Par Julien Fournier, Vice President Southern Europe chez Netskope
D’après une étude de l’OCDE, 45 % des personnes ayant été confrontées à un événement ou à une situation préjudiciable dans leur parcours de soin ne font pas confiance au système de santé. Or, les résultats indiquent qu’une confiance dans ce dernier va de pair avec une meilleure santé. Ainsi, pour défier la difficulté à obtenir un rendez-vous, le risque de diagnostique erroné ou encore de mauvaise communication entre les professionnels de santé, le secteur de la santé redouble d’efforts pour transformer la manière dont les soins sont dispensés aux patients, notamment par une révolution digitale.
Dans cette quête de numérisation, les établissements hospitaliers se numérisent à toute allure, que ce soit en connectant leurs appareils, en adoptant l’IA ou en migrant leurs dossiers et workflows vers le cloud. Alors que la transformation numérique que traverse le secteur de la santé promet des soins à la fois plus intelligents, plus rapides et davantage personnalisés, toutes les opérations — de la planification des rendez-vous à la radiologie — sont désormais dépendantes d’un accès numérique ininterrompu à une vaste base de données personnelles. Chaque avancée numérique va de pair avec une exposition accrue aux risques. En deux mots, l’accès aux données est essentiel, mais la sécurité est capitale.
Moderniser et sécuriser la donnée, équilibre fragile
Le secteur de la santé est l’une des cibles privilégiées des cybercriminels. Les données qu’il traite se distinguent par leur valeur unique, dans la mesure où les dossiers médicaux regorgent de nombreuses informations personnellement identifiables (IPI) et comprennent aussi bien des antécédents médicaux privés que des informations financières. Les cybercriminels peuvent ainsi exploiter ces données à des fins de fraude financière, d’usurpation d’identité ou de chantage.
Cependant, les systèmes où résident ces données et auxquels les professionnels de santé ont accès souffrent de graves handicaps, les systèmes hérités et la dette technique constituant de véritables fardeaux qui font des organismes concernés des cibles de choix pour les cyberattaquants. Les systèmes qui gèrent les dossiers médicaux électroniques (DME), les systèmes mainframes et les applications personnalisées existent depuis plusieurs décennies, ce qui complique leur mise à jour tandis que leur intégration à de nouveaux workflows et systèmes soulève de nombreux problèmes. Parallèlement, les solutions mises en place en urgence pendant la pandémie (par exemple en ajoutant un VPN à un réseau en voie d’obsolescence) ont laissé derrière elles des failles et des lacunes de sécurité.
Ces outils hérités coexistent dans un enchevêtrement de systèmes, ce qui fragmente la visibilité, gonfle les coûts et érode la fiabilité de tous les instants dont sont tributaires les prestations de santé. Ainsi, des données d’une grande valeur et une infrastructure mal équipée forment le tandem idéal pour retarder les diagnostics, perturber les plans de traitement et mettre à mal la confiance des patients.
Comprendre les risques liés au secteur de la santé
S’agissant des risques, l’impact dépasse nettement le cadre des pénalités ou de l’atteinte à la réputation. En effet, si les systèmes critiques sont déconnectés, un dossier sensible peut être exposé voire la vie des patients peut être mise en danger. Les attaques de ransomware constituent à cet égard une cybermenace particulièrement sérieuse. Lorsque les cliniciens sont privés d’un outil essentiel ou que des patients sont confrontés à des retards de traitement, la pression exercée pour verser la rançon devient écrasante. Par ailleurs, l’approche « ransomware-as-a-service » facilite plus que jamais le lancement de campagnes sophistiquées, accélérant les compromissions à tous les niveaux du secteur et nourrissant le cycle de la cybercriminalité.
Du vol de données à l’extorsion en passant par la perturbation des services, les cybercriminels disposent d’une vaste panoplie de tactiques, et une seule violation fructueuse suffit pour paralyser les prestations de soins. Par ailleurs, l’exposition au travers d’initiés et de tierces parties ajoute un degré de vulnérabilité, dans la mesure où les collaborateurs, les sous-traitants et les partenaires commerciaux surchargés élargissent la surface d’attaque. Il suffit d’un clic, d’un identifiant réutilisé ou d’un fichier mal partagé pour ouvrir la porte aux cyberadversaires.
Parallèlement, l’adoption rapide de l’intelligence artificielle crée de nouveaux canaux qui permettent aux informations confidentielles de passer entre les mailles du filet via des prompts, sorties et autres outils fantômes, sans garde-fous ni réelle visibilité. Ainsi, ces pressions forment un environnement de risques complexe et convergent que les défenses périmétriques et les solutions indépendantes traditionnelles ne sont pas en mesure de gérer.
Unifier la sécurité pour répondre aux nouvelles demandes
À l’heure où il s’engage à utiliser efficacement des données pour nourrir les parcours de soins et améliorer les résultats, le secteur de la santé doit également se pencher avec insistance sur les architectures qu’il met en œuvre pour sécuriser les données. Une sécurité des données entièrement unifiée comble les failles qui permettent aux cyberrisques de se propager d’un bout à l’autre du système : en s’intégrant de manière transparente, en évoluant en fonction de la demande, en supprimant les frictions pour fluidifier l’accès et en s’adaptant au contexte en temps réel des utilisateurs, des appareils et des données.
Ce socle est notamment fourni par les plateformes SASE (Secure Access Service Edge), en ce qu’elle réunit les principales fonctionnalités de protection des réseaux et des données au sein d’une architecture unifiée déployée dans le cloud. Elle permet ainsi aux organismes de santé de visualiser et de gérer la totalité des risques à travers un prisme unique en fédérant contrôle d’accès, protection des données et prévention des menaces autour des utilisateurs et des données. Ce modèle repose sur les principes du zero trust sur la base desquels les signaux contextuels sont évalués en permanence et les décisions d’accès modulées par rapport à l’identité et au comportement de l’utilisateur, de la posture de l’appareil, de l’emplacement, de la sensibilité des données et de l’activité.
Encourager une visibilité complète des données
Dans un environnement où les informations médicales personnelles et les données cliniques représentent des cibles privilégiées pour les escrocs, il est primordial de prévenir les utilisations abusives ou les fuites que de stopper les attaques proprement dites. Ainsi, la protection des données en transit constitue une pièce essentielle du puzzle, parce qu’elle protège autant les données en mouvement que les données au repos. L’inspection avancée et la connaissance des données situationnelles permettent d’identifier et de protéger les informations sensibles lors de leurs déplacements entre les plateformes cloud, les applications SaaS et le web. En unifiant la sécurité des données, les organismes de santé bénéficient d’une visibilité complète de leurs données et de leur posture de sécurité, ce qui leur permet de contenir les risques, de l’exposition aux perturbations, en gérant et en analysant évènements et données au sein d’un cadre homogène.
De plus, en intégrant l’approche SASE à des solutions de détection et neutralisation des menaces, de gestion des services IT, de sauvegarde et de restauration, ces organismes bénéficient d’une visibilité panoramique et d’un cadre unique pour analyser les évènements et appliquer des règles adaptatives. Une telle consolidation élimine les frictions gênantes entre les prestations de santé et la sécurité pour contribuer à améliorer simultanément les performances, la conformité et la résilience.
Pour le secteur de la santé, la principale opportunité et le plus grand défi résident aujourd’hui dans son aptitude à gérer les risques liés aux données sans freiner le progrès technologique. Les organismes qui parviendront à cet équilibre offriront aux patients des soins connectés et sécurisés en toute confiance et sans compromis.
