Rien qu’en 2019, les cyberattaques ont coûté 4 milliards de dollars (environ 3,5 milliards d’euros) au secteur de la santé, faisant ainsi de cette année la pire jamais observée en matière de violations de données.
Si les organismes de santé souhaitent prendre le dessus sur les cybermenaces modernes, elles doivent suivre certaines stratégies de sécurité clés pour renforcer la cyber-résilience dont elles ont tant besoin.
Voici cinq conseils de sécurité pour maintenir ce secteur en bonne santé :
1. Adoptez le modèle de sécurité de type Confiance Zéro
Un rapport récent montre que dans le secteur de la santé, davantage de violations sont causées par des menaces internes plutôt qu’externes. Il peut s’agir d’une erreur humaine, d’une surveillance de sécurité obsolète ou d’un abus intentionnel au niveau de l’accès privilégié à des données et des systèmes sensibles.
En mettant en œuvre une approche de type Confiance Zéro, les établissements de santé peuvent introduire des contrôles granulaires au niveau du trafic réseau. Cette initiative empêche les attaquants modernes et les utilisateurs internes malveillants de tirer parti de certaines attaques et d’accéder à des données de santé personnelles sensibles (PHI : Personal Health Information) tout en restant invisible et indétectable.
2. Améliorez le cyber-bien-être pour mieux lutter contre les menaces à base de ransomwares
Le ransomware est une arme dévastatrice dans les mains de cybercriminels qui ciblent précisément le secteur de la santé, représentant ainsi plus de 70% des infections par malware dans ce secteur.
De telles attaques ont stoppé net certaines activités médicales, ont paralysé les équipements et les systèmes de santé connectés et chiffré les dossiers médicaux, les rendant ainsi inaccessibles aux soignants.
Sophos fournit non seulement une sécurité anti-ransomware de pointe, mais suit également le développement des ransomwares grâce à des activités de recherche rigoureuses menées par les SophosLabs. Sophos Intercept X with EDR et Sophos XG Firewall fonctionnent ensemble pour perturber et stopper les attaques de ransomware avancées.
3. Contournez la pénurie de compétences
Le manque de personnel possédant les connaissances et l’expertise appropriées en matière de cybersécurité est l’un des principaux défis pour les prestataires du secteur de la santé. C’est particulièrement un casse-tête pour ceux qui n’ont pas en interne d’experts en sécurité à temps plein.
Pour les organismes de santé manquant de ressources en matière de cybersécurité, Sophos propose le service Managed Threat Response (MTR). Ce service propose une surveillance efficace et une évaluation continue des risques, en mettant à disposition 24h/24 et 7j/7 une équipe d’experts dédiée.
Notre solution va au-delà des alertes, elle offre une véritable réponse aux incidents face aux menaces, garantissant que le risque soit bien identifié, maîtrisé et que des mesures correctives sont prises immédiatement.
4. Traitez les angles morts dans vos efforts de transformation digitale
Le transfert de données entre les patients, les soignants, les compagnies d’assurance et les autres acteurs doit être transparent et sécurisé. Le réseau étendu à définition logicielle (SD-WAN : Software-Defined Wide Area Network), avec son architecture flexible, est devenu le nouveau favori au niveau des établissements de santé pour répondre à ces exigences.
Il est essentiel de fournir un accès fiable et sécurisé aux données de santé classifiées à un moment où de nombreux hôpitaux adoptent de nouvelles technologies telles que les dispositifs médicaux connectés au réseau, la télésanté et les applications médicales telles que les systèmes d’archivage et de transmission d’images (PACS : Picture Archiving and Communication Systems).
Sophos, avec sa dernière version de XG Firewall et ses équipements SD-RED, permet de mettre en œuvre la connectivité SD-WAN conformément à vos objectifs de sécurité et de continuité.
5. Mettez en avant la cyber-sensibilisation
Une autre préoccupation majeure des organismes de santé est le manque de formation à la cybersécurité et la faible sensibilisation des employés à la protection des données.
Il est important de disposer de la bonne culture en matière de cybersécurité pour réduire la forte vulnérabilité des établissements de santé à un large éventail de cyberattaques sophistiquées.
Les organismes de santé devraient organiser des campagnes de sensibilisation régulières pour former leurs employés, partenaires et fournisseurs aux dernières arnaques en ligne et autres techniques de phishing, et être ainsi mieux préparés pour prendre les bonnes décisions lorsqu’elles seront la cible des malwares ou d’attaques de phishing.
Avec Sophos Phish Threat, les équipes de cybersécurité peuvent simuler des attaques de phishing au niveau sécurité et conformité en quelques clics seulement et offrir une formation automatisée, sur place, aux employés du secteur de la santé si nécessaire.
Pour en savoir plus
- Sophos Whitepaper: Understand HIPAA ePHI
- Sophos Healthcare Solution Brief
- Sophos Protection for Connected Medical Devices
- Security Reference Card for Healthcare
- HIPAA Security Standards Compliance Reference Card
Billet inspiré de Five cybersecurity prescriptions for healthy healthcare in 2020, sur le Blog Sophos.