La violation des données de patients dans les établissements de santé
Attaquer les établissements de santé reste à peu près aussi facile que de vouloir attraper des poissons dans une bassine. Ce secteur a l’un des taux les plus bas de chiffrement des données et une véritable culture de la cybersécurité fait cruellement défaut. L’éducation des employés demeure médiocre, entraînant de nombreuses erreurs coûteuses dans la façon dont les données des patients sont traitées.
Naked Security a écrit sur ce problème à maintes reprises, et Sophos a aussi réalisé un étude qui rendent beaucoup plus claires les problèmes de sécurité mentionnés ci-dessus.
Le dernier témoignage a été fourni par le biais de deux rapports : l’un émanant de Protenus, une entreprise d’analyse spécialisée dans la Big Data, et l’autre en provenance d’IBM Managed Security Services (MSS).
Les deux rapports montrent que le nombre de violations de la vie privée dans les établissements de santé reste élevé, et que les novices ou les “insiders” sont un réel problème, laissé sans contrôle.
Le problème de l’insider
Protenus a déclaré que les insiders avaient commis 59,2% des violations de la confidentialité des dossiers de santé de patients en janvier 2017, et que le chiffre était resté bien au-dessus de 43% pour l’ensemble de l’année 2016. Selon le rapport :
Avec en 2016, une moyenne d’au moins une violation de données de santé par jour, 2017 démarre avec une tendance identique, avec 31 incidents, nous obtenons en moyenne une violation de données de santé par jour et par mois. En Janvier, un peu moins d’incidents ont été signalés en comparaison avec Décembre (36 incidents), et les dossiers de patients affectés ont été nettement moins nombreux (1 431 449 contre 388 307).
L’analyse de Protenus est basée sur les incidents signalés auprès du HHS ou bien divulgués dans les médias ou par le biais d’autres sources le mois dernier. Des informations étaient disponibles pour 26 de ces incidents. Le plus grand incident isolé a impliqué 220 000 dossiers de patients, suite à une faille de sécurité au niveau d’une tierce-partie, provoquée par des négligences commises par des insiders, a déclaré l’entreprise.
La majorité (59,2%) des dossiers de patients touchés, à savoir 230 044 dossiers, étaient attribuables à des incidents provoqués par des insiders. Cinq des neuf incidents étaient le résultat d’un insider ayant commis une négligence. Pour les quatre cas de négligences commises par un insider et pour lesquels nous avons des chiffres, 226 798 dossiers de patients ont été touchés. Quatre autres incidents sont le résultat d’une erreur commise par un insider, touchant 3 246 dossiers de patients.
En parallèle, un rapport de sécurité sur les données de santé d’IBM Managed Security Services (MSS) a déclaré que les insiders étaient responsables de 68% de toutes les attaques ciblant les données de santé en 2016. Près des deux tiers de ces attaques étaient le résultat de personnes utilisant des serveurs mal configurés et devenaient des victimes idéales vis-à-vis de scams d’hameçonnage.
Pourquoi les cybercriminels continuent-ils à se concentrer toujours davantage sur les établissements de santé ? IBM MSS l’a expliqué dans le rapport :
C’est parce que les informations exploitables dans un dossier médical partagé électronique (DMP), représente une forte valeur sur le marché noir. Dans le passé, certains cybercriminels avaient estimé qu’un DMP pouvait atteindre une valeur de 50 $, mais les chercheurs d’IBM X-Force ont constaté que ces jours-ci, avec des dossiers de santé souvent combinés, lors de la vente sur les marchés alternatifs, avec d’autres données personnelles/financières, pouvaient alors atteindre des valeurs beaucoup plus élevées.
Jonathan Lee, responsable du secteur santé chez Sophos au Royaume-Uni, a déclaré que trop de violations de données de santé sont encore causées par des actions involontaires des utilisateurs :
Il est donc essentiel que les utilisateurs soient informés et sensibilisés vis-à-vis des cyber-risques auxquels ils sont confrontés et des mesures de protection mises en place pour les protéger.
Ils doivent aussi comprendre leurs propres responsabilités individuelles en matière de cybersécurité, être conscients des conséquences d’actions négligentes ou malveillantes et travailler avec les autres acteurs du secteur pour trouver des moyens de travailler de manière plus sécurisée, a-t-il déclaré.
5 conseils pour gagner ce combat
Fin de l’an dernier, Lee a écrit un article sur le blog Sophos qui décrivait cinq actions que les établissements de santé pouvaient entreprendre pour mieux protéger les données des patients. Les conseils, qui portent essentiellement sur les établissements de santé NHS (National Health Services) au Royaume-Uni, traitent en priorité des menaces provenant des insiders. Voici un résumé de ses recommandations :
- Connaître le risque que vous courrez en particulier. La première chose à faire est d’effectuer une évaluation approfondie des risques, afin de savoir à quels types de menaces vous avez à faire face, de comprendre vos vulnérabilités et d’évaluer la probabilité d’être attaqué. C’est uniquement lorsque cette étape est terminée que vous pouvez passer à la prochaine phase, qui consiste à la création d’un plan intégré pour la cybersécurité.
- Appliquer les meilleures pratiques. Les établissements de santé, et d’autres aussi, dépensent trop souvent de l’argent pour des solutions de cybersécurité, mais ne parviennent pas à les déployer correctement. Assurez-vous que vous suivez les recommandations concernant les meilleures pratiques pour déployer votre défense.
- Avoir un plan de contre-attaque face aux incidents, qui soit testé et approuvé. Travaillez en supposant qu’une attaque se produira de toute façon, et assurez-vous d’avoir un plan de contre-attaque face aux incidents, qui soit testé et approuvé, et qui pourra être mis en œuvre immédiatement, afin de réduire l’impact de cette dernière.
- Identifier et sauvegarder vos données sensibles. Il est presque impossible de protéger toutes vos données en permanence. Ainsi, identifiez les informations que vous devez conserver, et dont le vol ou la consultation illégale nuirait à votre établissement, et mettez en œuvre des procédures de sécurité des données appropriées, pour s’assurer qu’elles sont protégés de manière appropriée.
- Éduquez et sensibilisez les employés. Tant de violation de données, qui sont le résultat en fait d’erreurs commises par des employés, par inadvertance ou non, implique qu’une partie de votre plan de cybersécurité doit être de s’assurer que tous vos employés connaissent les risques auxquels ils sont confrontés, et ont conscience de leurs propres responsabilités. Éduquez et sensibilisez vos équipes fait partie de votre mission, et doit être intégré dans votre plan.
Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Healthcare data breaches ‘mostly caused by insiders’, par, Sophos NakedSecurity.