Sécurité des dossiers médicaux électroniques : données des patients, loi HIPAA et menaces que le secteur de la santé ne peut se permettre d’ignorer

Que sont les dossiers médicaux électroniques et pourquoi sont-ils importants ?

Les dossiers médicaux électroniques (DME) constituent la représentation numérique des antécédents médicaux des patients. Ces dossiers numériques sécurisés et mis à jour en temps réel comprennent les traitements médicamenteux, les diagnostics, les résultats d’analyses et les examens d’imagerie.

Les DME permettent au secteur de la santé moderne de sécuriser et de partager les informations relatives aux patients entre les prestataires autorisés, tels que les médecins traitants, les spécialistes et les laboratoires. Ces dossiers visent à améliorer la coordination, la sécurité et la qualité des soins de santé.

Qu’est-ce qu’un DSE exactement et en quoi diffère-t-il d’un DME ?

Un dossier médical électronique (DME) représente sous forme numérique les antécédents médicaux et thérapeutiques d’un patient au sein d’un même établissement de soins. Il est utile aux cliniciens qui l’ont créé. Cependant, il n’est pas conçu pour accompagner le patient dans ses déplacements.

Un dossier de santé électronique (DSE) est conçu pour accompagner le patient dans différents établissements de soins, du médecin généraliste au centre de rééducation. Les DSE regroupent des données provenant de plusieurs sources, et les professionnels de santé autorisés peuvent y accéder.

Ainsi, un DSE présente une valeur clinique mais peut s’avérer dangereux en cas de faille de sécurité, car il expose l’historique médical complet des patients. Un dossier médical électronique (DME) est moins dangereux à cet égard, car il ne contient que les données d’un seul cabinet.

Quels types de données relatives aux patients sont stockés dans les DSE ?

Un DSE contient généralement des données démographiques et d’identification, notamment :

• Nom complet
• Date de naissance
• Adresse
• Numéro de sécurité sociale
• Références d’assurance

Il contient des données cliniques, telles que les diagnostics, les traitements médicamenteux, les allergies, les carnets de vaccination, les résultats de laboratoire, les examens d’imagerie, les antécédents chirurgicaux et les notes cliniques détaillées rédigées par chaque professionnel de santé ayant pris en charge le patient.

Un DME comprend également des informations financières, notamment les détails de la couverture d’assurance, les relevés de facturation et l’historique des paiements. De plus, vous pouvez également y trouver des données comportementales et sociales, telles que des notes sur la consommation de substances, l’état de santé mentale, la situation familiale et les déterminants sociaux de la santé qui sous-tendent les décisions cliniques.

Vous pouvez faire opposition sur une carte de crédit volée ou perdue, mais on ne peut pas vraiment en dire autant d’une carte de santé. C’est pourquoi un DME présente une grande valeur pour les criminels.

Pourquoi les DSE sont-ils essentiels à la prestation moderne des soins de santé et aux résultats pour les patients ?

Les DSE sont à la fois des outils administratifs et jouent un rôle essentiel dans la prise de décision clinique, influençant la sécurité et les résultats pour les patients.

Par exemple, les informations complètes et précises sur les médicaments contenues dans un DSE constituent la base de la vérification des interactions médicamenteuses. De plus, l’accès aux dossiers d’allergies facilite les alertes en cas d’allergie. Par ailleurs, les résultats d’imagerie en temps réel disponibles dans un DSE sont essentiels pour les outils d’aide à la décision diagnostique. Enfin, la coordination des soins repose sur une vision partagée et actualisée de l’état clinique des patients.

Lorsque les systèmes des prestataires de soins perdent l’accès aux DME en raison d’attaques par ransomware ou de pannes système, les opérations cliniques sur support papier deviennent plus lentes, plus sujettes aux erreurs et moins sûres.

En conséquence, les résultats d’examens critiques peuvent être retardés, la coordination des soins peut se dégrader et les erreurs de médication peuvent augmenter. Ainsi, la sécurité des systèmes de DME est essentielle à la sécurité des patients.

Quels sont les risques liés à la sécurité et à la confidentialité qui menacent les systèmes de DSE et les données des patients ?

Le secteur de la santé est confronté à des menaces telles que le phishing, les attaques par rançongiciel, la négligence et les vulnérabilités liées à des tiers. Ces violations peuvent perturber les systèmes de santé, causer des préjudices financiers et entraîner de graves atteintes à la vie privée des patients.

Quelles sont les cybermenaces les plus courantes pesant sur les DSE : les attaques d’extorsion dans le secteur de la santé, le phishing, les menaces internes ?

Le phishing reste l’un des vecteurs d’attaque initiaux les plus fréquemment signalés dans les incidents de sécurité du secteur de la santé, en raison d’un personnel nombreux et diversifié soumis à une pression constante en termes de temps. Par exemple, des pirates informatiques peuvent envoyer un e-mail de phishing à une infirmière chef de service pendant un service très chargé, et celle-ci peut y répondre sans avoir procédé à une vérification de sécurité suffisante.

Les menaces internes, qu’elles soient délibérées ou involontaires, telles que le vol à des fins lucratives et l’utilisation de mots de passe faibles, diffèrent structurellement des attaques externes. Par exemple, les établissements de santé comptent des milliers d’employés disposant d’un accès légitime et étendu aux dossiers des patients.

Ces employés peuvent procéder à des accès non autorisés, poussés par la curiosité ou motivés par des raisons financières. Dans ce cas, les contrôles d’accès ne suffisent pas à eux seuls à empêcher de tels accès. Seule une surveillance comportementale sophistiquée permet de détecter les menaces internes.

Les attaques provenant de tiers et de la chaîne d’approvisionnement comprennent les mises à jour logicielles malveillantes et les outils d’accès à distance, ainsi que l’exploitation des dispositifs médicaux et de l’IoT, ou l’Internet des objets dans le secteur de la santé (HIoT).

Ces menaces sont en augmentation car les établissements de santé dépendent davantage des réseaux de fournisseurs de technologies, tels qu’Epic et Cerner, et de prestataires de services. Ces organisations ne disposent pas toujours de contrôles rigoureux. Epic et Cerner sont des plateformes majeures de dossiers médicaux électroniques (DME).

Comment les fuites de données se produisent-elles généralement dans le secteur de la santé ?

Les environnements de santé gèrent d’énormes volumes de dossiers physiques et fonctionnent dans des conditions difficiles où les mesures de sécurité sont souvent insuffisantes. Les ordinateurs portables, les clés USB et les dossiers papier constituent les principales sources de fuites.

De plus, un fournisseur, un sous-traitant ou un partenaire traitant des informations de santé protégées peut également être victime d’une fuite. Plus précisément, il peut engager la responsabilité de l’établissement de santé concerné en vertu de la loi HIPAA (Health Insurance Portability and Accountability Act), que l’établissement concerné soit ou non directement en faute.

Quelles sont les conséquences d’une compromission des données des DSE pour les patients et les prestataires ?

L’usurpation d’identité médicale se produit lorsque des pirates utilisent des identifiants volés pour obtenir frauduleusement des services de santé, des médicaments ou des remboursements d’assurance. Cela peut entraîner la corruption des dossiers médicaux, qui contiennent alors de fausses informations concernant les traitements, les médicaments et les diagnostics.

Les dossiers de patients comportant des informations erronées sur les médicaments ou un diagnostic attribué à tort entraînent des risques cliniques pour les patients à chaque fois qu’ils reçoivent des soins. En effet, les cliniciens prennent leurs décisions en tenant compte des informations erronées figurant dans ces dossiers.

La fraude à l’assurance entraîne un préjudice financier, augmentant considérablement les frais à la charge des patients et les primes d’assurance. L’ensemble de l’écosystème des soins de santé en pâtit. Les ressources destinées aux soins légitimes des patients s’épuisent, exposant ainsi les individus à des risques médicaux inutiles.

La divulgation de diagnostics sensibles, tels que les informations relatives à la santé mentale, à la santé reproductive et à la consommation de substances, porte atteinte à la réputation. Cette atteinte à la réputation réduit le nombre de patients, affecte le recrutement des médecins et sape la confiance de la communauté.

En ce qui concerne les conséquences réglementaires, les violations graves peuvent entraîner des amendes civiles au titre de la loi HIPAA s’élevant à plusieurs millions de dollars, ainsi qu’une enquête judiciaire.

Ce que les établissements de santé ne réalisent généralement qu’après un incident de sécurité

Les analyses menées dans le secteur de la santé après un incident révèlent que les établissements n’ont souvent pas une vision claire de leur niveau de sécurité.

Pourquoi des hôpitaux techniquement conformes sont-ils tout de même victimes de violations ?

Même si un hôpital passe avec succès un audit HIPAA et satisfait à toutes les exigences documentées, il peut tout de même être vulnérable aux cyberattaques. En effet, la loi HIPAA impose des exigences minimales sans préciser les contrôles techniques nécessaires à une sécurité efficace.

Par exemple, un hôpital peut disposer d’une politique de mots de passe conforme aux exigences de contrôle d’accès de la loi HIPAA, que les pirates informatiques modernes peuvent facilement contourner.

Pourquoi le flux de travail clinique prend souvent le pas sur la politique de sécurité écrite

Si les politiques de sécurité, telles qu’une authentification multifactorielle (MFA) robuste et les contrôles de déconnexion automatique, entraînent des frictions, le flux de travail clinique prendra souvent le pas sur celles-ci. Pourquoi ? Parce que si le verrouillage automatique d’un poste de travail est requis après 2 minutes d’inactivité, il est difficile pour une infirmière qui passe d’un patient à l’autre de déverrouiller un écran plus d’une fois en peu de temps.

Les politiques de sécurité ne doivent pas faire abstraction des réalités du flux de travail clinique. Déconnectées de la réalité, ces politiques ne seront pas respectées, ce qui affaiblira la protection des données.

Comment des exceptions temporaires deviennent des vulnérabilités permanentes

Lorsqu’un établissement de santé partage un compte créé lors d’une migration de système, ce compte peut encore être actif trois ans plus tard. De plus, lorsque l’établissement ouvre une règle de pare-feu pour se connecter à un fournisseur lors d’une mise en œuvre, celle-ci reste active. Enfin, une autorisation d’accès privilégié accordée en situation d’urgence n’est jamais révoquée.

C’est ainsi que les établissements de santé gèrent les vulnérabilités permanentes. Ces faiblesses deviennent souvent des cibles d’attaques.

Pourquoi les défaillances de sécurité dans la protection des dossiers médicaux électroniques sont souvent d’ordre opérationnel, et non technique

L’analyse post-incident montre que la plupart des violations de données dans le secteur de la santé sont dues à des conditions opérationnelles et non techniques. Plus précisément, ces conditions comprennent des accès qui n’ont jamais été révoqués, des exceptions laissées sans suivi, des politiques non appliquées et une surveillance sans suite.

Les contrôles techniques correspondent aux capacités pouvant être déployées et maintenues efficacement grâce à des contrôles opérationnels. Un hôpital doté d’une technologie de sécurité sophistiquée sera victime d’une violation en raison de processus opérationnels défaillants. En revanche, un hôpital doté d’une technologie modeste mais d’une discipline opérationnelle rigoureuse sera protégé de manière sûre.

Ce que les équipes de sécurité sous-estiment concernant les environnements de soins de santé fonctionnant 24 h/24 et 7 j/7

Prenons l’exemple des processus de sécurité pendant les heures de travail, tels que les contrôles d’accès et la réponse aux incidents. Ceux-ci sont totalement différents dans un hôpital fonctionnant en trois équipes, sans pouvoir programmer de temps d’arrêt pour la maintenance des systèmes sans évaluation préalable de l’impact clinique.

Les équipes de sécurité disponibles pendant les heures de travail peuvent ne pas assurer une couverture complète la nuit et le week-end. Et les pirates informatiques chevronnés savent tirer parti de ces créneaux horaires. Ils peuvent accéder aux informations dont ils ont besoin à 2 heures du matin un samedi, avant que l’équipe de sécurité ne soit alertée et n’intervienne.

Quels problèmes de sécurité les établissements de santé constatent-ils généralement après le déploiement d’un DME ?

Le déploiement d’un DME nécessite d’énormes ressources, une préparation minutieuse et une attention particulière. Les problèmes de sécurité auxquels les établissements sont confrontés après la mise en œuvre mettent en évidence la différence entre le comportement du système lors des tests contrôlés et son fonctionnement réel au sein des systèmes de santé.

Pourquoi les systèmes de DME sécurisés continuent-ils de subir des incidents d’accès non autorisés ?

Les systèmes de DME sont développés avec des contrôles d’accès qui ne correspondent pas nécessairement à la réalité clinique. Les autorisations d’accès pour les systèmes de contrôle basés sur les rôles reposent généralement sur la fonction professionnelle, qui n’est pas toujours définie avec précision dans un contexte clinique. Par exemple, une infirmière des urgences peut avoir besoin d’accéder à des dossiers auxquels le rôle standard d’infirmière ne donne pas accès.

Mais si un accès plus large est nécessaire pour prendre une décision pragmatique, de nombreux utilisateurs auront besoin d’un accès plus étendu que ne le permettent leurs responsabilités cliniques. Cela peut entraîner des violations des contrôles d’accès.

Quels raccourcis de flux de travail affaiblissent couramment la sécurité des dossiers médicaux électroniques dans les hôpitaux ?

Les raccourcis de flux de travail, également appelés « solutions de contournement », affaiblissent la sécurité des données des patients dans les hôpitaux en contournant les barrières de sécurité et en exposant ces données. Les cliniciens ont souvent recours à ces raccourcis pour gagner du temps ou éviter les contraintes liées à la conception des interfaces.

Plus précisément, le partage d’identifiants constitue le raccourci de workflow le plus courant dans les environnements de DME du secteur de la santé.

Lorsque les procédures de connexion créent des frictions en raison de multiples étapes d’authentification, de mots de passe complexes ou d’expirations de session, le personnel clinique a recours à des solutions de contournement, telles que le partage d’identifiants. Il peut également laisser les sessions ouvertes, permettant ainsi à des utilisateurs non authentifiés d’accéder au système. En conséquence, les hôpitaux sont confrontés à des défaillances en matière de cybersécurité des dossiers médicaux.

Comment les postes de travail partagés et les environnements cliniques au rythme effréné créent-ils des risques cachés ?

Les membres du personnel, répartis sur plusieurs équipes, partagent des postes de travail cliniques sous la pression du temps et en se concentrant principalement sur les patients plutôt que sur les mesures de sécurité.

Les technologies d’authentification par proximité, notamment les cartes à puce, les badges de proximité et les lecteurs biométriques, aident à surmonter certains défis. Cependant, elles s’accompagnent de leurs propres complexités opérationnelles.

Plus précisément, les utilisateurs peuvent perdre leurs cartes ou les laisser dans les lecteurs. De plus, les technologies biométriques ne reconnaissent pas les mains gantées ou mouillées. De telles défaillances entraînent des frictions opérationnelles, ce qui conduit à recourir à des solutions de contournement.

Quelles failles de sécurité n’apparaissent qu’au cours des opérations réelles de soins de santé ?

Les retards qui poussent à recourir à des solutions de contournement, la difficulté à maintenir des journaux complets sous la charge de production et les limitations opérationnelles constituent des failles de sécurité. Celles-ci deviennent visibles lorsque le système fonctionne à pleine charge clinique. Ces failles de sécurité ne sont pas apparentes lors des tests contrôlés.

La raison en est que les systèmes d’authentification peuvent fonctionner sans heurts lors des tests. Les systèmes de journalisation d’audit enregistrant les accès peuvent fonctionner sans difficulté lors des tests. Enfin, les contrôles de sécurité peuvent paraître robustes dans des conditions contrôlées.

Ce que les défaillances de sécurité réelles en matière de protection des dossiers médicaux électroniques ont souvent en commun

Les privilèges d’accès excessifs constituent un facteur récurrent dans de nombreux incidents de sécurité dans le secteur de la santé. Ils ne sont jamais réexaminés et apparaissent dans les journaux d’accès. Plus précisément, le pirate informatique accède au système et aux données en tant que titulaire légitime d’un compte. Une fois légitimé, cet accès n’a jamais fait l’objet d’un réexamen ultérieur.

La détection tardive constitue une autre défaillance très répandue. Il faut généralement des semaines, voire des mois, pour détecter une intrusion après l’accès initial. Or, ce délai suffit aux attaquants pour localiser et isoler les données cibles, puis se préparer à leur chiffrement.

De plus, les sauvegardes non testées ne sont pas fiables. Les données de sauvegarde dont l’intégralité n’a pas été validée sont restaurées dans un état obsolète.

Un fournisseur utilisant des identifiants d’accès à distance légitimes, mais disposant d’un compte non surveillé, peut devenir le point d’entrée d’une attaque. Les contrôles périmétriques propres à l’hôpital auraient dû sécuriser les données.

De plus, les plans d’intervention en cas d’incident rédigés sur papier constituent souvent des guides insuffisants pour une intervention concrète dans la réalité. Le personnel clé est souvent indisponible. Les coordonnées ne sont généralement pas mises à jour.

Comment la loi HIPAA et les réglementations relatives à la portabilité et à la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Regulations) affectent-elles la sécurité des données des patients ?

En vertu de la loi HIPAA et des réglementations fédérales associées, les organismes de santé doivent mettre en œuvre des mesures de sécurité administratives, physiques et techniques complètes, telles que le chiffrement, les contrôles d’accès basés sur les rôles et les pistes d’audit. Ainsi, ces organismes peuvent sécuriser les données de santé et garantir la confidentialité des informations de santé protégées électroniques (ePHI).

Comment la loi HIPAA et la loi sur la portabilité et la responsabilité en matière d’assurance (HIPAA) protègent-elles les données des patients ?

La règle de confidentialité de la loi HIPAA définit des normes nationales visant à protéger les dossiers médicaux des patients et autres informations de santé. De plus, cette règle établit des plans de santé et des centres d’échange de données de santé régissant l’utilisation et la divulgation de ces informations.

Conformément à cette règle, les informations de santé protégées (PHI) désignent les informations de santé permettant d’identifier individuellement une personne, que les organismes de santé mentionnés ou leurs partenaires détiennent et transmettent.

Ces entités doivent mettre en œuvre des mesures de protection administratives, physiques et techniques afin de garantir la confidentialité, l’intégrité et la disponibilité de ces informations.

La règle de sécurité reprend les principaux éléments de la règle de sécurité de la loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA). Elle porte sur les patients concernés, les informations protégées et les mesures de sécurité garantissant une protection adéquate des informations de santé protégées sous forme électronique (ePHI).

La règle de sécurité met l’accent sur les résultats, tels que la conformité du personnel et la protection contre les menaces anticipées. Elle n’impose pas d’approches techniques spécifiques, telles que le contrôle d’accès et le chiffrement.

La règle relative à la notification des violations fixe les délais dans lesquels les entités concernées doivent informer les personnes concernées, le secrétaire du HHS et, dans certains cas, les médias, d’une violation des informations de santé protégées (PHI) non sécurisées. Le non-respect de ces exigences constitue une violation distincte de la loi HIPAA.

Quelles sont les mesures de sécurité requises pour protéger les informations de santé ?

La règle de sécurité de la loi HIPAA classe les mesures de protection requises en trois catégories. Premièrement, les mesures de protection administratives désignent les politiques, les procédures et les formations que les organisations doivent mettre en œuvre pour gérer la sécurité des ePHI.

Deuxièmement, les organisations doivent mettre en place des mesures de protection physiques afin de contrôler l’accès physique aux systèmes d’information électroniques et aux locaux utilisés. Ces mesures peuvent inclure des contrôles d’accès aux locaux, des contrôles des appareils et des supports de stockage, ainsi que des politiques relatives à l’utilisation et à la sécurité des postes de travail.

Enfin, les mesures de protection techniques désignent les technologies et les politiques associées qui protègent les ePHI et en contrôlent l’accès. Ces mesures peuvent inclure des contrôles d’accès, d’intégrité et d’audit, ainsi que la sécurité des transmissions.

Comment les organismes de santé peuvent-ils démontrer leur conformité à la loi HIPAA lors des audits de sécurité ?

La conformité à la loi HIPAA exige des organismes de santé une documentation exhaustive et à jour. Les auditeurs examinent non seulement la documentation relative aux politiques et procédures, mais également les preuves attestant que ces politiques sont mises en œuvre et appliquées.

La règle de sécurité impose aux entités susmentionnées de mener une évaluation précise et approfondie des risques concernant la confidentialité, l’intégrité et la disponibilité des ePHI. Ces entités doivent documenter et démontrer l’analyse des risques en fonction de l’environnement actuel et élaborer un plan de gestion des risques correspondant.

La conformité à la loi HIPAA inclut les registres de formation du personnel, les contrôles d’accès et les journaux d’audit, ainsi que les accords avec les partenaires commerciaux et la documentation relative à la réponse aux incidents. Ces pratiques opérationnelles continues aident les établissements de santé à mener à bien un audit et à garantir une sécurité adéquate.

Ce que les audits de sécurité négligent souvent

Les audits de sécurité négligent souvent les vulnérabilités d’origine humaine, telles que le partage d’identifiants et l’ingénierie sociale. De plus, ils négligent souvent les erreurs de configuration des systèmes, telles que des autorisations utilisateur trop larges et l’absence de journaux d’audit. Enfin, ils négligent fréquemment les risques liés aux tiers, tels que les intégrations d’API non vérifiées et les failles dans la chaîne d’approvisionnement des fournisseurs.

Voyons ce qu’apportent les audits de sécurité :

Pourquoi la réussite d’un audit de sécurité ne garantit pas la protection des dossiers médicaux électroniques

Un audit de sécurité n’évalue pas de manière exhaustive si les contrôles de sécurité fonctionnent efficacement face à des menaces réalistes. Plus précisément, un audit peut confirmer qu’une organisation a établi et documenté une politique en matière de mots de passe. Cependant, il ne peut pas déterminer de manière fiable si tous les systèmes et tous les utilisateurs respectent systématiquement cette politique.

De même, un audit peut confirmer l’existence d’un accord de partenariat commercial en bonne et due forme. Mais il ne peut pas déterminer si les exigences de sécurité spécifiées dans cet accord sont réellement mises en œuvre.

Écarts de conformité vs réalité opérationnelle

Le cadre de conformité met l’accent sur l’existence de contrôles, tandis que la sécurité opérationnelle s’attache à vérifier si ces contrôles fonctionnent correctement.

Les organisations qui utilisent les journaux d’audit comme outil technique peuvent ne pas les examiner fréquemment ou avec suffisamment de rigueur pour détecter des activités anormales.

Quant aux contrôles d’accès, ils peuvent être documentés dans une politique mais ne pas être appliqués de manière cohérente. Par ailleurs, les procédures de réponse aux incidents peuvent être documentées mais ne pas faire l’objet de tests ou de mises à jour adéquats pour correspondre aux structures organisationnelles et aux coordonnées existantes.

Pourquoi les évaluations annuelles ne tiennent pas compte de l’évolution des menaces

Lorsqu’une organisation procède à une évaluation une fois par an, celle-ci reflète l’état de sécurité de l’organisation à cette date précise. Or, de nouvelles vulnérabilités et menaces peuvent apparaître au cours des 364 autres jours de l’année. Ainsi, les évaluations périodiques des risques ne peuvent pas refléter de manière adéquate l’état de sécurité des organisations.

Le problème des programmes de sécurité « à cocher »

Les programmes de sécurité axés sur le remplissage de listes de contrôle de conformité exigent des organisations qu’elles documentent chaque contrôle et processus requis, ce qui satisfait les auditeurs. Cependant, ils ne garantissent pas nécessairement une sécurité adéquate.

Les programmes de sécurité basés sur des listes de contrôle fournissent une réponse organisationnelle prévisible aux exigences de conformité sans mesurer les résultats en matière de sécurité.

Un programme de sécurité adéquat ne doit pas se contenter de documenter et de collecter des preuves. Il doit détecter les menaces et y répondre de manière appropriée sans consacrer la majeure partie de son temps précieux à des activités de conformité.

En quoi le comportement réel des attaquants diffère-t-il des hypothèses d’audit ?

Lorsqu’un établissement de santé réalise des audits de sécurité pour évaluer ses contrôles par rapport à des modèles de menaces documentés, il peut ne pas obtenir une vision complète du mode opératoire des attaquants réels. Ces audits permettent de vérifier si les contrôles d’accès peuvent empêcher toute utilisation abusive de la part d’utilisateurs ne disposant pas des identifiants nécessaires.

Mais que se passerait-il s’il n’y avait aucune raison clinique de prêter attention à un accès inapproprié ? Comment l’analyse comportementale le détecterait-elle ? En réalité, ces audits n’examinent pas si l’établissement est en mesure de restaurer avec succès ces sauvegardes dans les délais requis par la récupération après une attaque par chiffrement des données.

Les véritables attaquants ciblent des faiblesses spécifiques dans un environnement donné. Ils ne se concentrent pas sur les scénarios de menace prévus par les cadres de conformité.

Quelles mesures de sécurité contribuent à protéger les informations de santé dans les systèmes de dossiers médicaux électroniques ?

Les établissements de santé devraient appliquer un modèle de défense multicouche pour protéger les informations de santé dans les systèmes de dossiers médicaux électroniques. Ce modèle doit reposer sur des mesures de protection techniques, administratives et physiques.

Comment le chiffrement et les contrôles de sécurité des données peuvent-ils protéger les données des patients ?

La protection des ePHI contre tout accès non autorisé considère le chiffrement comme un contrôle technique. Plus précisément, le chiffrement au repos concerne les bases de données, les systèmes de fichiers et les supports de sauvegarde. Il garantit que les informations stockées ne peuvent pas être transformées en données lisibles.

Quant au chiffrement en transit, il protège les données circulant entre les systèmes, les utilisateurs et les établissements. Cela permet d’empêcher l’interception et la lecture des PHI.

Malheureusement, cette protection peut s’avérer limitée en raison d’algorithmes obsolètes, de longueurs de clé insuffisantes ou d’une gestion inadéquate du stockage des clés utilisées pour le chiffrement. Ainsi, les prestataires de soins de santé ont besoin de normes cryptographiques robustes et à jour, et doivent régulièrement revoir et mettre à jour leurs implémentations de chiffrement.

De plus, si les prestataires surveillent l’activité des bases de données, ils bénéficient d’un niveau de contrôle supplémentaire. Ils peuvent ainsi détecter les accès non autorisés, même si ceux-ci s’effectuent à l’aide d’identifiants légitimes et de droits de déchiffrement.

Quel rôle jouent le contrôle d’accès et l’authentification forte ? L’authentification multifactorielle et l’accès basé sur les rôles sont-ils suffisants ?

Le contrôle d’accès basé sur les rôles (RBAC) joue un rôle essentiel dans la gestion de l’accès aux DSE. En effet, son cadre systématique permet aux utilisateurs d’accéder uniquement aux données requises par leur rôle clinique.

L’authentification multifactorielle (MFA) améliore considérablement la sécurité de l’authentification par rapport à un accès par mot de passe seul, car le partage d’identifiants et une authentification minimale sont courants dans ce secteur. Un attaquant qui utilise le phishing ou le vol d’identifiants pour obtenir un mot de passe doit compromettre un deuxième facteur pour s’authentifier.

Le RBAC contrôle les données auxquelles les utilisateurs peuvent accéder sans contrôler la manière dont ils utilisent cet accès après l’authentification. L’authentification multifactorielle (MFA) vérifie qu’une personne disposant des facteurs d’authentification tente de se connecter, sans vérifier que cette personne est bien le titulaire légitime du compte.

Ces deux contrôles sont essentiels pour sécuriser les informations de santé. Toutefois, des couches de sécurité supplémentaires, telles que la surveillance comportementale et la détection des anomalies, devraient également être mises en place.

L’authentification multifactorielle dans le secteur de la santé : avantages et inconvénients

Comment la segmentation du réseau, les API sécurisées et la protection des terminaux permettent-elles d’atténuer les menaces ?

La segmentation du réseau limite les mouvements latéraux qui surviennent après une compromission initiale. Dans un réseau plat, les systèmes communiquent librement. Les pirates, une fois entrés dans le système, peuvent sonder et attaquer les systèmes adjacents pour atteindre leur cible.

Dans le cas de réseaux segmentés, les pirates doivent franchir des contrôles supplémentaires à chaque limite de segment. Cela ralentit leur progression, génère une activité détectable et limite l’ampleur des dommages liés à toute compromission individuelle.

Les réseaux de santé présentent des défis spécifiques en matière de segmentation, car les environnements cliniques utilisent des technologies variées, notamment des systèmes informatiques traditionnels et des appareils cliniques connectés à l’Internet des objets (IoT).

Une segmentation efficace repose sur la compréhension de la nature hétérogène de ces environnements. De plus, les limites de segment entre les composants les plus vulnérables des réseaux doivent être conçues de manière à ne pas perturber le flux de travail clinique.

Quant à la sécurité des API, son importance ne cesse de croître partout dans le monde. En effet, les interfaces des systèmes de dossiers médicaux électroniques (DME) doivent être bien sécurisées, car elles gèrent des outils et des processus critiques, notamment des outils d’aide à la décision clinique et des échanges externes d’informations de santé.

Les points de terminaison des API constituant une cible pour les pirates informatiques, ils peuvent être protégés par des contrôles d’authentification et d’autorisation, ainsi qu’en limitant le débit, en validant les données d’entrée et en maîtrisant les schémas d’accès anormaux.

La protection des points de terminaison des API est une pratique de sécurité essentielle. Elle sécurise les URL numériques spécifiques et les points de contact de communication par lesquels les applications échangent des données et des fonctionnalités. Une protection efficace des points de terminaison implique de sécuriser à la fois la couche d’accès et la conception même de l’application.

Quelle est l’utilité de la journalisation, de la surveillance et de la gestion des informations et événements de sécurité (SIEM) ?

La loi HIPAA exige la mise en place d’une journalisation d’audit complète des accès aux données ePHI, ce qui constitue également une capacité de sécurité fondamentale. Les journaux permettent de détecter les abus d’accès, d’enquêter sur les incidents, de démontrer la conformité et de comprendre le comportement des pirates informatiques après une violation.

Les établissements de santé peuvent tirer parti des journaux à condition que ceux-ci soient à la fois collectés et surveillés. En effet, c’est la capacité d’analyse qui permet de tirer des renseignements de sécurité à partir des journaux en temps réel.

Dans le secteur de la santé, la gestion des informations et des événements de sécurité (SIEM) permet de distinguer les schémas d’accès cliniques normaux des accès anormaux.

Quelles politiques de sécurité de l’information garantissent la sécurité des dossiers médicaux électroniques ?

Des politiques efficaces de protection des données des patients, telles que des mesures de protection administratives, physiques et techniques, garantissent la confidentialité, l’intégrité et la disponibilité des dossiers médicaux.

Comment définir les politiques de gouvernance, de classification et de conservation des données ?

La gouvernance des données dans le secteur de la santé repose sur la clarté des données des dossiers médicaux électroniques (DME), leur emplacement, la personne ou l’entité responsable de ces données, ainsi que les règles régissant leur utilisation et leur protection.

Les données des DME alimentent les plateformes d’analyse clinique, les bases de données de recherche, les outils de santé destinés aux patients et les systèmes de reporting. Ces données doivent donc être gérées tout au long de leur cycle de vie dans le cadre de contrôles appropriés.

La classification des données aide les établissements de santé à appliquer des contrôles en fonction de la sensibilité des données. Les différentes données de santé présentent des niveaux de sensibilité ou de valeur réglementaire variés. Plus précisément, les données agrégées et anonymisées utilisées à des fins d’analyse sanitaire diffèrent de celles concernant les dossiers cliniques permettant l’identification individuelle.

Les catégories de données hautement sensibles, telles que les dossiers de santé mentale et les informations relatives à la santé reproductive, nécessitent une protection renforcée en vertu de la législation régionale.

Les politiques de conservation sont conçues pour concilier les exigences cliniques, juridiques et de sécurité. Les dossiers de données doivent être conservés pendant des durées spécifiques, conformément aux directives cliniques. Quant aux exigences juridiques, elles varient d’une juridiction à l’autre. Enfin, les directives de sécurité imposent aux établissements de santé de réduire au minimum le volume de données sensibles.

Pour assurer une bonne gouvernance des données de santé, les établissements doivent concilier les exigences mentionnées au sein d’un cadre de conservation cohérent, qui dépasse les seules fonctions cliniques, juridiques, de conformité et de sécurité.

Quels programmes de formation et de sensibilisation contribuent à réduire les erreurs humaines et les risques internes ?

Une formation efficace à la sécurité dans le secteur de la santé doit être conçue spécifiquement pour chaque poste, être adaptée au contexte des données et s’intégrer aux processus cliniques. Une infirmière qui comprend pourquoi le partage d’identifiants est risqué est en mesure de protéger efficacement ces identifiants. On ne peut pas en dire autant d’une infirmière ayant suivi une formation générale sur la sécurité des mots de passe.

De plus, les programmes de simulation d’hameçonnage, dans lesquels le personnel est confronté à des e-mails d’hameçonnage réalistes mais inoffensifs, permettent de recevoir un retour d’information immédiat et une formation ciblée. Il n’est donc pas nécessaire d’attendre le prochain cycle de sensibilisation prévu.

Comment structurer la gestion des risques liés aux tiers et les contrats avec les fournisseurs afin de protéger les données des patients ?

La loi HIPAA étend ses exigences aux tiers par le biais d’accords de partenariat commercial (BAA). Un BAA consigne les exigences, mais ne garantit pas la conformité. C’est pourquoi une gestion efficace des risques liés aux tiers va au-delà d’un simple BAA.

Une gestion efficace des risques liés aux tiers doit s’articuler autour d’une évaluation de la sécurité des fournisseurs avant leur engagement, ainsi que d’un suivi et d’une vérification de la conformité. Ainsi, les établissements de santé peuvent être informés des violations commises par les fournisseurs sans perdre de temps.

L’écosystème des fournisseurs du secteur de la santé est diversifié, ce qui rend la gestion des risques liés aux tiers particulièrement complexe. Les entreprises et les prestataires de services, tels que les fournisseurs de dossiers médicaux électroniques (DME), les fabricants de dispositifs médicaux, les fournisseurs de services cloud et de services gérés, ainsi que les intégrateurs de systèmes cliniques, traitent les informations médicales protégées (PHI) de manière différente et disposent de capacités de sécurité variées.

Une évaluation et une surveillance approfondies des risques peuvent concrètement contribuer à gérer cette complexité et cette diversité avec succès.

Comment les établissements de santé concilient-ils la sécurité de l’information et l’efficacité clinique ?

Les établissements de santé concilient la sécurité de l’information et l’efficacité clinique grâce à une gestion réfléchie et à des contrôles de sécurité. Ils bénéficient ainsi d’une protection efficace et minimisent les frictions opérationnelles.

Des contrôles d’accès stricts peuvent-ils ralentir les soins médicaux d’urgence ?

En cas d’urgence, les établissements consacrent beaucoup de temps à l’authentification, au traitement des demandes d’accès et à la récupération des identifiants. Ainsi, les programmes de sécurité dans le secteur de la santé doivent être conçus en tenant compte des scénarios d’accès d’urgence et répondre à la fois aux exigences de sécurité et aux besoins cliniques.

Les mécanismes d’accès d’urgence permettant aux établissements de santé d’accéder rapidement aux dossiers médicaux peuvent contribuer à résoudre le défi mentionné. Plus précisément, l’accès rapide « d’urgence » (break-glass) implique la journalisation, l’examen et la validation au regard du contexte clinique, ce qui aide à détecter et à résoudre les problèmes de sécurité des données.

Pourquoi les cliniciens contournent-ils parfois les procédures de sécurité ?

Les cliniciens contournent parfois les procédures de sécurité en raison d’un problème de conception. Lorsque les coûts liés au flux de travail clinique imposés par les procédures de sécurité sont jugés inacceptables par rapport au bénéfice de sécurité perçu, les cliniciens s’efforcent de réduire ces coûts.

Lorsque les cliniciens contournent régulièrement les contrôles de sécurité, le paysage de risque réel reflète ce comportement de contournement plutôt que le contrôle prévu. Pour obtenir de meilleurs résultats en matière de sécurité, les établissements de santé devraient mettre en place des contrôles que les cliniciens utiliseront réellement, plutôt que de les contourner.

Comment les établissements de santé peuvent-ils réduire la fatigue liée aux mots de passe sans affaiblir la sécurité ?

La gestion de multiples mots de passe complexes, fréquemment modifiés, sur plusieurs systèmes cliniques entraîne une fatigue liée aux mots de passe, qui constitue une charge cognitive.

Les solutions d’authentification unique (SSO) contribuent à réduire cette fatigue. Comment ? Elles ne nécessitent qu’une seule authentification de la part des cliniciens pour accéder à plusieurs systèmes cliniques. Le SSO, associé à une authentification forte lors de la connexion initiale, réduit les frictions et renforce la sécurité.

L’authentification par proximité, basée sur des cartes à puce, des badges ou des lecteurs biométriques, permet aux établissements de santé de changer rapidement d’utilisateur sur des postes de travail partagés, résolvant ainsi le problème de gestion des sessions à l’origine du partage des identifiants dans les environnements cliniques.

L’authentification par simple contact (tap-on, tap-off) prend moins d’une seconde. Elle crée un minimum de friction et permet d’attribuer chaque session au bon utilisateur.

Quelles sont les politiques de sécurité qui créent le plus souvent des frictions pour le personnel médical ?

Ce sont principalement les politiques de délai d’expiration des sessions qui créent des frictions en matière de sécurité dans les environnements cliniques. En effet, lorsque de brèves périodes d’inactivité sont suivies d’un verrouillage automatique, le flux de travail sur les postes de travail partagés est interrompu. Par conséquent, les utilisateurs doivent se réauthentifier, ce qui alourdit la charge de travail.

Les exigences complexes en matière de mots de passe, liées à leur longueur et aux caractères utilisés, ne permettent pas aux utilisateurs de mémoriser facilement leurs mots de passe. Ils en viennent donc à partager leurs identifiants et à les réutiliser. En conséquence, la sécurité s’affaiblit et les frictions s’accentuent.

Comment les établissements de santé doivent-ils réagir face aux violations de données des DSE et aux défis en matière de sécurité ?

Les établissements de santé doivent disposer d’un plan coordonné pour réagir immédiatement aux violations de données des DSE. Ils pourront ainsi garantir leur conformité légale et réglementaire, ainsi qu’une sécurité à long terme.

Que doit inclure un plan d’intervention efficace après une violation de données dans le secteur de la santé ?

Un plan d’intervention efficace en cas de violation des données de santé doit définir l’autorité chargée de signaler la violation, de mettre en œuvre les procédures d’urgence, de prendre les décisions relatives aux paiements et d’assurer la communication avec les organismes de réglementation et le public. Sans cela, des décisions imprévues et peu claires entraînent des retards coûteux et chronophages, ainsi qu’une confusion pour les établissements de santé.

Le plan doit inclure des ressources externes pouvant être mobilisées en quelques heures. Sans ces ressources, lorsqu’une violation se produit, l’enquête judiciaire, les démarches juridiques et la gestion des relations publiques subiront des retards. Il est donc essentiel de mettre en place à l’avance des mesures d’intervention en cas de violation des données de santé et d’établir une communication avec les professionnels concernés.

Comment les établissements doivent-ils enquêter, contenir et remédier à une violation ?

Lorsqu’une violation potentielle est détectée, la première étape consiste à mettre fin aux tentatives du pirate informatique d’accéder aux systèmes et d’exfiltrer des données. Pour contenir une violation, les établissements isolent les systèmes compromis, même si cela peut perturber les opérations cliniques. Si un attaquant continue d’accéder aux systèmes pendant que l’enquête se poursuit, des risques supplémentaires majeurs apparaissent.

Les enquêteurs informatiques doivent préserver les preuves tandis que les équipes opérationnelles rétablissent les services. Le dossier d’enquête, comprenant les images informatiques capturées avant la remédiation, aide les professionnels à comprendre l’étendue de la violation et à démontrer la réponse de l’organisation aux autorités de régulation.

Une remédiation efficace permet de remédier aux erreurs de configuration, aux vulnérabilités non corrigées, aux privilèges excessifs et à l’absence de surveillance qui ont permis à l’attaque de réussir.

Quand et comment les patients, les autorités de régulation et le public doivent-ils être informés ?

Les patients concernés doivent recevoir une notification individuelle dans les 60 jours suivant la découverte de la violation. La loi HIPAA prévoit des exigences spécifiques en matière de notification des violations. Les organisations doivent se conformer à ces exigences, quelle que soit la complexité de la situation.

Le ministère américain de la Santé et des Services sociaux doit recevoir les notifications relatives aux violations touchant 500 personnes ou plus dans un délai de 60 jours. Si une violation a touché 500 résidents ou plus d’un État ou d’une juridiction, des notifications doivent être envoyées aux principaux médias de cette région.

Le contenu de la notification est tout aussi important que son timing. Une notification efficace explique ce qui s’est passé, quelles informations ont été compromises, quelles mesures l’organisation prend à cet égard, quelles mesures les patients doivent prendre pour se protéger, et propose des services de surveillance du crédit et de protection contre l’usurpation d’identité afin d’aider les personnes concernées.

Déroulement type d’une attaque moderne par ransomware dans le secteur de la santé

Les pirates obtiennent généralement un premier accès plusieurs semaines, voire plusieurs mois, avant la violation. Les e-mails de hameçonnage contenant des logiciels malveillants destinés à collecter des identifiants comptent parmi les moyens les plus courants.

De plus, les attaquants ciblent à distance les vulnérabilités liées à Internet dans les systèmes et piratent les identifiants de fournisseurs tiers. C’est ainsi qu’ils tentent de s’implanter dans le réseau avant de passer à l’étape suivante.

L’étape suivante consiste à effectuer une reconnaissance du réseau et à collecter des informations. Plus précisément, les attaquants cartographient la topologie du réseau, identifient les systèmes à forte valeur ajoutée, localisent l’infrastructure de sauvegarde et dressent l’inventaire des contrôles de sécurité.

C’est à ce moment-là que les attaquants sont les plus faciles à détecter. En effet, les activités de reconnaissance génèrent un trafic réseau et des requêtes système qui s’écartent des schémas habituels. Par ailleurs, les équipes de sécurité du secteur de la santé ignorent généralement cette phase en raison de capacités de détection limitées.

Élévation des privilèges et découverte des DSE

Une fois que les attaquants se sont implantés dans les systèmes, l’étape suivante consiste à se concentrer sur l’élévation des privilèges afin d’obtenir des identifiants ou un accès doté de privilèges supérieurs à ceux de la phase initiale. Dans le secteur de la santé, cela implique généralement d’exploiter des services mal configurés, de cibler des vulnérabilités ou d’obtenir des identifiants non protégés de manière adéquate.

Ils identifient ainsi et accèdent à des sources de grande valeur, telles que les systèmes de DSE et les serveurs de bases de données. Lorsque les attaquants chiffrent des données et menacent de les publier, ils préparent et stockent les données brutes issues des systèmes de DME en vue de leur exfiltration, puis ne procèdent qu’ensuite au chiffrement. Il ne leur faut que quelques jours ou semaines pour transformer des gigaoctets, voire des téraoctets, de données de patients en une infrastructure contrôlée par les attaquants.

Ciblage des sauvegardes et perturbation de la restauration

Les attaques sophistiquées d’extorsion visant les établissements hospitaliers consistent spécifiquement à paralyser les systèmes de sauvegarde avant de procéder au chiffrement. Les pirates peuvent utiliser les réseaux pour accéder aux informations de sauvegarde via des systèmes compromis, et ces informations sont chiffrées en même temps que les données primaires.

Les attaquants compromettent les consoles de gestion des sauvegardes et suppriment les catalogues de sauvegarde. Leur objectif est d’éliminer les options de restauration afin d’exercer une pression accrue sur l’établissement de santé.

La bonne nouvelle, c’est qu’un stockage de sauvegarde immuable, dans lequel les données ne peuvent être ni modifiées ni supprimées, est essentiel pour les établissements de santé lorsqu’il s’agit de sécuriser les informations.

Les sauvegardes « air-gapped » ou immuables protègent les données contre le chiffrement utilisé dans les attaques par extorsion visant le secteur de la santé et permettent la restauration des données. Malheureusement, les sauvegardes connectées ou accessibles ne présentent pas les avantages mentionnés.

Quels indicateurs et quelles stratégies d’amélioration continue permettent de mesurer l’efficacité de la sécurité de l’information dans le secteur de la santé ?

Les établissements de santé suivent certains indicateurs pour mesurer l’efficacité de la sécurité relative à la protection des dossiers médicaux électroniques. Ces indicateurs peuvent inclure le taux de clôture des évaluations de risques et les taux de réussite aux simulations de phishing, ainsi que les délais de réponse aux incidents de sécurité.

Des analyses régulières des risques liés à la loi HIPAA et des analyses de vulnérabilité, ainsi qu’une formation continue visant à sensibiliser le personnel à la cybersécurité, peuvent contribuer à améliorer cette efficacité.

Quels indicateurs clés de performance (KPI) et indicateurs de risque les établissements de santé doivent-ils suivre ?

Les établissements de santé doivent suivre l’indicateur temps moyen de détection (MTTD) afin de déterminer le délai moyen entre l’accès initial et la détection de la violation. Ils peuvent ainsi identifier la corrélation la plus forte avec l’impact de la violation.

En effet, détecter les pirates en quelques heures permet d’éviter des dommages majeurs, ce qui n’est pas le cas lorsque la détection des attaquants prend des mois. Quant à l’indicateur « temps moyen de réponse » (MTTR), il montre si l’organisme organise clairement sa réponse, dispose de ressources suffisantes et bénéficie d’un pouvoir de décision sans ambiguïté.

Prenons un autre indicateur : la latence des correctifs. Elle reflète le délai entre la divulgation d’une vulnérabilité et le déploiement du correctif. Cet indicateur permet de mettre en évidence les faiblesses de l’organisme face aux vulnérabilités.

Dans le secteur de la santé, l’application des correctifs exige des organisations qu’elles évaluent l’impact clinique et prévoient des fenêtres de maintenance programmées. Dans ce cas, la latence des correctifs est plus longue que dans des environnements soumis à moins de contraintes opérationnelles, tels que les secteurs financier et juridique. Cet indicateur nécessite une attention organisationnelle soutenue pour un suivi et une gestion adéquats.

Un autre indicateur, le taux de réalisation des revues d’accès, indique si les organisations de santé procèdent effectivement à des revues périodiques des privilèges d’accès des utilisateurs et prennent des mesures sur la base de ces revues. En effet, si ces revues ne sont consignées que sur papier, elles n’apportent aucun bénéfice en matière de sécurité.

À quelle fréquence faut-il réaliser des évaluations de sécurité, des tests d’intrusion et des audits ?

La conformité minimale exige des établissements de santé qu’ils effectuent des évaluations annuelles. Mais cette évaluation ne suffit pas. Et les établissements qui s’appuient uniquement sur des évaluations annuelles menées par des tiers pour évaluer leur sécurité ne peuvent mesurer leur niveau de sécurité qu’à la date précise à laquelle l’évaluation a été réalisée.

Les tests d’intrusion utilisant les méthodes réelles des attaquants fournissent une évaluation plus pertinente. Une telle simulation permet de mettre au jour des vulnérabilités exploitables. De plus, elle permet de tester l’efficacité de la détection des menaces et de vérifier si l’organisme dispose de capacités de réponse adéquates face à des attaques réalistes.

Si un organisme souhaite mettre en place une évaluation de la sécurité qui corresponde à l’environnement réel, il doit surveiller les menaces en permanence, tout en menant simultanément des évaluations périodiques et des tests d’intrusion guidés par les risques plutôt que par des calendriers de conformité.

Comment les enseignements tirés des incidents peuvent-ils être intégrés aux mises à jour des politiques et des technologies ?

Les analyses menées après les attaques aident les organismes de santé à tirer les leçons de leur expérience. La compréhension des facteurs systémiques enrichit l’apprentissage organisationnel.

Lorsque les organisations examinent pourquoi les contrôles de sécurité n’ont pas empêché la menace, quelles vulnérabilités existaient et pourquoi la détection de la menace a été retardée, elles acquièrent une meilleure compréhension des améliorations de sécurité significatives qu’elles doivent apporter.

Ensuite, les organisations doivent intégrer les enseignements tirés dans leurs politiques concrètes et procéder à des changements technologiques en fonction de ces enseignements. De plus, elles doivent assurer le suivi des recommandations issues des analyses post-incident, les attribuer à des responsables et vérifier leur mise en œuvre. Si ces recommandations restent sur le papier, elles ne peuvent pas apporter de valeur ajoutée en matière de sécurité.

Comment Bacula Systems aide-t-il les établissements de santé à sécuriser les dossiers médicaux électroniques et à protéger les données des patients ?

Considérez-vous la sauvegarde des données de santé comme un enjeu de résilience informatique ? En fin de compte, il s’agit d’un enjeu de sécurité des patients. Lorsque des pirates informatiques piratent et chiffrent les systèmes principaux d’un hôpital, et que celui-ci ne peut plus recourir à la restauration à partir des sauvegardes, les conséquences cliniques se font immédiatement sentir.

Plus précisément, les interventions chirurgicales ne sont pas réalisées dans les délais, les dossiers papier sont incomplets et les décisions prises ne tiennent pas compte des antécédents du patient, ce qui accroît le risque clinique.

Bacula Systems a été développé en tenant compte des réalités opérationnelles afin de contribuer efficacement à la protection des données de santé.

Bacula offre aux hôpitaux une résilience face aux incidents de ransomware grâce à la séparation entre les systèmes de production et de sauvegarde

Les cybercriminels les plus sophistiqués spécialisés dans l’extorsion dans le secteur de la santé chiffrent les systèmes principaux des établissements de santé et ne quittent pas les réseaux piratés. Ils mettent tout en œuvre pour identifier et détruire l’infrastructure de sauvegarde. Leur objectif est de s’assurer que les prestataires de soins ne puissent pas récupérer leurs données sans payer le cybercriminel.

Bacula pour le secteur de la santé offre une véritable séparation architecturale entre les données de sauvegarde et les environnements de production.

Bacula prend en charge les copies de sauvegarde en « air-gap » et un chiffrement robuste, de sorte que même des identifiants compromis ne puissent ni modifier ni supprimer les données. Cela empêche également les cybercriminels de compromettre la capacité de restauration des données, permettant ainsi aux établissements de santé d’éviter des conséquences catastrophiques.

Bacula offre une conformité aux normes HIPAA et des capacités d’audit

De nombreux établissements de santé négligent les questions de conformité liées à l’ePHIA. Il s’agit de la copie de sauvegarde d’une base de données de dossiers médicaux électroniques (DME), qui est soumise aux mêmes obligations en matière de contrôle d’accès, de chiffrement et d’audit prévues par la loi HIPAA que les données primaires.

Bacula propose des contrôles de sécurité avancés qui peuvent aider les prestataires de soins de santé à gérer les accès en fonction des rôles, à rendre la journalisation d’audit exhaustive et à garantir la conformité réglementaire. Ces contrôles de sécurité jouent un rôle particulier dans le secteur de la santé, où les prestataires traitent différents types de dossiers et de populations de patients.

Bacula prend en charge les environnements hétérogènes

Les solutions de sauvegarde générales ne peuvent pas résoudre les problèmes liés à l’infrastructure hétérogène du secteur de la santé. Cette infrastructure n’est pas homogène : elle comprend des systèmes cliniques hérités, des bases de données spécialisées et des applications propriétaires.

Bacula prend en charge cette diversité, notamment SQL Server, Oracle et MySQL. Les établissements de santé utilisant Epic, Cerner ou MEDITECH peuvent recourir à Bacula pour restaurer leurs données, garantissant ainsi le bon fonctionnement clinique de leurs systèmes.

Bacula prend en charge les tests d’intégrité des sauvegardes et la restauration vérifiée

Il est risqué de supposer que les tâches de sauvegarde terminées constituent des sauvegardes restaurables. Bacula propose des tests d’intégrité automatisés pour aider les organisations à vérifier régulièrement la récupérabilité des données. Cela permet également de conserver des preuves documentées concernant la restauration des données et le temps nécessaire à celle-ci.

La base open source de Bacula, disponible sous le nom de Bacula Community Edition, est une plateforme offrant toutes les fonctionnalités ainsi que des capacités de sauvegarde et de restauration de niveau production. La Community Edition fournit un ensemble complet de fonctionnalités sans nécessiter de licence d’entreprise.

Les fonctionnalités d’entreprise de Bacula étendent et améliorent cette même architecture, garantissant la conformité aux obligations de sauvegarde HIPAA sans compromettre l’architecture de sécurité requise par la protection des données des patients.

Pourquoi l’échec d’une sauvegarde constitue souvent une véritable catastrophe en matière de sécurité dans le secteur de la santé

La sauvegarde est cruciale, car son échec peut constituer une véritable catastrophe en matière de sécurité dans le secteur de la santé, les organisations considérant généralement la sauvegarde comme un mécanisme de restauration de dernier recours.

Les sauvegardes échouent généralement parce que les établissements de santé accordent davantage d’importance à la sécurité périmétrique, à la détection des menaces et au contrôle d’accès. Plus précisément, le manque de tests de restauration, la corruption du matériel et les erreurs humaines, telles que des alertes non surveillées ou des erreurs de configuration, conduisent à l’échec des sauvegardes.

Plus précisément, lorsque les systèmes principaux deviennent indisponibles, la sauvegarde est le seul recours. La possibilité de récupérer les données ou de faire face à une catastrophe organisationnelle dépend de la qualité de l’architecture de sauvegarde, de l’exhaustivité de la couverture de sauvegarde et de la capacité de restauration testée des informations sauvegardées.

Les auteurs d’attaques par ransomware ciblent les sauvegardes avant même que le chiffrement des systèmes de production ne soit lancé. Leur objectif est d’éliminer toute possibilité de restauration, forçant ainsi l’organisme de santé à payer la rançon. Concrètement, les pirates utilisent des accès privilégiés pour cartographier les réseaux, compromettre les serveurs de sauvegarde et effacer les données.

Une vérification proactive est nécessaire pour détecter une sauvegarde corrompue ou incomplète lors d’une urgence liée aux données.

Certaines hypothèses concernant la sauvegarde – jugées raisonnables avant l’ère des ransomwares – s’avèrent insuffisantes dans le contexte actuel de menaces considérablement accrues. Seules les sauvegardes testées peuvent être considérées comme fonctionnelles.

Lors des tests, les établissements restaurent les données à partir de la sauvegarde dans un environnement de test. Ils vérifient ensuite que les systèmes et les données restaurés sont complets et opérationnels, sans se contenter de constater que le processus s’est déroulé sans erreur.

Les auteurs d’attaques par ransomware visant des hôpitaux, capables d’utiliser les systèmes principaux pour accéder aux données de sauvegarde, chiffrent ces dernières. Les attaquants exploitent les vulnérabilités liées aux systèmes principaux. Plus précisément, ils tirent parti des référentiels de données connectés aux réseaux, des systèmes de gestion des sauvegardes et des outils de sauvegarde dans le cloud nécessitant des identifiants.

Si les établissements de santé utilisent une architecture de sauvegarde efficace, les pirates ne pourront pas accéder aux données de sauvegarde en compromettant les systèmes principaux. Même si les attaquants utilisent des identifiants et des segments de réseau distincts, ni l’isolation physique (air-gap), ni l’immuabilité logique, ni la séparation architecturale ne leur permettront de réussir.

En ce qui concerne les objectifs de reprise, les établissements de santé doivent tester l’objectif de temps de reprise (RTO). Celui-ci indique le temps que prendra la restauration, par rapport aux exigences opérationnelles cliniques : les spécifications théoriques n’ont aucune importance.

Que se passerait-il si la restauration d’un système de DME dans un hôpital à partir d’une sauvegarde prenait 72 heures en raison d’une dégradation grave des opérations cliniques ? Un tel scénario doit être envisagé avant l’attaque afin qu’il ne constitue pas une surprise pendant ou après le piratage.

Comment les technologies de l’information dans le domaine de la santé vont-elles transformer l’avenir de la sécurité des dossiers médicaux électroniques ?

Le paysage technologique de la sécurité des dossiers médicaux électroniques évolue à un rythme soutenu, transformant l’avenir de la sécurité des informations de santé. Ces changements fondamentaux résultent de l’essor rapide de l’intelligence artificielle, de l’interopérabilité croissante des données de santé et des solutions cryptographiques modernes. Ces évolutions ont une incidence sur la manière dont les établissements de santé traitent et partagent les données sensibles des patients.

Comment l’intelligence artificielle et l’apprentissage automatique pourraient-ils améliorer la détection des menaces et la protection de la vie privée ?

Les modèles d’analyse comportementale et d’apprentissage automatique basés sur l’IA, développés à partir des schémas d’accès habituels de chaque utilisateur, peuvent détecter les écarts liés à un accès inapproprié. De plus, ils permettent d’identifier les identifiants compromis avec une plus grande précision que les systèmes de détection basés sur des règles. Cela peut aider les établissements de santé à détecter les menaces et à protéger efficacement la vie privée des patients.

Quels sont les défis dans le secteur de la santé ? Par exemple, un médecin ou une infirmière assurant un service qui ne lui est pas familier peut accéder à des dossiers sans intention malveillante. Les modèles générant un grand nombre de faux positifs peuvent ne pas apporter de valeur ajoutée en matière de sécurité, tandis que ceux qui réduisent ce nombre risquent de ne pas détecter de véritables anomalies.

Une approche décentralisée de l’apprentissage automatique permet de détecter les menaces sans utiliser de données sensibles sur les patients à des fins d’entraînement. Grâce à cet entraînement décentralisé de l’IA, les modèles d’IA entraînés sur les données situées derrière le pare-feu de l’établissement circulent d’un établissement à l’autre. Seules les mises à jour mathématiques anonymisées peuvent circuler à l’échelle mondiale.

Quelles sont les implications en matière de sécurité d’une interopérabilité accrue et de l’échange de données de santé ?

Le programme d’interopérabilité des soins de santé donne naissance à un écosystème de données de santé qui permet aux informations des patients de circuler librement entre les prestataires de soins, les patients et les acteurs financiers. En conséquence, les enjeux de sécurité deviennent beaucoup plus complexes.

Ce programme s’appuie sur certaines réglementations, notamment les règles relatives au blocage de l’information de l’Office of the National Coordinator for Health IT et les exigences d’interopérabilité des Centers for Medicare & Medicaid Services (CMS).

Des architectures de sécurité efficaces protègent les données au-delà des environnements fermés de dossiers médicaux électroniques (DME), en ciblant un écosystème plus ouvert sans sacrifier les avantages cliniques offerts par l’interopérabilité.

Plus précisément, les API Fast Healthcare Interoperability Resources (FHIR) qui sous-tendent l’expansion actuelle de l’interopérabilité s’accompagnent d’exigences de sécurité spécifiques. Par exemple, des normes telles que les cadres d’autorisation OAuth 2.0, les contrôles de sécurité des passerelles API et les pratiques de gestion des jetons constituent de nouvelles exigences dans le paysage de la sécurité des API du secteur de la santé auxquelles les organisations doivent se conformer.

La blockchain, le chiffrement homomorphe ou l’apprentissage fédéré pourraient-ils changer la manière dont les DME sont sécurisés ?

Le chiffrement homomorphe permet d’effectuer des calculs sur des données chiffrées sans les déchiffrer. Il revêt une importance théorique pour les applications de santé, car l’analyse de données sensibles relatives aux patients ne doit pas exposer les dossiers sous-jacents.

Une telle analyse des données chiffrées des DME permet d’identifier les lacunes dans les données de santé ou les populations à risque sans accéder à des informations lisibles sur les patients.

La technologie de la blockchain constitue un mécanisme potentiel pour la gestion des données de santé contrôlée par les patients, la gestion des consentements et la journalisation des audits.

L’utilisation pratique de la technologie de la blockchain dans le secteur de la santé est précieuse pour contrôler l’accès aux données des patients, lutter contre les menaces internes et améliorer la résilience face aux attaques visant le chiffrement des données.

L’apprentissage fédéré, déjà mentionné, peut s’avérer utile dans la pratique pour développer des modèles d’IA collaboratifs visant à préserver la confidentialité des données. Et c’est cette catégorie technologique qui contribue le mieux à la mise en œuvre concrète d’applications de sécurité dans le secteur de la santé.

Quelles listes de contrôle pratiques et recommandations les organisations peuvent-elles suivre dès maintenant ?

Des listes de contrôle pratiques et des recommandations, telles que l’authentification multifactorielle et la validation de l’architecture de sauvegarde, aident les organisations à lutter contre les attaques en s’appuyant sur la connaissance des menaces plutôt que de subir une nouvelle violation.

Ces recommandations peuvent être classées en actions immédiates visant à réduire les risques dès aujourd’hui, en investissements destinés à mettre en place une sécurité robuste, et en pratiques collaboratives allant au-delà des contrôles de sécurité de l’organisation.

Quelles mesures de sécurité immédiates les organisations de santé devraient-elles privilégier pour leurs systèmes de DME ?

L’authentification multifactorielle (MFA) pour tous les accès aux DME peut aider les organisations de santé à réduire considérablement les risques sans coûts de mise en œuvre supplémentaires. La MFA a l’impact le plus important sur le phishing, le vol d’identifiants et les attaques par force brute. Or, ce sont principalement ces mécanismes d’accès que les cyberattaquants ciblant le secteur de la santé exploitent.

L’examen et la réduction des accès privilégiés constituent une autre mesure que les établissements doivent privilégier face à l’octroi excessif de privilèges constaté dans la plupart des violations majeures du secteur de la santé. Les établissements doivent inclure dans cet examen les comptes de service, d’accès des fournisseurs et les comptes hérités ayant accumulé des privilèges.

Vient ensuite la validation de l’architecture de sauvegarde. Cette mesure de sécurité aide les établissements à tester la capacité de restauration des sauvegardes dans des conditions réalistes. Elle garantit que les données de sauvegarde sont isolées de l’accès au réseau principal.

Elle permet également de vérifier que l’objectif de temps de reprise (RTO) tient compte du point de défaillance, en déterminant si les données compromises sont récupérables ou si leur perte peut entraîner des conséquences catastrophiques.

Enfin, l’examen de la segmentation du réseau permet aux établissements de santé d’évaluer si les systèmes de dossiers médicaux électroniques (DME), les dispositifs médicaux et les réseaux cliniques sont correctement séparés les uns des autres et des réseaux à usage général. Cela contribue à améliorer la résilience face aux attaques par ransomware visant les hôpitaux.

Liste de contrôle en 10 étapes pour la protection des dossiers médicaux électroniques destinée aux établissements de santé

Quels investissements en matière de gouvernance, de formation et de moyens techniques faut-il prévoir à long terme ?

Les établissements de santé devraient concevoir des formations de sensibilisation à la sécurité en tenant compte des obstacles qui freinent l’adhésion du personnel soignant et le changement de comportement. Les indicateurs de conformité sont moins importants.

L’accent doit être mis en priorité sur des contenus adaptés à chaque rôle, des simulations réalistes d’hameçonnage et les enseignements tirés de chaque cas spécifique. Les modules annuels de sensibilisation générale apportent moins de valeur ajoutée.

Les établissements doivent également investir dans des programmes de gestion des risques liés aux tiers afin d’assurer la cohérence de l’évaluation de la sécurité des fournisseurs, de la gestion des accords de partenariat commercial (BAA) au titre de la loi HIPAA, de la surveillance continue et de la notification des violations.

Enfin, il est essentiel d’investir dans les capacités de détection des menaces. Cela implique que les établissements déploient des solutions de gestion des informations et des événements de sécurité (SIEM), mettent en œuvre la gestion des journaux, analysent le comportement des utilisateurs et renforcent leur capacité à mener des enquêtes proactives sur les menaces. Elles pourront ainsi combler les lacunes de détection à l’origine des violations majeures dans le secteur de la santé.

Comment les patients et les prestataires de soins peuvent-ils collaborer pour renforcer la confiance et la résilience au sein des écosystèmes de DSE ?

Les patients peuvent considérablement aider les prestataires de soins à renforcer la confiance et la résilience en utilisant activement les portails patients et en consultant leurs dossiers personnels. Ils contribueront ainsi à réduire les risques et les conséquences catastrophiques liés aux violations du contrôle d’accès et à l’usurpation d’identité médicale. Les établissements de santé devraient d’ailleurs encourager ce type de comportement de la part des patients.

De plus, les établissements de santé devraient favoriser une communication transparente entre les patients et les prestataires de soins concernant les pratiques de sécurité. Plus précisément, les prestataires de soins devraient informer les patients des pratiques en matière de protection des données et de la manière dont ils doivent signaler toute activité suspecte.

La relation patient-prestataire n’en sera que plus solide. Les patients seront ainsi mieux informés sur la manière de détecter et de signaler les anomalies.

FAQ

Comment les établissements de santé peuvent-ils détecter un accès non autorisé aux données des patients avant qu’une violation majeure ne se produise ?

Pour détecter rapidement tout accès non autorisé aux données des patients, les établissements de santé doivent se concentrer sur la surveillance comportementale des accès au sein de l’environnement des dossiers médicaux électroniques (DME).

Plus précisément, l’analyse du comportement des utilisateurs permet de mettre en évidence les accès aux informations des patients à des heures inhabituelles ou le téléchargement de volumes de dossiers anormalement importants. Il s’agit là de signaux d’alerte visibles avant une violation majeure des données.

De plus, cette surveillance des schémas d’activité des utilisateurs peut être combinée avec les journaux d’authentification, le trafic réseau et les journaux d’accès aux DME pour une efficacité accrue.

Quels sont les principaux défis en matière de sécurité lors de la migration des dossiers médicaux électroniques vers des environnements cloud ?

Il est essentiel de bien comprendre les responsabilités en matière de sécurité tant du fournisseur de services cloud que de l’établissement de santé. De nombreux prestataires de soins de santé ignorent souvent quelles sont leurs responsabilités en matière de sécurité et ne les découvrent qu’après la migration.

Par ailleurs, il est essentiel de prêter attention à la gestion des identités et des accès dans les environnements cloud. En effet, les violations liées au cloud sont généralement causées par un stockage cloud mal configuré et dépourvu de contrôles d’identité adéquats.

Enfin, les prestataires de soins de santé devraient investir dans des capacités de sécurité natives du cloud plutôt que de se concentrer sur la reproduction des contrôles sur site dans le cloud.

En quoi les dispositifs médicaux hérités et les systèmes hospitaliers obsolètes affaiblissent-ils la protection de la cybersécurité des dossiers médicaux ?

Très souvent, les systèmes d’exploitation des dispositifs médicaux hérités, notamment les pompes à perfusion et les moniteurs de surveillance des patients, ne sont plus pris en charge par leurs fabricants. De plus, leur mise à jour a des répercussions sur la certification des dispositifs. En conséquence, ces dispositifs deviennent vulnérables, ne prennent pas en charge les mécanismes d’authentification modernes et utilisent des protocoles dépourvus de chiffrement. Ils se transforment ainsi en une surface d’attaque potentielle.

Pour gérer ces risques, les prestataires de soins de santé doivent mettre en place une segmentation du réseau afin d’isoler ces appareils du reste du réseau. Ils doivent également surveiller les communications réseau de ces appareils pour détecter toute activité anormale et exiger des fabricants qu’ils fournissent des mises à jour de sécurité.

De plus, les prestataires doivent mettre en œuvre des politiques d’achat garantissant que les nouveaux appareils médicaux acquis intègrent des fonctionnalités de sécurité.