont souvent vulnérables, surtout quand leurs configurations de sécurité par défaut n’ont pas été modifiées. La segmentation du réseau permet donc d’éviter qu’un appareil compromis n’affecte l’ensemble du système. Les équipes informatiques doivent également limiter strictement les humains et machines autorisés à accéder à des données et systèmes spécifiques, selon le principe du moindre privilège, et réévaluer régulièrement les droits d’accès accordés.

Les enjeux de sécurisation du cloud ne cessent d’évoluer et les mesures de protection adoptées par le secteur de la santé ne peuvent pas se permettre de ne pas s’aligner au niveau des cyber-risques. La sécurité des données des patients étant menacée, de nombreux établissements médicaux et de soins de santé prennent déjà des mesures proactives pour renforcer les fondamentaux de leur sécurité dans le cloud. Ces efforts sont en cours, et il reste encore beaucoup de chemin à parcourir avant que le secteur ne parvienne à déjouer les menaces sophistiquées. Ce n’est qu’avec une détection en temps réel, des plans de remédiation efficaces et une formation généralisée à la cybersécurité, que le secteur de la santé pourra se défendre avec succès contre les risques ciblant ses systèmes informatiques.