Santé et cybersécurité : diagnostiquer les risques, prescrire des solutions
À l’ère du numérique et face à la menace grandissante des cybercriminels à laquelle sont confrontées les organisations de tous les secteurs, la cybersécurité est devenue de plus en plus indispensable. Imaginez un petit cabinet médical piraté par le biais d’un hameçonnage (phishing), autrement dit, en envoyant un e-mail frauduleux par lequel le pirate informatique parvient à avoir accès aux données sensibles relatives aux patients, y compris aux dossiers médicaux. Imaginez maintenant que Sarah Johnson, enseignante de 35 ans qui est une patiente de ce cabinet, se soit fait voler son identité. Le malfaiteur a utilisé ses informations pour commander des médicaments et effectuer des demandes de remboursement frauduleuses à l’assurance maladie, ce qui a causé à Sarah beaucoup de tracas et lui a fait perdre un temps infini à résoudre les conséquences de cette usurpation.
Les défis en matière de cybersécurité dans la santé sont très spécifiques, en raison de la nature sensible des données médicales et de l’utilisation de dispositifs médicaux connectés en réseau qui permettent de lancer des attaques « horizontales » sur d’autres systèmes d’information. Les cyberattaques peuvent avoir de graves répercussions sur la vie personnelle – au point de la faire dérailler – et mettre les patients en danger. Elles peuvent également mettre hors service des réseaux médicaux entiers et, à l’aide de « ransomwares », empêcher l’intégralité d’un hôpital de fonctionner. C’est pourquoi la cybersécurité est vitale pour les organisations de soins de santé afin de protéger en permanence le bien-être et la vie privée des patients.
Pour tirer parti des avantages de la télésanté et de la télémédecine sans compromettre le bien-être des patients, la priorité absolue doit être accordée à la cybersécurité dans la santé. Cet article explique l’importance de la cybersécurité dans la santé et donne un aperçu des concepts clés, des risques, des meilleures pratiques et des réglementations en la matière. En s’appuyant sur des informations pratiques, les prestataires de santé peuvent renforcer leurs défenses contre des cybermenaces de plus en plus sophistiquées.
Table des matières
Qu’est-ce que la cybersécurité dans la santé ?
La cybersécurité dans la santé fait référence aux mesures et aux systèmes pouvant être utilisés pour prévenir la cybercriminalité. Les solutions de cybersécurité dans la santé visent à remplir deux fonctions : protéger la confidentialité et la sécurité des informations relatives aux patients, tout en préservant l’intégrité et l’accessibilité des systèmes et infrastructures critiques sur lesquels les organisations de soins de santé s’appuient pour prodiguer des soins et sauver des vies. Ces solutions sont essentielles – à la fois pour renforcer la confiance des patients et pour garantir la conformité aux réglementations en matière de cybersécurité dans la santé.
Le périmètre d’application des solutions de cybersécurité dans la santé est large, allant des pratiques de base telles que la formation du personnel et les mises à jour régulières des logiciels à des mesures plus avancées. Il s’agit notamment de protéger les dispositifs et équipements de santé connectés (par exemple les appareils d’IRM, les systèmes de radiographie et les dispositifs de l’Internet des objets) qui font désormais partie intégrante de nos réseaux de soins de santé.
Déceler les risques de cybersécurité dans la santé
Par définition, les organisations de soins de santé s’appuient sur des systèmes complexes composés de nombreux éléments mobiles. Cette configuration crée des lignes de faille et des points faibles que les cybercriminels peuvent exploiter. Les vulnérabilités les plus courantes sont les suivantes :
- Systèmes hérités : de nombreux établissements de soins de santé utilisent des logiciels et des systèmes d’exploitation obsolètes. Ces systèmes hérités contiennent des failles que les pirates peuvent exploiter pour s’y introduire.
- Dispositifs médicaux non protégés : les appareils médicaux connectés numériquement, tels que les appareils d’IRM et les moniteurs de fréquence cardiaque, peuvent être piratés s’ils ne sont pas protégés par des protocoles appropriés.
- Erreur humaine : les employés du secteur de la santé peuvent être victimes d’e-mails d’hameçonnage ou d’autres attaques basées sur la communication permettant aux pirates de s’infiltrer dans les systèmes et de voler des données.
- Tiers : les organisations de soins de santé partagent des données sensibles avec des fournisseurs tiers. Si la cybersécurité de ces fournisseurs laisse à désirer, les données de santé peuvent être mises en danger.
Ces failles exposent les organisations de soins de santé à un large éventail d’attaques, comme des logiciels malveillants tels que les ransomwares, ou des opérations de fraude ciblées telles que les escroqueries par hameçonnage. Cela peut donner l’impression d’être sous menace permanente – une perspective alarmante pour l’industrie médicale. Il existe toutefois un certain nombre de solutions de cybersécurité de santé que les prestataires et leur personnel peuvent envisager pour réduire rapidement leur exposition aux cybermenaces.
Recevoir des informations par e-mail
Inscrivez-vous pour recevoir des informations et ressources additionnelles sur les soins de santé et les normes connexes.
Comment vos données seront utilisées
Veuillez consulter notre avis de confidentialité. Ce site est protégé par reCAPTCHA et les conditions d'utilisation de la politique de confidentialité de Google s'appliquent.
Améliorer la sécurité des dispositifs médicaux
Les dispositifs médicaux étant un élément clé de la télésanté, il est primordial qu’ils puissent être utilisés de manière fluide et sûre. Les pompes à perfusion, les respirateurs ou encore les moniteurs de surveillance sont autant d’appareils vulnérables aux cyberattaques en raison d’un certain nombre de facteurs.
En effet, de nombreux appareils fonctionnent avec des systèmes d’exploitation informatiques obsolètes ou non pris en charge, qui sont vulnérables aux logiciels malveillants et au piratage. Si les données transmises entre ces appareils ne sont pas chiffrées ou si elles sont envoyées sur des réseaux non sécurisés, elles peuvent être interceptées par les criminels. En outre, les prestataires de soins de santé n’observent pas toujours une protection par mot de passe adéquate ou n’installent pas toujours les mécanismes d’authentification appropriés, ce qui rend possibles l’accès non autorisé aux appareils et leur prise de contrôle.
Heureusement, il existe toute une série de solutions pour corriger les vulnérabilités susmentionnées :
- La mise en œuvre d’outils de chiffrement, de protocoles de mots de passe et de contrôles d’accès robustes contribuera grandement à protéger la transmission des données et la sécurité des dispositifs médicaux.
- La réalisation d’évaluations des risques de cybersécurité régulières et approfondies peut aider à identifier les vulnérabilités.
- La segmentation du réseau prenant en charge les dispositifs médicaux, afin d’isoler certains dispositifs du reste du réseau de soins de santé, facilite le diagnostic des problèmes potentiels. Elle peut également permettre aux organisations de « mettre en quarantaine » les appareils compromis afin d’éviter que les criminels n’accèdent à l’ensemble du réseau.
- La formation du personnel aux protocoles de cybersécurité de base permet de protéger les appareils, les cabinets médicaux et les patients.
Tout aussi important que ces points d’action spécifiques, le secteur des soins de santé, dans son ensemble, doit travailler main dans la main avec les décideurs politiques et les entreprises innovantes pour conserver une longueur d’avance dans ce paysage en rapide évolution. Les organismes de réglementation gouvernementaux, par exemple, exigent de plus en plus souvent la preuve de l’existence de systèmes cybersécurisés comme condition d’utilisation des dispositifs dans leur juridiction, ainsi qu’un plan de gestion et de surveillance une fois que ces systèmes sont opérationnels.
Comment renforcer la cybersécurité dans la santé
Pour remédier aux vulnérabilités énumérées ci-dessus, il est essentiel de former le personnel aux notions de base de la cybersécurité afin de renforcer les premières lignes de défense. Par exemple, le personnel administratif et les autres employés sont-ils informés des principales menaces de cybersécurité dans la santé ? Le simple fait de connaître la différence entre un ransomware et un hameçonnage peut avoir un impact considérable.
Sur le plan technologique, il est important d’examiner l’ensemble du réseau de systèmes et d’outils connectés à l’appui de la télésanté – des dispositifs médicaux intelligents aux réseaux qui les relient, en passant par les serveurs qui stockent les données confidentielles et les logiciels qui aident à faire fonctionner le tout avec fluidité. En adoptant une approche holistique de la sécurité des réseaux qui inclut la technologie, le personnel (par exemple, la formation) et les processus (par exemple, la façon dont la sécurité est intégrée aux flux de tâches), les vulnérabilités peuvent continuer à être gérées à mesure que le nombre d’appareils connectés augmente.
Fort heureusement, les cabinets médicaux ne sont pas seuls pour relever les défis de la cybersécurité. Ils peuvent en effet s’appuyer sur les conseils et le soutien d’experts externes. Les services de cybersécurité dans la santé offrent des solutions sur mesure pour répondre aux défis uniques auxquels sont confrontés les prestataires de soins de santé pour protéger les informations sensibles relatives aux patients et les systèmes médicaux critiques. Plus précisément, ces solutions concernent :
- Évaluation des risques : la surveillance des systèmes et des réseaux permet d’identifier les intrusions et les attaques potentielles et d’élaborer des stratégies d’atténuation des risques. Il peut s’agir de solutions de gestion de l’information et des événements de sécurité (SIEM), de systèmes de détection des intrusions et de services gérés de détection des menaces.
- Prévision des incidents et réponse : les contrôles proactifs, comme les simulations d’attaques, peuvent aider à anticiper les attaques. En cas de faille de sécurité, la prévoyance peut considérablement aider à contenir et à neutraliser les menaces. Il est également important d’instaurer une culture de la cybersécurité dans laquelle la sécurité est intégrée à tous les niveaux de l’organisation.
- Politique et conformité : les organisations de soins de santé doivent en permanence se conformer aux réglementations en vigueur. La mise en place de politiques globales cohérentes avec les besoins particuliers de l’organisation, tout en répondant aux exigences internationales et sectorielles, leur permet d’y parvenir en toute confiance.
En s’appuyant sur les services de cybersécurité dans la santé, les prestataires de soins de santé peuvent améliorer leur position en matière de cybersécurité, atténuer les risques et préserver la confidentialité et l’intégrité des données médicales et des systèmes critiques de soins de santé.
- ISO/IEC 27001 Systèmes de management de la sécurité de l'information
- ISO/IEC 27002 Mesures de sécurité de l'information
- ISO/IEC 27701 Techniques de sécurité — Extension d'ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée
- ISO 27799 Informatique de santé — Management de la sécurité de l'information relative à la santé en utilisant l'ISO/IEC 27002
Meilleures pratiques en matière de cybersécurité dans la santé
Pourquoi la question de la cybersécurité n’est-elle pas déjà réglée dans toutes les organisations de soins de santé ? Au fond, le défi de la cybersécurité dans le secteur de la santé consiste à verrouiller d’énormes quantités de données dans un coffre-fort sécurisé tout en maintenant une expérience fluide pour le patient – le tout dans un environnement réglementaire nuancé qui évolue rapidement.
Aussi, les organisations de soins de santé peuvent explorer diverses alternatives afin de renforcer leur dispositif de cybersécurité. Celles-ci peuvent être des solutions technologiques comme le chiffrement, les pare-feu, les systèmes de détection d’intrusion et les contrôles d’accès, ainsi que des changements institutionnels, comme la mise en œuvre de politiques robustes et de programmes de formation pour se conformer aux réglementations en vigueur en matière de cybersécurité dans la santé.
Pour établir leur plan de cybersécurité dans la santé selon une approche intégrée, les principaux prestataires de soins de santé savent qu’il est essentiel d’examiner leur stratégie de sécurité informatique au sens large, dans tous les aspects opérationnels. Il existe à cet égard un grand nombre de normes nationales et internationales pour orienter ce processus. ISO/IEC 27001 est une norme de cybersécurité informatique qui permet de jeter les bases d’un système efficace de management de la sécurité de l’information, tandis que ISO/IEC 27002 fournit un ensemble de contrôles de la sécurité de l’information ainsi que des orientations pour la mise en œuvre. Prises ensemble, ces normes peuvent aider les organisations à protéger leurs systèmes les plus importants, tout en restant agiles et réactives face aux incidents ou aux violations de données.
Élément essentiel de toute stratégie fondée sur ISO/IEC 27001, la gestion minutieuse des données de santé et des dossiers médicaux des patients doit être de mise. La norme ISO/IEC 27701 permet aux organisations de protéger les informations personnelles au moyen d’un système solide de management de la protection de la vie privée. En complément, la norme ISO 27799 fournit des lignes directrices personnalisées pour l’application de la norme ISO/IEC 27002 en matière de management de la sécurité des informations dans le secteur des soins de santé.
Enfin, les services en nuage et les politiques de stockage représentent une part importante de tout protocole de sécurité complet. Ainsi, la norme ISO/IEC 27017 propose des contrôles renforcés pour les prestataires et les clients, en définissant les rôles et les responsabilités afin de garantir que les services en nuage maintiennent un niveau de sécurité cohérent avec les autres composants de l’écosystème informatique des soins de santé.
Instaurer une culture de la cybersécurité dans la santé
Comme pour tout ce qui touche à la santé, la prévention est toujours la meilleure stratégie. La cybersécurité dans la santé ne se résume pas à une question d’investissement dans des technologies ; il s’agit de donner aux gens les moyens de garder à l’esprit la sécurité des données. Si les programmes de formation et de sensibilisation sont sans aucun doute essentiels, les organisations de soins de santé ne devraient pas sous-estimer le pouvoir du leadership. En effet, les dirigeants jouent un rôle clé, non seulement en adhérant au principe de cybersécurité, mais aussi en le soutenant – en favorisant une solide culture de la cybersécurité.
La cybersécurité ne devrait pas faire l’objet d’une réflexion après coup. Les patients comme Sarah ne devraient pas avoir à s’inquiéter de la sécurité de leurs données lorsqu’ils consultent leur médecin. En tant que patients, nous comprenons la grande importance de la cybersécurité dans la santé, et il devrait en être de même pour nos prestataires de santé. Nous devrions tous pouvoir accéder aux soins de santé avec sérénité et en toute confiance. Pour ce faire, la cybersécurité doit être intégrée dans la structure même des opérations courantes. Par des efforts concertés et à une communication proactive, les organisations de soins de santé peuvent instaurer une culture de la cybersécurité résiliente qui rayonne non seulement en interne, mais aussi sur l’ensemble du secteur.