Comme le pointent récemment plusieurs études, les organismes de santé ont trois fois plus de risques d’être victimes d’une cyberattaque que d’autres secteurs. Ce n’est pas vraiment une surprise. Les quantités infinies de données déposées par le va-et-vient incessant des patients dans les hôpitaux exercent une force d’attraction irrésistible sur les cybercriminels. En plus de cela, les pirates n’ignorent rien des lacunes dont souffrent les organismes de santé et les hôpitaux pour aborder la cybersécurité avec sérieux. Résultat : ces établissements représentent des proies faciles.
Or, les violations de sécurité dans le secteur de la santé peuvent être extrêmement préjudiciables pour les organismes et leurs patients qu’ils promettent de protéger. La sécurité et la conformité doivent par conséquent être abordées comme des sujets de priorité absolue. Aujourd’hui, nous discuterons des véritables et profondes répercussions que peut avoir une violation de données. Nous évoquerons aussi ce que peuvent faire les organismes de santé pour conserver une longueur d’avance et préserver ainsi leur situation financière et leurs patients.
Les conséquences financières
Lors d’une violation de données dans le secteur de la santé, l’impact financier constitue le plus grand danger pour l’établissement et ses patients. Si un hôpital ou un cabinet médical est victime d’une cyberattaque, il doit automatiquement passer en mode panique pendant toute la durée où il s'efforce d'éliminer les menaces de ses systèmes et de corriger les vulnérabilités pour éviter de futurs problèmes. Il doit également investir du temps et de l’argent pour tenter de rétablir sa réputation.
Toutes ces tâches peuvent se révéler extrêmement onéreuses. Des chiffres récents établissent le coût d’une violation de données à 211 dollars US par enregistrement compromis pour l’organisation victime, hors éventuelles sanctions financières. Cela représente autant d’argent qui n’est pas investi dans la recherche ou la prise en charge des patients.
Votre hôpital possède peut-être les ressources financières nécessaires pour régler ce type de problèmes, mais ce n’est pas toujours le cas de vos patients. Votre devoir est donc de les protéger. La règlementation fédérale américaine sur les données de santé protégées (HIPAA) a été conçue dans ce but précis. Tous les prestataires médicaux sont tenus de mettre en place des contrôles d’intégrité et des audits permettant de s’assurer que les mesures nécessaires ont été prises pour prévenir d’éventuelles cybermenaces ou pertes de données.
Ces garde-fous sont indispensables, car toute donnée dérobée peut être utilisée à des fins malveillantes et plonger les patients dans une situation financière problématique. Les numéros de carte bancaire communiqués par les patients pour régler leurs soins peuvent être utilisés par des pirates pour contracter des prêts frauduleux. Quant à leurs numéros de sécurité sociale, ils peuvent servir à des opérations d’usurpation d’identité. Lorsqu’un patient se retrouve subitement dans une situation financière compliquée, il doit parfois lutter pour s’en sortir. En faisant appel à un professionnel de la finance ou en contractant des prêts, ce qui l’oblige, dans certains cas, à débourser encore plus d’argent. Vous n’avez aucun intérêt à ce que le manque de sécurité de votre établissement médical soit responsable de problèmes financiers pour vos patients.
Un danger pour les patients
Lorsque les patients commencent à croire que leur médecin n’agit pas dans leur meilleur intérêt, ils perdent non seulement de l’argent, mais aussi l’estime qu’il peuvent avoir pour votre établissement. Cette perte de confiance ne se répercute pas seulement sur vos résultats financiers, mais aussi sur la santé des patients. Aujourd’hui, en zones rurales, les patients ne se rendent pas autant chez le médecin qu’ils le devraient. Ils considèrent ne pas bénéficier de la meilleure prise en charge ou craignent que leur vie privée ne soit exposée. La découverte par les patients de la responsabilité de leur hôpital dans une violation de données pourrait accentuer leurs réticences à s’y faire soigner — avec, en corollaire, des risques d’aggravation de leur pathologie.
En plus de semer le doute sur les prestataires de santé, les pirates informatiques peuvent aussi nuire plus directement à la santé des patients. C'est le cas, lorsqu’ils montent des attaques par rançongiciel (ransomware) pouvant instantanément mettre ces patients en danger. La stratégie consiste pour les hackers à s’introduire sur le réseau d’un établissement de santé et y installer un malware pour prendre le contrôle du parc informatique de l’hôpital. Les ordinateurs et les équipements sont alors paralysés jusqu'à ce que la rançon soit payée. Et même dans ce cas, il n’y a aucune garantie que les pirates tiennent leur parole.
Le scénario d’une attaque par rançongiciel présente un danger considérable pour les patients faisant l’objet de soins. Imaginez qu’un appareil s’arrête de fonctionner en plein milieu d’une intervention chirurgicale vitale ou qu’un médecin ne reçoive pas la bonne dose de médicament à un moment crucial. L’idée fait froid dans le dos tant elle pourrait mettre en péril les patients. C’est une raison supplémentaire pour que les établissements de santé abordent la cybersécurité de manière proactive.
Sécurité proactive
La menace cyber devrait s’accroître au fil du temps. Dans un monde post-covid placé sous le signe du télétravail et de la numérisation des données, les hackers observent que la majorité des données patients sont encore hébergées sur des serveurs en ligne, plutôt que dans des classeurs physiques. Il est donc plus facile d’y accéder. Dans ce nouveau monde, les hôpitaux doivent redoubler de vigilance pour protéger les données de leurs patients. Ils peuvent commencer par héberger l’intégralité de ces données sur un serveur de sauvegarde. Ainsi, même en cas d’attaque par rançongiciel, ou toute autre menace, les médecins et les administrateurs pourront facilement retrouver les informations nécessaires afin d’aider un patient dans le besoin.
Tant que la pandémie durera, de nombreux professionnels de santé continueront à travailler depuis chez eux pour respecter les consignes de distanciation sociale. Il convient néanmoins de rester prudent : si votre réseau domestique n’est pas protégé et que vous consultez des informations patients confidentielles, des pirates informatiques pourraient s’engouffrer dans la brèche. La solution la plus simple consiste à restreindre la consultation d’informations confidentielles au lieu de travail ou à la soumettre à l’utilisation d’un appareil fourni et approuvé par l’établissement.
Enfin, les professionnels de santé doivent être mieux formés à la cybercriminalité pour en connaître les risques et les éviter activement. Il importe qu’ils soient sensibilisés à l’utilisation de mots de passe complexes et à la double authentification. Ils doivent également comprendre les menaces que posent les escroqueries classiques, comme les e-mails d’hameçonnage. Il appartient donc aux administrateurs d’établissements hospitaliers d’organiser des cours et des réunions consacrés à ces menaces pour ne pas laisser le corps médical dans l’ignorance.
Comme on le voit, les hôpitaux ont une responsabilité majeure pour protéger leurs patients et la sécurité de leur organisation. Tout manquement à cette obligation peut provoquer une catastrophe. Mais si vous prenez en compte les menaces et les résolutions décrites dans cet article, vous pourrez vous occuper sereinement de la santé de la population.
Note : Cet article de blog a été écrit par un contributeur invité dans le but d’offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.