Par le passé, nos tensiomètres et nos incubateurs étaient des appareils autonomes. Ils nécessitaient que des personnes s’approchent de l’appareil, regardent les relevés, documentent les points de données et établissent un rapport. Aujourd’hui, ces appareils (et bien d’autres) sont connectés à des réseaux et à internet, ce qui crée non seulement des processus plus efficaces, mais améliore aussi la précision des données. Cela conduit à des systèmes ayant la capacité de corréler les données entre les appareils et l’historique pour fournir plus d’informations et améliorer les soins. L’internet des objets (IoT) continue d’aider les prestataires de soins de santé à traiter les patients.
Grâce à l’IoT, les prestataires de soins de santé peuvent fournir et surveiller les soins au-delà des services fournis dans un hôpital ou autre établissement de santé. L’utilisation des soins connectés permet aux médecins ou aux soignants de surveiller leurs patients de n’importe où. Cela libère de l’espace dans les établissements de soins, et permet aux professionnels de santé de continuer à se concentrer sur leurs missions « en présentiel » tout en étant en mesure de surveiller leur santé et les risques graves.
Bien que cette technologie présente des avantages, elle suscite des inquiétudes, notamment en raison de l’interconnectivité qu’elle implique. L’interconnectivité des dispositifs entraîne des exigences en matière de protection des données, de confidentialité et la nécessité de sécuriser la connectivité tout en surveillant les risques et les vulnérabilités. Les violations de la sécurité des soins de santé sont une pandémie numérique qui peut rapidement s’aggraver si elle n’est pas contrôlée. Voici trois conseils importants pour assurer la sécurité de ces appareils.
Conseil 1 : sécuriser le cloud et les données
Nombre de ces technologies médicales transfèrent les données des appareils vers le cloud et les applications basées sur le cloud. Si l’utilisation ou la création de vos propres services basés sur le cloud présente de nombreux avantages en matière de sécurité, elle ne règle pas tout. Vous êtes toujours responsable de nombreux aspects de la sécurité, même dans ces modèles de services partagés.
Vous devez savoir qui est responsable de quels éléments de la sécurité. Il est fort probable que la protection de la charge de travail et des données reste votre responsabilité. Néanmoins, qu’en est-il de la conformité aux réglementations en matière de santé et de confidentialité ? Tirez parti des politiques de votre entreprise pour sécuriser l’infrastructure et les données comme si vous hébergez vous-même les solutions. Vous devrez également vous assurer que ces exigences s’étendent aux partenaires et aux fournisseurs de services.
Conseil 2 : protéger les appareils
Pour réussir à combler le fossé de la cybersécurité, il faut une stratégie de sécurité des appareils à plusieurs facettes, en commençant par améliorer la persistance des points d’extrémité et en progressant vers le géofencing. Nous recommandons aux organismes de santé de définir leur approche unique de la sécurité des points d’accès en utilisant d’abord une plateforme de sécurité plutôt que les meilleurs produits et outils.
Conseil 3 : minimiser les risques tiers
Le risque lié aux tiers est un problème majeur dans le paysage actuel. Durant l’année écoulée, de nombreux établissements de santé aux quatre coins de la France et du monde ont connu une faille de sécurité via un tiers. Les organisations consacrent beaucoup de temps et d’argent à la protection des systèmes, des applications et des technologies qu’elles contrôlent, et supposent souvent que leurs partenaires font de même.
Cette approche signifie que le chemin de moindre résistance d’un attaquant passe par un tiers. Les attaquants s’introduiront dans le système du tiers, puis dans votre système. Un exemple récent a eu lieu en Australie où des milliers de patients qui utilisaient un service d’hospitalisation à domicile en Australie-Méridionale ont vu leurs informations personnelles compromises lorsque l’un des plus grands fournisseurs d’assurance a été piraté par un tiers non autorisé.
De nombreux organismes de santé travaillent avec des milliers (ou plus) de ces tiers. Il est essentiel que vous disposiez d’un programme permettant d’évaluer et de gérer les risques associés à cette collaboration. La gestion de ces risques nécessite des programmes qui évaluent les personnes, les processus et la technologie de vos partenaires. Vous devez définir des exigences de sécurité pour les systèmes tiers existants ainsi que pour tout nouveau système. Ces exigences doivent être mises à jour en permanence. Elles doivent rester à jour par rapport aux exigences de conformité, aux améliorations des technologies de sécurité et au paysage des menaces. Ce n’est pas une mince affaire.
Pourquoi les criminels s’en soucient-ils ? C’est simple : tout est lié
Bien que les appareils IoT ne se connectent pas directement aux dossiers des patients, les criminels utilisent toujours ce point d’accès pour passer à des systèmes plus critiques dans votre environnement, qu’il s’agisse d’un système de facturation des patients ou de dossiers médicaux. Les attaquants peuvent alors obtenir des renseignements supplémentaires sur la façon dont ces systèmes fonctionnent ensemble et contribuer à l’élaboration d’une violation encore plus importante et plus dangereuse.
Il y a un risque potentiel pour la vie humaine. Nous prévoyons que nous assisterons bientôt à la « militarisation » des appareils IoT. On peut imaginer les implications. Même sans la menace d’un préjudice physique, la valeur des données de santé est largement supérieure à celle des autres données. Les dossiers de santé sont utilisés pour le vol d’identité, l’extorsion, ou pire encore.
Il est important de comprendre que l’absence d’accès direct aux documents ne signifie pas qu’un système (ou des données) n’a pas de valeur. C’est un point essentiel dont il faut être conscient, quelle que soit la solution. Les utilisateurs pensent souvent qu’un élément d’information n’a pas de valeur parce qu’ils ne tiennent pas compte de la façon dont les pirates vont rassembler des éléments, comme des pièces de puzzle, pour atteindre leur objectif plus large.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));
Cliquez ici pour lire l’article depuis sa source.