Les établissements de santé ont une mission de service public. Mais au-delà de la mission de santé publique, ils endossent aussi, de fait, une mission de protection de leurs patients et en particulier de protection des données sensibles qu’ils collectent sur ceux-ci : les données de santé à caractère personnel.

Or l’actualité récente comme l’attaque ransomware du réseau informatique du Hollywood Presbyterian Medical Center de Los Angeles ou de l’hopital Lukas à Neuss en Westphalie montre à quel point les réseaux hospitaliers sont des cibles sensibles et sont encore peu armés pour faire face à la menace informatique.

Le secteur Santé : une des cibles privilégiées des cyberattaques

D’après le rapport Trend Micro sur les fuites de données, 29,8% des cybercrimes reposant sur des usurpations d’identité on touché le secteur médical et santé entre 2005 et 2015, plaçant le secteur retail à 15,9%. D’après le même rapport, en 2021 84 % des entreprises américaines du secteur de la santé ont été confrontées à des cyberattaques.

Pourquoi? D’abord parce que c’est le secteur qui concentre le plus d’informations personnelles et confidentielles (PII, Personally identifiable information) pouvant être utilisées par les hackers pour usurper des identités ou être revendues.

Des risques accrus par un recours systématique aux prestataires externes

Les hopitaux font appel à de nombreux prestataires externes, en particulier pour assurer la maintenance des équipements tels que les systèmes radiologiques, les scanners, les outils de monitorings des patients hospitalisés. Ces prestataires disposent la plupart du temps de droits d’accès étendus leur permettant d’effectuer leurs missions, ce qui représente un risque de sécurité majeur.

Il est donc nécessaires que ces utilisateurs à privilèges, administrateurs, sous-traitants et infogérants, ne disposent pas de privilèges locaux, c’est-à-dire des mots de passe des équipements, serveurs et applications, mais qu’ils se connectent par l’intermédiaire de proxys sécurisés, et bien évidemment que les mots de passe utilisés aient une durée de vie limitée à la durée de la mission.

Avec une solution comme Wallix AdminBastion Suite, il est possible de contrôler et tracer les accès à privilèges vers les serveurs, équipements réseaux et applicatifs. Les sessions de travail des administrateurs internes et des prestataires externes sont supervisées en temps réel et sont enregistrées et visionnées en cas de besoin (audit, recherche d’origine d’un incident, forensics…).

Le référentiel HDS, une garantie de sécurité des données personnelles

En France, L’ASIP Santé, agence créée en 2009 notamment pour accompagner l’émergence de technologies numériques dans le secteur de la santé tout en veillant au respect des droits des patients, a défini le référentiel d’agrément des hébergeurs de données de santé à caractère personnel (HDS).

Ce référentiel organise le dépôt et la conservation des données de santé dans des conditions de nature à garantir leur pérennité et leur confidentialité, de les mettre à la disposition des personnes autorisées selon des modalités définies par contrat, et de les restituer en fin de contrat.

Cependant, sans la mise en place d’une infrastructure sécurisée par des solutions de contrôle des accès et des sessions à privilèges il s’avère difficile de s’engager pleinement dans une telle démarche de conformité.

En téléchargeant notre livre blanc découvrez point par point comment la solution de contrôle et de traçabilité des utilisateurs à privilèges, Wallix AdminBastion Suite (WAB Suite), peut vous aider à répondre aux conditions posées par l’hébergement de données de santé à caractère personnel.