Dans un monde de plus en plus numérique, les organismes de santé sont confrontés à des menaces croissantes en matière de cybersécurité qui mettent en péril les données sensibles des patients et les systèmes critiques. Des statistiques récentes dressent un tableau peu réjouissant :
- Les fuites de données dans le secteur de la santé ont exposé plus de 40 millions de dossiers de patients rien qu’en 2019.
- 94 % des organismes de soins de santé ont déclaré avoir subi un incident de cybersécurité au cours des deux dernières années.
- Les cyberattaques contre les organismes de santé ont augmenté de 65 % depuis 2016.
La vie des patients étant en jeu, il est clair que la cybersécurité dans le secteur de la santé ne peut plus être considérée comme une question secondaire. Les leaders du secteur recommandent de mettre en œuvre les meilleures pratiques en matière de cybersécurité au niveau des personnes, des processus et de la technologie. Dans ce guide complet sur les meilleures pratiques en matière de cybersécurité dans le secteur de la santé, nous examinerons les mesures les plus importantes que les organismes de santé doivent prendre pour verrouiller leurs systèmes et protéger les informations relatives à la santé des patients.
Instaurer une culture de la sécurité
Les plus grandes vulnérabilités proviennent souvent non pas de failles technologiques, mais d’erreurs humaines et de pratiques de sécurité laxistes. C’est pourquoi l’une des priorités des organismes de soins de santé doit être de favoriser une culture organisationnelle où la sécurité est au cœur de chaque décision et de chaque action.
Promouvoir la formation à la sensibilisation à la sécurité
La formation annuelle à la cybersécurité devrait être obligatoire pour tous les employés, et pas seulement pour le personnel informatique. La formation doit porter sur des sujets tels que
- Traitement sécurisé des données des patients
- Reconnaître les attaques de phishing
- Politiques de sécurisation des mots de passe
- Utilisation correcte des dispositifs médicaux
- Signaler les incidents de sécurité
Des formations régulières permettent de s’assurer que les protocoles de sécurité restent à l’esprit du personnel et de le maintenir vigilant face aux nouvelles cybermenaces.
Adopter le principe du moindre privilège
Limitez l’accès aux informations de santé protégées (PHI) et à d’autres systèmes sensibles en fonction du rôle de chaque utilisateur. Les cliniciens, par exemple, ont besoin d’accéder aux dossiers médicaux des patients, mais pas aux systèmes de facturation. En limitant l’accès, vous réduisez les dommages et l’étendue des dégâts en cas de compromission des informations d’identification.
Encourager une cyberhygiène responsable
Inculquez au personnel des habitudes sûres, comme par exemple :
- Utiliser des mots de passe forts et uniques pour chaque compte
- Se méfier des courriels et des liens non sollicités
- Garder les appareils de travail verrouillés lorsqu’ils ne sont pas utilisés
- Ne connectez vos appareils personnels qu’à des réseaux de confiance
- Cryptage de tous les supports portables contenant des PHI
En donnant aux employés les moyens d’adopter une cyberhygiène intelligente, vous faites d’eux la première ligne de défense contre les menaces.
Élaborer des plans de réponse aux incidents
Malgré tous les efforts déployés, des incidents de cybersécurité se produisent toujours. Les organismes de santé ont besoin de plans d’intervention documentés en cas d’incident, qui définissent les rôles, les responsabilités et les mesures à prendre en cas de cybersécurité. Les plans d’intervention aident les organisations à limiter rapidement les dégâts, à informer les patients si nécessaire et à reprendre le cours normal de leurs activités.
Renforcer votre pile technologique dans le domaine de la santé
Si les personnes sont le maillon faible de la sécurité, la technologie appropriée joue un rôle crucial dans la protection des environnements de soins de santé.
Utiliser un antivirus et une sécurité des points finaux de nouvelle génération
Installez des solutions antivirus avancées sur tous les terminaux – y compris les postes de travail médicaux et les appareils IoT – pour détecter et stopper les attaques de logiciels malveillants. Surveillez les points d’extrémité pour détecter toute activité suspecte susceptible d’indiquer une compromission. Maintenez tous les logiciels antivirus à jour et assurez-vous que les terminaux répondent aux normes de sécurité avant d’autoriser l’accès au réseau.
Adoptez l’authentification à deux facteurs
Exigez une étape supplémentaire au-delà des noms d’utilisateur et des mots de passe – comme un code unique provenant d’une application d’authentification ou d’un SMS – pour accéder aux dossiers PHI, aux comptes des employés et à d’autres systèmes sensibles. L’authentification à deux facteurs empêche l’accès si les informations d’identification sont compromises.
Installer la sécurité et le filtrage des courriels
Compte tenu du rôle du courrier électronique dans les ransomwares et le phishing, il est indispensable de disposer d’une plateforme de sécurité du courrier électronique dédiée, dotée d’un système de détection et de filtrage des menaces. Analyser et filtrer tous les courriels entrants et sortants pour détecter les logiciels malveillants, les URL/IP sur liste noire, les pièces jointes malveillantes, les spams et les tentatives d’usurpation d’identité.
Chiffrer les données de bout en bout
Protégez les données au repos et en mouvement à l’aide de méthodes telles que les bases de données cryptées, le courrier électronique crypté, TLS, HTTPS et les VPN pour les connexions sécurisées. Pour une protection maximale, le cryptage doit persister depuis la création des données jusqu’à leur transmission et leur stockage.
Gérer les accès avec les contrôles d’accès basés sur les rôles (RBAC)
Utilisez le système RBAC pour restreindre l’accès au système et aux données aux seules personnes qui en ont besoin dans le cadre de leur fonction. Par exemple, un médecin peut avoir un accès complet aux dossiers médicaux des patients, mais une réceptionniste peut n’avoir que des autorisations de lecture. Des contrôles d’accès stricts limitent les menaces internes et empêchent les abus.
Sécuriser les dispositifs médicaux et IoT
Inventoriez tous les dispositifs médicaux connectés et l’IoT. Remplacez les mots de passe par défaut par des identifiants forts et uniques. Activez les fonctions de sécurité telles que les mises à jour automatiques du micrologiciel, le cryptage et l’enregistrement des activités. Segmenter les appareils en réseau pour en faire des réseaux isolés avec un accès limité.
Rattraper fréquemment, rattraper largement
Appliquez systématiquement les derniers correctifs et mises à jour des logiciels sur les systèmes d’exploitation, les applications, les dispositifs de réseau et les équipements médicaux afin d’éliminer les failles de sécurité. Automatisez les correctifs lorsque c’est possible et établissez des priorités en fonction du niveau de risque.
Tirer parti de la sécurité de l’informatique dématérialisée
Pour les organismes de santé qui utilisent des services en nuage, tirez parti de la sécurité native du nuage, comme le cryptage, les autorisations d’accès basées sur les rôles, les journaux d’audit, la détection des anomalies et l’analyse des logiciels malveillants, pour protéger les environnements et les données en nuage.
Les tests d’intrusion d’une entreprise.
Planifiez des simulations récurrentes qui visent à détecter les vulnérabilités des réseaux, des systèmes et des applications en utilisant les mêmes tactiques que celles employées par les criminels. Identifiez les lacunes avant que les cybercriminels ne le fassent. En savoir plus sur les tests d’intrusion.
Sécurisez la sécurité physique de vos soins de santé
Si les cyberprotections sont cruciales, les contrôles de sécurité physique sont tout aussi importants :
Gérer l’accès aux installations
- Délivrer à tous les membres du personnel des badges d’identification avec photo, assortis de droits d’accès intégrés, adaptés à leur rôle spécifique et à leur domaine d’activité.
- Veillez à ce que les badges soient utilisés à toutes les entrées et sorties. Délivrer des badges de visiteur temporaires et limités dans le temps, avec un accès restreint, après signature et vérification obligatoires.
- Sécurisez les zones critiques telles que les salles de serveurs, les armoires électriques et le stockage des données des patients à l’aide de systèmes de verrouillage avancés, et limitez l’accès au seul personnel autorisé.
- Mettez en œuvre des mesures de sécurité biométriques (telles que les empreintes digitales ou les scans de la rétine) pour l’accès aux zones hautement sensibles.
Déployer la vidéosurveillance
- Installez des caméras de télévision en circuit fermé à haute définition pour surveiller toutes les entrées, les sorties, les couloirs et les zones sensibles de l’établissement.
- Assurez une surveillance 24 heures sur 24 et 7 jours sur 7 des flux vidéo, avec des alertes immédiates en cas d’activités suspectes.
- Conservez les séquences vidéo en toute sécurité pendant au moins 90 jours, en les chiffrant pour protéger la confidentialité et l’intégrité.
- Utilisez les détecteurs de mouvement et les capacités de vision nocturne des caméras pour renforcer la sécurité en dehors des heures d’ouverture.
Limiter les appareils personnels
- Interdisez à l’ensemble du personnel d’utiliser des appareils électroniques personnels tels que des téléphones, des tablettes et des ordinateurs portables dans les zones de soins aux patients et de données sensibles.
- Délivrer des dispositifs de sécurité renforcés appartenant à l’organisation pour les communications et les opérations nécessaires dans ces zones.
- Mettez en place un réseau Wi-Fi sécurisé spécifiquement destiné à l’utilisation d’appareils personnels dans des zones désignées, séparées du réseau principal de soins de santé.
Effectuer des audits réguliers
- Réalisez des audits fréquents et approfondis des registres d’accès aux badges des employés, des registres d’entrée dans les locaux et des images de surveillance afin de détecter et d’enquêter sur les anomalies.
- Mettez en place un système automatisé pour signaler les schémas d’accès inhabituels ou les tentatives d’accès non autorisé.
- Examinez et mettez à jour régulièrement les privilèges d’accès afin de vous assurer qu’ils correspondent aux rôles et responsabilités actuels du personnel.
Renforcer les barrières physiques
- Renforcez les portes, les fenêtres et les murs des zones sensibles avec des matériaux inviolables.
- Placez des barrières ou des bornes aux principaux points d’entrée extérieurs afin d’empêcher les attaques de véhicules à l’explosif.
Mettre en œuvre des contrôles environnementaux
- Installez des systèmes de surveillance de l’environnement pour protéger les équipements et les données sensibles contre les risques tels que les incendies, les inondations ou les températures extrêmes.
- Inspecter et entretenir régulièrement toutes les infrastructures critiques, y compris les alimentations électriques et les systèmes de chauffage, de ventilation et de climatisation, afin d’en assurer le fonctionnement continu et la sécurité.
Organiser une formation à la sécurité pour le personnel
- Former régulièrement l’ensemble du personnel aux protocoles de sécurité, aux procédures d’urgence et à la sensibilisation aux menaces.
- Organiser des exercices et des simulations pour préparer le personnel à divers scénarios de sécurité.
Système de gestion des visiteurs
- Mettre en place un système sophistiqué de gestion des visiteurs afin de suivre et de gérer tous les mouvements des visiteurs au sein de l’établissement.
- Exiger de tous les visiteurs qu’ils suivent une brève séance d’orientation sur la sécurité, en particulier lorsqu’ils accèdent aux zones de soins des patients.
Respecter les réglementations en matière de cybersécurité dans le secteur de la santé
Outre les meilleures pratiques générales en matière de sécurité, les organismes de soins de santé doivent respecter les réglementations et les normes de conformité en matière de cybersécurité propres à leur secteur d’activité.
Connaître vos responsabilités en matière de conformité
Les principales normes de conformité en matière de soins de santé sont les suivantes
- HIPAA – Définit les règles de confidentialité et de sécurité des données pour les informations de santé protégées (PHI).
- HITECH – Étend les exigences de la HIPAA en matière de notification des incidents pour les EPHI.
- NIST Cybersecurity Framework – Fournit aux organismes de santé des conseils sur la gestion des risques liés à la cybersécurité.
- ISO 27001 – Expose les exigences relatives aux systèmes de gestion de la sécurité de l’information dans le domaine de la santé.
Évaluer les risques
Effectuez des évaluations complètes des risques afin d’identifier les lacunes de conformité dans les contrôles de sécurité, le traitement des données, la gestion des appareils, l’audit, la formation des employés et les relations avec les tiers.
Élaborer et mettre en œuvre des garanties
Utiliser les résultats de l’évaluation des risques pour mettre en œuvre des mesures de sécurité et de protection de la vie privée qui répondent aux vulnérabilités potentielles et aux obligations réglementaires en matière de soins de santé.
Gérer les risques liés aux tiers
Vérifier que les fournisseurs de services respectent les accords d’association commerciale de l’HIPAA qui exigent la protection des informations personnelles partagées. Contrôler les tiers pour s’assurer qu’ils continuent à respecter les règles pendant toute la durée de la relation d’affaires.
Formaliser la documentation et les rapports
Tenir des registres précis des activités de sécurité, des évaluations des risques, des mesures de protection, des formations et des incidents. Élaborez des plans pour que les incidents fassent l’objet d’une information interne et publique en temps utile.
Obtenez l’aide d’un expert
Envisagez de vous associer à des conseillers juridiques qualifiés et à des consultants en cybersécurité qui comprennent les nuances des réglementations en matière de soins de santé afin de guider les efforts de mise en conformité tout en optimisant l’efficacité.
Réflexions finales
Dans le paysage actuel des menaces, une cybersécurité vigilante est une exigence – et non une faculté – pour les organismes de santé. En suivant les étapes décrites dans ce guide sur les meilleures pratiques en matière de cybersécurité dans le secteur de la santé, les prestataires de soins de santé peuvent adopter une attitude proactive pour protéger leurs patients, leurs actifs et leur réputation.
Bien que les incidents ne puissent pas être complètement éliminés, le respect des meilleures pratiques en matière de cybersécurité réduit les risques et démontre l’engagement d’une organisation à faire preuve de diligence – ce qui est fondamental pour fournir d’excellents soins aux patients à l’ère numérique.
Les organisations de soins de santé peuvent être rassurées en sachant que Vumetric aide les fournisseurs de soins de santé, qu’il s’agisse d’hôpitaux ou de cliniques, à évaluer leur posture de sécurité, à identifier les vulnérabilités et les lacunes en matière de conformité, et à mettre en œuvre des mesures de protection personnalisées pour renforcer leurs cyberdéfenses tout en respectant les réglementations de l’industrie. Contactez-nous dès aujourd’hui pour en savoir plus sur nos services de cybersécurité dans le secteur de la santé.