Données de santé : quels enjeux en matière de cybersécurité ?

    A la une | Cloud | data | IoT | Infrastructure | Transformation Numérique | Cybersécurité - posté le 12-11-2020 par 3DS OUTSCALE

    Bien plus précises que de simples données anonymisées, les données de santé sont particulièrement convoitées par les cybercriminels. Les hôpitaux et autres organismes de santé, pour qui ces informations sont cruciales, deviennent des cibles de premier choix pour les attaques de rançongiciel. Pour mieux prévenir ces attaques et protéger les données de santé, le COFRAC a accrédité la certification HDS qui reconnaît les hébergeurs de santé conformes aux exigences de cybersécurité les plus strictes. Éclairage.

     

    Données santé et cybersécurité - Health data security« Imaginez si cette attaque n'avait pas été stoppée et s'était propagée sur l'ensemble des réseaux : impossible alors d'accéder aux données personnelles des patients, impossible d'accéder à leur historique de soins, impossible de réaliser des scanners ou d'utiliser les équipements du bloc opératoire. » Avec cette déclaration faite le 7 septembre 2020, Florence Parly, Ministre des Armées, est revenue sur une attaque majeure perpétrée par un rançongiciel sur l’hôpital militaire Sainte-Anne de Toulon. Une attaque qui aurait pu avoir des conséquences désastreuses pour la santé des patients sans l’intervention du CALID (Centre d'analyse de lutte informatique défensive).

     

    Si les hôpitaux disposent de budgets informatiques très faibles, la valeur marchande des données médicales, bien plus précises que les données anonymisées, explose. En effet, depuis le début de la crise sanitaire, alors que les hôpitaux sont déjà fortement fragilisés, les cyberattaques auraient bondi de 475% à leur encontre. La cybersécurité des hôpitaux devient un enjeu vital pour les patients, c’est maintenant un fait.

     
     
    Des dispositifs médicaux de plus en plus connectés

    Les hôpitaux font ainsi face à deux importantes menaces : l’extraction brute des données de santé d’un côté, et la propagation de rançongiciels dans les systèmes d’information de l’autre. Le défaut de fragmentation du réseau hospitalier, souvent vulnérable car trop centralisé, est de plus mis en péril par les objets connectés (IoT). Que ce soit les tensiomètres, pompe à insuline ou encore les défibrillateurs, la connexion des outils médicaux est une avancée majeure pour le monde de la santé. Mais ces mêmes outils deviennent des portes d’entrées pour tous les hackers désireux de s’introduire dans le système d’information. Dorénavant, le périmètre de sécurité à défendre s’étend également aux applications connexes comme les chatbots à disposition des patients, les plateformes de prise de rendez-vous ou encore les outils de télémédecine.

     

    Pour se protéger contre les tentatives d’intrusion par les objets connectés, le secteur de la santé doit se tourner vers un Cloud certifié et parfaitement sécurisé. Il est également important de revaloriser la souveraineté de ces données en transit, de maîtriser leurs parcours pour s’assurer qu’elles ne tombent pas sous une autre législation que celle garantie par le RGPD européen. Pour protéger son infrastructure, le RSSI (responsable de la sécurité des systèmes d'information) doit intégrer les problématiques de sécurité liées à l’utilisation de l’IoT dans sa feuille de route. Ainsi, pour protéger les données et limiter les intrusions malveillantes par l’IoT, les experts recommandent de confiner les objets connectés en établissant des conteneurs et en fragmentant le réseau, une initiative encore trop rare dans les hôpitaux publics en manque de moyens. De plus, une fois la fragmentation opérée, le RSSI doit rester vigilant en simplifiant la gouvernance cybersécurité, grâce à la mise en place d’outils de supervision pour analyser tous les segments du réseau sans s’éparpiller inutilement.

     

    Les certifications HDS et SecNumCloud comme garantie pour la protection des données

    Afin de bien choisir son partenaire technologique, ces organisations peuvent se référer à des certifications, telles que SecNumCloud ou HDS, qui représentent autant de gages de confiance dans les capacités des fournisseurs à s’adapter à l’ensemble des contraintes en matière de sécurité et de conformité. 

     

    La certification des hébergeurs de données de santé (HDS) a été accréditée par le COFRAC (Comité Français d'Accréditation) pour répondre aux exigences spécifiques du milieu médical et pour assister les RSSI dans leurs tâches. La certification HDS garantit donc le chiffrement des données personnelles transmises ainsi que leur traçabilité et réversibilité. Le client peut savoir où sont stockées ses données, comment elles sont utilisées et peut les récupérer à la fin du contrat ou en cas de perte. Cette certification spécifique au milieu médical prouve aux organismes de santé que leurs données sont parfaitement protégées et sécurisées. Les hôpitaux peuvent ainsi tirer pleinement parti de la puissance d’un Cloud de confiance pour faciliter la gestion des dossiers médicaux numériques et pour protéger les données en transit entre les différents objets connectés.

     

    Mais la certification HDS vient aussi avec des prérequis en matière de cybersécurité, notamment sur la mise en place, le maintien et l’amélioration permanente d’un SMSI (Système de Management de la Sécurité de l’Information) conforme à la norme ISO 27001. Le SMSI garantit qu’une organisation est en place afin d'assurer la continuité et la reprise d'activité en cas d'apparition de vulnérabilité ou d'incident de sécurité. Une autre manière par ailleurs d’assurer sa bonne conformité avec le RGPD en ce qui concerne le traitement des données personnelles.

     

    Enfin, en complément de taille, le Visa de sécurité SecNumCloud délivré par l’ANSSI, quant à lui, permet à toute organisation publique, parapublique, et entreprise privée qui opère le traitement des données sensibles d’identifier des fournisseurs répondant aux besoins les plus exigeants de sécurité, confidentialité, mais aussi de souveraineté numériques. Plus concrètement, la qualification SecNumCloud valide, selon des critères les plus stricts, la sécurité mise en place dans l’organisation. Les dispositifs de protection et processus de traitement de données sont évalués par une série d’audit réalisée par l’ANSSI. 

     

    La protection du réseau hospitalier est primordiale, en particulier dans le contexte sanitaire actuel puisqu’une cyberattaque visant les services de réanimation aurait des répercussions désastreuses. Plus que jamais, la protection des organismes de santé apparaît comme un enjeu national.

     

    À propos de l'auteur : 3DS OUTSCALE

    3DS OUTSCALE, filiale Cloud de Dassault Systèmes, positionne la confiance au cœur de sa raison d’être en étant un acteur du Cloud Computing multi-local. Depuis 2010, 3DS OUTSCALE engage une vision responsable de ses technologies qui inspire les startups, les éditeurs de logiciels, les entreprises et les institutions à innover dans le respect des générations actuelles et futures. Sa mission de proposer des services Cloud d’hyper-confiance se reflète par la promesse de satisfaire les plus hautes exigences du marché, comme la qualification SecNumCloud délivrée par l’ANSSI en 2019, faisant de 3DS OUTSCALE le premier fournisseur de Cloud à proposer des services d’infrastructure hautement sécurisés. Cet engagement est également porté par des services et une organisation intégralement certifiés sur la sécurité et le management de l’information dans le Cloud (ISO 27001-27017-27018), et sur l’Hébergement de Données de Santé (HDS). Garant du Cloud d'hyper-confiance en Europe, en Amérique et en Asie, 3DS OUTSCALE offre un cloisonnement des régions Cloud et agit pour l’autonomie numérique stratégique en Europe en tant que membre fondateur de GAIA-X.

    https://fr.outscale.com/

    Retrouvez 3DS OUTSCALE sur :

    Commentaires