Comment prévenir les failles de sécurité dans le secteur de la santé

les violations dans le secteur de la santé ont atteint un niveau record en 2021, poursuivant une tendance à la hausse qui a vu le nombre de dossiers médicaux américains violés plus que tripler au cours des trois dernières années. Les dossiers de santé sont une cible populaire pour une raison simple : les dossiers médicaux valent jusqu’à 40 fois plus que les données de cartes de crédit volées sur le dark web. En effet, les dossiers médicaux contiennent généralement des informations allant du numéro de sécurité sociale aux informations sur les bénéficiaires des régimes de santé, voire des identifiants biométriques, sans compter les informations sur les comptes financiers.

Mais le plus important est que l’augmentation des failles de sécurité dans le secteur de la santé est directement liée à la transformation numérique de ce secteur. Aujourd’hui, la prestation des soins de santé dépend entièrement des données. Les périphériques connectés recueillent des données vitales et d’autres informations sur la santé des patients qui permettent d’orienter les soins. Les dossiers médicaux électroniques (DME) stockent ces informations et pilotent les flux de soins, de l’autorisation des procédures à la prescription des médicaments. Tous les traitements, des plus simples aux plus complexes et avancés, sont désormais dispensés à l’aide de technologies numériques. L’infrastructure numérique est à la base des installations et des espaces où les soins sont dispensés : elle permet d’allumer les lumières, de contrôler les systèmes complexes de chauffage, de ventilation et de climatisation, ainsi que l’accès physique et la sécurité. Aujourd’hui, la croissance rapide de la télésanté entraîne des besoins supplémentaires en matière de sécurité des données. Les prestataires intègrent des technologies tierces et des plateformes Web pour rendre la télésanté transparente et pratique pour les patients et efficace pour les prestataires.

La sécurité des données est essentielle pour protéger l’ensemble de cet écosystème. Bien mené, un programme complet de sécurité des données permet d’obtenir trois résultats essentiels :

1. Confiance et fidélité des patients
   Les patients-consommateurs d’aujourd’hui ont les moyens de rechercher les « meilleurs » soins et sont de plus en plus sensibles à la confidentialité des données. Un programme de sécurité des données efficace permet de se prémunir contre les atteintes à la réputation – et les pertes de volume de patients qui en découlent – d’une violation des données.
2. Qualité des soins et sécurité des patients
   Garantir un accès ininterrompu aux informations sur la santé des patients et le fonctionnement des technologies et systèmes critiques est un objectif fondamental des prestataires de soins de santé : fournir des soins de haute qualité et atténuer les risques pour la sécurité des patients.
3. Éviter les coûts associés aux violations
   Le secteur des soins de santé est déjà à la pointe de la réglementation en matière de confidentialité des données, et le renforcement continu des exigences signifie que même de petites violations peuvent entraîner des amendes importantes. Mais les amendes ne sont que la partie émergée de l’iceberg lorsqu’il s’agit du coût total d’une violation de la sécurité. Par exemple, un hôpital de taille moyenne peut s’attendre à ce qu’une cyberattaque typique le mette hors service pendant 10 heures en moyenne, ce qui représente un coût de 45 700 dollars par heure.

La question primordiale est la numérisation exponentielle de tous les aspects des soins de santé, comme mentionné ci-dessus. Il ne fait aucun doute que cette transformation numérique apporte d’énormes avantages aux patients et aux prestataires de soins, et qu’elle continuera de libérer de nouvelles possibilités et un potentiel puissant dans les années à venir. Mais elle présente également des risques de sécurité considérablement accrus, tout simplement parce qu’elle crée un écosystème numérique beaucoup plus large et plus complexe, avec beaucoup plus de points où un acteur malveillant pourrait avoir accès ou des données pourraient fuir ou être exposées. Un rapport publié au printemps 2022 a identifié cinq sources principales de problèmes de sécurité des données dans le secteur des soins de santé :

1. Les périphériques médicaux connectés/« intelligents » de l’IdO : le nombre de périphériques connectés dans les hôpitaux et les cliniques continue de croître de manière exponentielle. É-U. Health and Human Services (HHS) rapporte que plus de la moitié des périphériques médicaux connectés les plus utilisés sont vulnérables aux cyberattaques.
2. Utilisation croissante de la télésanté : le passage à la télésanté et aux soins de santé mobiles, induit par la pandémie, s’avère être là pour de bon. Les patients qui accèdent aux soins de santé en dehors du « périmètre » traditionnel de la sécurité des données présentent une multitude de risques et de défis en matière de sécurité.
3. Le Cures Act : Le Cures Act de 2016 vise à réduire les obstacles à l’interopérabilité des systèmes et des périphériques dans les soins de santé. Cela soutient et accélère directement l’innovation technologique, mais présente également des points supplémentaires où les données peuvent être fuies ou volées en transit.
4. Des départements informatiques manquant de ressources : les pénuries de personnel et les restrictions budgétaires touchent tous les services de l’hôpital, ce qui peut conduire à ce que des éléments comme les correctifs de sécurité passent à travers les mailles du filet et à ce que les piles technologiques ne soient pas mises à jour et renforcées pour répondre aux demandes et aux risques modernes. En outre, le HHS signale que l’hôpital type est tout simplement « dépassé » par les cyberattaquants du point de vue de la technologie et du personnel.
5. Manque de formation des employés en matière de sécurité : le facteur humain reste le plus grand risque pour la sécurité, qu’il s’agisse de cliquer sur un lien d’hameçonnage, de perdre ou de partager des informations d’identification, ou de laisser entrer dans l’établissement des visiteurs non enregistrés.

On estime que 3 violations de la sécurité des soins de santé sur 4 proviennent de l’un de ces cinq problèmes fondamentaux.

Commencez par vous concentrer sur la protection des données des patients

La stratégie de sécurité des données la plus fondamentale consiste à se concentrer sur la protection des données des patients qui alimentent les soins de santé modernes, en mettant en place les technologies et les processus appropriés et en instaurant une culture de la sécurité des données. Pour garantir la disponibilité et l’intégrité des données des patients, les hôpitaux et les systèmes de santé doivent prendre plusieurs mesures :

• Chiffrer et donner des jetons à toutes les données des patients – en transit et au repos pour les protéger contre tout accès non autorisé
• Permettre la signature numérique des dossiers des patients pour maintenir une chaîne de contrôle sécurisée sur les données des patients et contribuer à atténuer les risques de fraude et de falsification
• Lors du partage ou du déplacement des données des patients, toutes les informations personnelles identifiables (PII) doivent être chiffrées pour mieux protéger la vie privée des patients.

Cochez toutes les cases de conformité

Outre l’importance clinique de la sécurité des données des patients, les hôpitaux et les systèmes de santé doivent atteindre et maintenir la conformité à une série d’exigences réglementaires toujours plus strictes – de l’HIPAA et de la loi sur les technologies de l’information en matière de santé économique et clinique (HITECH), au règlement général sur la protection des données (GDPR), à la loi californienne sur la protection de la vie privée des consommateurs (CCPA), aux services d’identification électronique, d’authentification et de confiance (eIDAS), etc.

Pour la plupart des organismes de soins de santé, la mise en conformité avec la loi HIPAA est le principal objectif. Voici quatre domaines de sécurité des données à privilégier pour la conformité HIPAA :

• Authentification forte : l’HIPAA accorde une grande priorité à la limitation, au contrôle et à la surveillance de l’accès physique et numérique aux espaces, aux actifs et aux données. Offrez aux utilisateurs autorisés une authentification à haut niveau de sécurité, basée sur les justificatifs d’identité, qui leur permette d’authentifier rapidement et facilement leur identité et leurs privilèges d’accès.
• Certificats numériques : les certificats numériques complètent l’authentification forte en confirmant l’identité d’un périphérique, d’un serveur ou d’un utilisateur. Un programme de certificats numériques robuste est de plus en plus essentiel pour permettre l’écosystème sans friction et entièrement intégré des périphériques IoT connectés au sein d’un hôpital ou d’un système de santé.
• Protection des données : l’HIPAA stipule que les informations de santé protégées (PHI) doivent être chiffrées, sauf justification « raisonnable et appropriée ». En outre, un chiffrement efficace des données – en transit et au repos – peut aider les organisations à éviter des pénalités importantes en cas de violation.

Renforcer la sécurité des données autour de l’architecture numérique critique

Les normes et les meilleures pratiques en matière de sécurité des données qui ont été utilisées pour sécuriser les postes de travail de bureau et les technologies traditionnelles sur site ne peuvent tout simplement pas suivre à l’ère des applications dans le Cloud, de la connectivité mobile et des piles technologiques sans périmètre. Les hôpitaux et les systèmes de santé doivent construire une pile de sécurité à l’épreuve du temps, capable de permettre l’accès instantané et sans contrainte nécessaire, tout en contrecarrant les risques croissants de cyberattaque, de fraude et de violation. Voici trois domaines sur lesquels il faut se concentrer :

• Prendre des mesures pour protéger les systèmes de DSE : les certificats numériques pour les périphériques IoT ; les connexions sans mot de passe ; l'authentification à haute assurance basée sur les références ; et les modules de sécurité matérielle (HSM) validés par les Federal Information Processing Standards (FIPS) peuvent aider votre organisation à protéger l'intégrité numérique de votre système EHR et à prévenir les failles de sécurité dans les soins de santé.
• Sécuriser les périphériques IoT : le chiffrement et les signatures numériques de niveau entreprise, ainsi qu’une racine de confiance protégeant les clés cryptographiques sous-jacentes, doivent toujours être utilisés comme meilleure pratique pour garantir un environnement sécurisé.
• Protéger le matériel et les microprogrammes : une infrastructure numérique de haute sécurité doit utiliser des clés, des certificats et un chiffrement de bout en bout pour garantir également l’authenticité et l’intégrité du micrologiciel qui alimente les périphériques IoT intelligents et connectés.

Utilisez des technologies intelligentes de sécurité des données afin de permettre à votre personnel d’être moderne et productif

La « nouvelle normalité » a remodelé la façon de travailler du personnel de santé. Les prestataires interagissent virtuellement avec les patients grâce aux services de télésanté et de santé mobile. Le personnel clinique et administratif adopte des modèles de travail à distance et hybrides. Il est essentiel de permettre ces nouvelles méthodes de travail pour étendre et améliorer la manière dont les soins sont dispensés. Il est également essentiel de protéger les résultats économiques, ainsi que d’attirer et de retenir le personnel face aux pressions incessantes de la main-d’œuvre.

• Intégrer les technologies de nouvelle génération : le rythme de l’innovation dans le monde des technologies de productivité et de collaboration ne cesse de s’accélérer. Ce sont les outils et les technologies qui permettent aux cliniciens et au personnel de travailler de manière nouvelle, plus intelligente et plus efficace. La capacité d’un hôpital ou d’un système de santé à intégrer rapidement de nouvelles technologies dépend de l’existence d’une pile technologique de sécurité agile et évolutive, capable d’appliquer les mesures d’authentification, de chiffrement et de sécurité des données nécessaires aux nouvelles applications, aux nouvelles intégrations et aux nouveaux flux de travail.
• Permettre un accès sans difficultés : la valeur des nouvelles technologies innovantes est limitée par la capacité à y accéder rapidement – et à sauter de l’une à l’autre pour fournir des soins et exécuter des flux de travail clés. Pour réaliser tout le potentiel de la transformation numérique, qu’il s’agisse des gains de productivité, de l’amélioration de la qualité des soins ou de la satisfaction des patients et du personnel, il faut permettre ce type d’accès sans heurts.
• Favoriser la flexibilité du personnel grâce à la sécurité physique : l’un des impacts les plus négligés d’un modèle de travail hybride est qu’il nécessite souvent des changements dans les programmes de sécurité physique et de contrôle d’accès. Qu’il s’agisse de permettre au personnel autorisé d’accéder aux installations en dehors des horaires standard, de faciliter l’enregistrement sans contact des patients et des visiteurs, ou encore de recruter et de renvoyer le personnel et les bénévoles, les hôpitaux et les systèmes de santé doivent réévaluer les lacunes et les problèmes de leur programme de sécurité physique qui peuvent présenter un risque pour la confidentialité et la sécurité des données des patients.

Faciliter et protéger la prestation de soins à distance et les transactions numériques

La demande des patients pour la télésanté, les soins mobiles et d’autres options de prestation de soins virtuels et à distance est appelée à perdurer. Les entreprises du secteur de la santé ont, elles aussi, reconnu les nombreux avantages de ces nouveaux modes de prestation de soins. Mais offrir les expériences pratiques, personnalisées et privées que les patients attendent - et réaliser le potentiel d’élargir l’accès aux populations mal desservies tout en améliorant l’efficacité – entraîne une toute nouvelle série de défis en matière de sécurité des données.

• Embarquement et authentification des patients à distance : le défi le plus simple en matière de sécurité des données dans le cadre de la prestation de soins de santé à distance consiste simplement à authentifier l’identité d’un patient qui n’est pas physiquement présent. Les organismes de santé doivent adopter des technologies permettant de vérifier l’identité des patients en libre-service et en toute sécurité. Ils doivent également créer de nouveaux flux de travail pour l’accueil des nouveaux patients dans un scénario de soins entièrement virtuels.
• Protection des renseignements médicaux personnels dans le cadre de la prestation de soins dans le Cloud : la connexion avec les patients et la prestation de soins par le biais d’applications Web et dans le Cloud signifie qu’une quantité incroyable de PHI va et vient bien au-delà de la sûreté et de la sécurité du périmètre du réseau traditionnel. Une stratégie complète de protection des données doit inclure un chiffrement avancé de bout en bout, des certificats robustes et une infrastructure à clé publique (ICP) afin de faciliter l’échange transparent des données des patients, tout en les protégeant contre les fuites ou le vol.
• Sécurité des Wearables et des périphériques au-delà du périmètre : au-delà des visites de soins élémentaires, le plus grand moteur de la prestation de soins à distance est l’avancée des périphériques médicaux connectés qui permettent aux prestataires de surveiller et de réagir aux informations sur la santé des patients en temps réel. Cela va des périphériques de soins de santé « intelligents » tels que les CPAP, les appareils de dialyse et les stimulateurs cardiaques à la croissance en plein essor des « wearables » tels que les smartwatches (montres intelligentes) et les glucomètres continus. Les organismes de santé doivent non seulement protéger le transfert des RPS de ces périphériques connectés vers leurs systèmes internes, mais aussi appliquer de solides technologies de sécurité des données pour protéger le matériel et le micrologiciel des périphériques connectés eux-mêmes.
• Sécuriser les transactions et les paiements numérisés : les technologies sophistiquées de signature numérique jouent un rôle essentiel tant en amont qu’en aval de la prestation de soins à distance. Les organismes de santé ont besoin d’un moyen sûr et transparent d’authentifier rapidement et en toute confiance les commandes des prestataires, telles que les demandes de laboratoire et les ordonnances. En aval, ils doivent garantir l’authenticité des demandes d’assurance et fournir l’infrastructure technologique permettant aux patients d’effectuer des paiements sécurisés.