Cybersécurité et santé : Pourquoi le PAM doit être une priorité

Les événements de 2020 ont démontré que les organismes de santé doivent travailler dans un contexte de changement constant. En plus des changements dans le paysage de la santé publique, ils doivent également se préparer à l’évolution des menaces de cybersécurité.

Qu’il s’agisse d’une menace interne, d’un piratage externe ou de la négligence d’un employé, toutes les menaces listées ci-dessous représentent des risques sérieux pour les organismes de santé :

Logiciels malveillants et ransomware
Attaques DDoS
Violations de données personnelles
Phishing

Le milieu de la santé n’est pas le seul à devoir protéger les données sensibles contre ces menaces. Cependant, la nature de ce secteur en fait une cible de premier plan qui a beaucoup à perdre en cas d’attaque. Ce blog explore les raisons de cette réalité et explique également pourquoi la gestion des accès à privilèges (PAM) est la meilleure forme de défense.

Pourquoi les hackers ciblent-ils les organismes de santé ?

Comme tous les secteurs, la santé a dû s’adapter à l’ère du numérique. L’utilisation des données électroniques de santé personnelles (ePHI) s’est accrue et les progrès technologiques ont été rapides. Les terminaux mobiles et les portails web en libre-service ont apporté de la commodité aux patients. Et si l’on tient compte de la migration du stockage des données des patients dans le cloud et de l’augmentation du nombre d’appareils IoT, on commence à dresser le tableau d’un réseau complexe et connecté.

Ces avancées technologiques ont toutes le pouvoir de transformer les soins de santé pour le mieux. Mais elles entrainent aussi une large augmentation de la surface d’attaque pour les hackers. Malheureusement, les hôpitaux disposent souvent de logiciels obsolètes et non supportés, et souffrent d’une pénurie de compétences en cybersécurité. Cela augmente leur attrait pour les pirates informatiques.

Les enjeux sont élevés lorsqu’il s’agit de violations de données dans le secteur de la santé. La confidentialité des patients est depuis longtemps un pilier central de la médecine, ce qui rend ces données particulièrement sensibles. Et les organismes de santé traitent ces données sensibles à grande échelle. Les dossiers des patients ont une grande valeur sur le dark web et le marché noir : un dossier médical peut rapporter autant que des données de carte de crédit volées.

Le coût des failles de sécurité pour les organismes de santé

Les organismes de santé qui investissent dans une cybersécurité avancée ont beaucoup à gagner. Selon une étude de l’Institut Ponemon, une violation de données dans le secteur de la santé coûte en moyenne 380 dollars par dossier. C’est plus de 2,5 fois la moyenne mondiale, tous secteurs confondus. Cependant, la nature du secteur de la santé signifie que les ramifications peuvent aller au-delà des pertes financières et des atteintes à la vie privée.

Dans le monde de la santé, les pertes de données peuvent entrainer une véritable question de vie ou de mort. La perte de notes médicales ou de l’accès à une unité d’équipement vital peut avoir de graves conséquences pour un patient. Des recherches menées par l’Université de Floride ont montré que les violations de données augmentaient le taux de mortalité dans un hôpital. La nécessité de reformer le personnel, de mettre à niveau les logiciels et d’apporter d’autres changements opérationnels peut détourner l’attention portée aux soins des patients.

De plus, les organismes de santé peuvent encourir de lourdes sanctions en cas de non-respect des réglementations en matière de sécurité, telles que le RGPD, HIPAA, et HITECH. Le contrôle des accès à privilèges est un élément clé des mesures de sécurité attendues. La gestion des accès à privilèges (PAM) offre le moyen le plus efficace de se conformer aux réglementations et de protéger les organismes de santé contre les violations massives de données.

Comment le PAM peut protéger les organismes de santé

La surveillance et l’audit de l’accès aux systèmes peuvent être un vrai défi avec le roulement des employés et les grandes quantités de systèmes et de données à priivlèges. Le nombre et la nature distribuée des utilisateurs au sein d’un organisme de santé rendent difficile leur gestion et leur surveillance efficaces. Plus un système est grand et complexe, plus il faut d’utilisateurs à privilèges. Les utilisateurs à privilèges peuvent comprendre :

Des employés
Des fournisseurs externes
Hébergeurs Cloud
Utilisateurs de machines automatisées
Des contractants tiers

Un système de gestion des accès à privilèges (PAM) tel que WALLIX Bastion sécurise les comptes à privilèges et permet aux organismes de santé de se protéger de manière proactive. Le contrôle des accès à privilèges limite les mouvements qu’un pirate peut effectuer une fois qu’il est entré sur le réseau. Cela réduit considérablement leur capacité à se déplacer latéralement dans ce réseau et à accéder aux systèmes sensibles.

Avec les bonnes pratiques de sécurisation des accès à privilèges, la capacité d’un hacker à élever ses privilèges et à accéder à des informations confidentielles telles que les dossiers des patients sera considérablement réduite.

Il est temps d’investir dans le PAM !

De nombreux hôpitaux ont été victimes de divers systèmes de cryptage de fichiers et d’extorsion de données. Par exemple, l’attaque par ransomware WannaCry de 2017 a plongé le NHS britannique dans le chaos. Des milliers d’ordinateurs hospitaliers et d’équipements de diagnostic ont été détournés, obligeant les médecins à reporter manuellement les résultats de laboratoire et à annuler près de 20000 rendez-vous.

Dans d’autres cas, les dossiers des patients ont fait l’objet de fuites publiques, ont été présumés compromis, cryptés et même supprimés. Les méthodes d’attaque de ces incidents de piratage sont variées et il n’existe pas de solution unique au problème. Cependant, de nombreuses attaques reposent sur un accès Administrateur pour être exécutées – et ces attaques sont rendues beaucoup plus difficiles avec un système PAM en place.

WALLIX Bastion offre une surveillance, un enregistrement et une isolation complets de toutes les sessions d’utilisateurs à privilèges. Cela contribue à la conformité réglementaire en donnant aux organismes de santé une preuve documentée et vérifiable de leurs efforts pour protéger l’accès à privilèges. Lorsque le comportement des utilisateurs à privilèges est surveillé et géré par un système de PAM, les données des organismes de santé deviennent plus sûres. C’est pourquoi la PAM doit devenir une priorité !

Apprenez-en plus sur la sécurisation des accès à privilèges des organismes de santé avec WALLIX Bastion.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Cybersécurité et santé : Pourquoi le PAM doit être une priorité

Pourquoi les hackers ciblent-ils les organismes de santé ?

Le coût des failles de sécurité pour les organismes de santé

Comment le PAM peut protéger les organismes de santé

Il est temps d’investir dans le PAM !

contenus associés

L’OT dans les hôpitaux : le talon d’Achille du secteur de la santé