Au cours de la dernière décennie, les organismes de soins de santé ont intégré des outils numériques pour accroître l’accès aux données et leur interopérabilité afin d’améliorer la santé des patients. Dans le cadre de cette transformation numérique, il est nécessaire de faire évoluer les attentes minimales fondamentales en matière de sécurité et de confidentialité des données de santé. La protection de ces dernières est notamment légiférée au sein de l’Union Européenne depuis l’entrée en vigueur du RGPD en 2018.
Données de santé et conséquences possible d’une compromission
Selon ce règlement européen, les données de santé rassemblent toutes les informations relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique - y compris la prestation de services de soins de santé - qui révèlent des informations sur l’état de santé de cette personne. Il est donc de la responsabilité des professionnels et des organismes de santé de protéger désormais les données des patients contre des accès non autorisés ou illicites, ainsi que contre la perte, la destruction ou les dégâts d’origine accidentelle. Or, de nombreux organismes de santé continuent à utiliser des mots de passe pour accéder à ces données de santé. Seulement, ce type d’authentification ne constitue plus une mesure de sécurité adaptée, compte tenu de la sophistication des cybermenaces et des attaques répétées contre le secteur de la santé.
Les violations de données entrainent en effet des conséquences pécuniaires élevées, et le secteur de la santé est exposé au coût moyen le plus élevé par compromission, soit 7,13 millions de dollars. Et ce coût ne reflète pas l’impact pour un hôpital qu’une panne informatique, ou un ransomware, peut avoir sur les soins prodigués aux patients du fait d’un arrêt des soins. Dans le secteur pharmaceutique, la perte de propriété intellectuelle peut également avoir une incidence directe sur la compétitivité et faire reculer la R&D de plusieurs années.
Un paysage de cyberattaques en évolution
La pandémie de COVID-19 a soumis ces organismes à une pression accrue dans leurs activités quotidiennes, et ont constaté en parallèle une augmentation des cyberattaques, en particulier de ransomware. Les cybercriminels ont en effet bien conscience que les hôpitaux, notamment, doivent maintenir une continuité des soins et sont par conséquent plus enclins à payer rapidement une rançon pour pouvoir continuer à prendre en charge et soigner les patients. De plus, la transition vers le travail à distance a fait apparaître de nouvelles vulnérabilités ; notamment les réseaux domestiques non sécurisés, les appareils dépourvus de correctifs ou partagés, et les mots de passe faibles ou réutilisés. En 2020, selon Bitglass, il y aurait eu 239,4 millions de tentatives d’attaques visant le secteur de la santé. Les hackers ont donc redoublé d’effort pour tirer profit de ces vulnérabilités.
La supply chain représente désormais un risque accru et est un vecteur d’attaque privilégié par les hackers. En 2020, une campagne malveillante massive a infiltré des milliers d’organisations à travers le monde, y compris des hôpitaux, notamment en créant une porte dérobée dans le logiciel SolarWinds ; exposant ainsi l’impact potentiel d’une attaque contre une supply chain vulnérable. Cette attaque est passée inaperçue pendant des mois, car les hackers ont utilisé la chaîne d’approvisionnement pour se déplacer latéralement entre les systèmes et escalader en privilèges. De plus, elle se serait appuyée sur une utilisation abusive des outils de gestion des identités et des accès (IAM) ; tels que les systèmes d’authentification unique, les systèmes de connexion au réseau, les systèmes de fédération SAML/OAuth/OIDC, pour ne citer qu’eux.
Contrer les menaces
Les cyberattaques se présentent sous de nombreuses formes, depuis des logiciels malveillants et les attaques DDoS, jusqu’au phishing et aux ransomwares. La majorité des campagnes malveillantes reposent sur l’obtention d’identifiants, de clés et de secrets. Une fois que le cybercriminel parvient à obtenir un accès initial à l’environnement de sa cible, il diversifie en effet ses accès afin de maintenir une emprise durable. L’authentification est par conséquent une couche de sécurité clé. L’authentification multi-facteur est ainsi adéquate pour faire face aux cybermenaces, en renforçant l’accès aux données et en contenant les déplacements des cybercriminels au sein du réseau IT.
Cependant, l’authentification forte peut poser des difficultés aux organismes de soins de santé. Malgré les pressions réglementaires et internes qui sont exercées pour protéger la confidentialité et la sécurité des données de santé et le secret de la propriété intellectuelle (PI), des obstacles persistent au renforcement de l’authentification. Il y a notamment la complexité de l’infrastructure, l’utilisation d’appareils personnels à des fins professionnelles, le coût, les mauvaises cyber-habitudes et les problèmes de workflow.
Pendant des années, il était quasiment impossible de trouver un équilibre entre une sécurité élevée et la facilité d’utilisation, mais de nouvelles technologies d’authentification permettent de combler ce fossé. L’accès sans mot de passe et les clés de sécurité étant désormais disponibles, le secteur de la santé dispose désormais d’options ergonomiques pour renforcer ses options de sécurité. Les organisations doivent donc se pencher sur ces authentifications modernes et les déployer rapidement, afin de mettre un terme à la vague d’attaques qui n’a de cesse de déferler sur le secteur.