Accès à Distance, Conformité, Gestion des Accès à Privilèges, OT

La trousse à pharmacie du RSSI : les indispensables

La pandémie mondiale a mis à rude épreuve le secteur de la santé, qui a dû s’adapter rapidement à l’afflux croissant de patients, au manque de personnel et à la numérisation forcée. Face à cette situation, les acteurs malveillants ont su exploiter les vulnérabilités croissantes des établissements de santé et les cyberattaques ont augmenté.

Il est donc de la responsabilité des RSSI de ces organisations d’identifier les risques les plus dommageables pour la santé de leur cybersécurité et choisir en conséquence les solutions les plus appropriées à inclure dans leur trousse à pharmacie numérique pour assurer la sécurité de leur établissement.

Les principaux défis cyber auxquels sont confrontés les organisations de la santé

Gestion des prestataires externes

Selon Innov’Asso, jusqu’à récemment, les pirates informatiques attaquaient directement leurs cibles. Toutefois, leurs techniques ont évolué et les pirates choisissent désormais de pénétrer dans les réseaux de leurs cibles à travers leurs fournisseurs de services, qui disposent de droits d’accès étendus.

Selon le rapport du Ponemon Institute et de SecureLink, au cours des 12 derniers mois, 44 % des organisations pharmaceutiques et de la santé ont subi une violation de données causée par un tiers. En outre, ces établissements manquent souvent de visibilité quant aux fournisseurs qui ont accès à leur système.

Protection de l’OT des hôpitaux

L’environnement OT des établissements de santé est particulièrement hétérogène : SCANNER, IRM, outils de surveillance, ventilateurs, pousse-seringues – ou du côté du bâtiment – gestion de l’énergie, ascenseurs, climatisation, fluides médicaux… Cette hétérogénéité et le faible niveau de sécurité des moyens de connexion accentue fortement les risques cyber associés.

De plus, ces appareils, qui ne sont pas toujours maintenus à jour par les fabricants, sont basés sur des systèmes d’exploitation obsolètes, ce qui génère de multiples failles de sécurité.

Conformité réglementaire

Le traitement, le stockage, l’échange et la gestion des Données de Santé à Caractère Personnel (DSCP) sont strictement réglementés. Les professionnels de santé peuvent choisir de stocker eux-mêmes ces DSCP ou de les confier à un Hébergeur de Données de Santé (HDS).

Depuis la mise en place du Règlement Général sur la Protection des Données (RGPD), les hébergeurs de données doivent répondre à l’article 9 du RGPD qui établit les conditions de traitement des données dites « sensibles », dont les données de santé, les convictions religieuses ou encore l’origine ethnique ou raciale.

Aujourd’hui, la certification HDS est devenue obligatoire pour les hébergeurs de données personnelles de santé. Cependant, l’obtention du certificat SDS est un processus exigeant supervisé par le ministère de la santé et basé sur les normes internationales existantes.

Quels outils inclure dans la trousse à pharmacie des RSSI pour relever ces défis ?

Les prestataires externes

Pour protéger les établissements de santé des cyberattaques liées à leurs prestataires externes, il est essentiel de suivre les actions effectuées sur les équipements, de gérer étroitement les autorisations d’accès des utilisateurs à privilèges et de contrôler l’accès de ces prestataires par une authentification forte.

Pour limites les risques, les RSSI doivent aussi garder la visibilité sur toutes les actions des fournisseurs externes et un contrôle total des droits des utilisateurs à privilèges. Il est également essentiel de définir les droits d’accès et les permissions et de réagir rapidement en cas d’incident.

L’OT

La sécurité de l’OT des organisations de santé nécessite des outils de gestion des accès à privilèges ou PAM. Ces solutions offrent une sécurité robuste et mettent en œuvre des règles strictes pour sécuriser les informations d’identification des comptes à privilèges.

L’enregistrement en temps réel de l’activité des comptes et la surveillance automatisée des sessions permettent de prévenir les violations et de déterminer quand un risque est détecté. Cela est non seulement vital pour maintenir la sécurité des appareils (et des réseaux auxquels ils se connectent), mais aussi crucial pour répondre aux exigences de conformité.

La conformité

Dans le cas du respect des exigences réglementaires en matière de confidentialité, d’intégrité et de traçabilité des accès et des données pour les établissements de santé et les hébergeurs de données, il est indispensable de disposer d’un outil permettant de réduire les risques liés aux accès et aux privilèges associés, de permettre une gestion granulaire des accès à distance et de limiter les accès à des usages et des durées spécifiques, réduisant ainsi significativement les surfaces d’attaque, sans affecter la productivité et dans le respect des directives réglementaires.

WALLIX PAM4ALL, la solution tout-en-un

WALLIX PAM4ALL, la solution de gestion unifiée des privilèges de WALLIX, permet aux entreprises de relever les défis actuels en matière de protection des données, ainsi que de détecter et de traiter les cyberattaques potentielles, permettant ainsi la continuité des activités. PAM4ALL facilite également la conformité aux exigences réglementaires concernant l’accès aux infrastructures informatiques et aux données critiques.

Découvrez précisément comment PAM4ALL aide les équipes de sécurité des établissements de santé à relever les trois défis présentés précédemment :

CAS CLIENT – Le Centre Hospitalier de Saint-Quentin choisit WALLIX
 pour sécuriser les process de télémaintenance IT
BLOG – L’OT dans les hôpitaux :
Le talon d’Achille du secteur de la santé.
LIVRE BLANC – Répondre aux obligations des hébergeurs
de données de santé avec WALLIX PAM4ALL.

Nos clients répondent à vos questions

Comme nous savons que le retour d’expérience d’une équipe qui a déjà essayé la solution vaut mille mots, nous avons récemment organisé une table ronde où 3 RSSI d’établissements de santé se sont réunis pour discuter de la solution PAM4ALL, de ses avantages et de la façon dont elle les a aidés à sécuriser leurs établissements de manière simple et efficace.

Les intervenants :
Guillaume Salomé, Responsable Infrastructure et Cybersécurité – Groupement des Hôpitaux de l’Institut Catholique de Lille
Bruno Le Bihan, Responsable Systèmes et Base de Données – Groupe Hospitalier Bretagne SUD
Nadhir Turki, Administrateur Réseau et Téléphonie – Centre Hospitalier de Calais

Accédez au replay et ne manquez aucun des avantages de la solution de cybersécurité simplifiée WALLIX PAM4ALL. Vous pourriez être le prochain à en profiter ! Contactez-nous pour en savoir plus.

Previous
L’OT dans les hôpitaux : le talon d'Achille du secteur de la santé
Next
Industriels : la souveraineté au cœur de la stratégie de cybersécurité OT !

À découvrir

Cinq conseils pour maitriser votre risque informatique
WALLIX nommé Leader dans le Gartner® Magic Quadrant™ 2022 pour...
Défis et solutions actuels : Quelles sont les tendances qui...

Autres ressources

La cybersécurisation des bâtiments tertiaires
NOZOMI NETWORKS
Le Guide d’Achat du Privileged Access Management