Opinion | Dossier Médical Partagé (DMP) : 3 mesures pour aider les organismes de soins de santé à optimiser son déploiement

Présenté comme un nouvel outil au service des patients et des professionnels de santé, il doit contenir de nombreuses informations personnelles telles qu’antécédents médicaux et familiaux, allergies, groupe sanguin, vaccins, traitements, radios, analyses, comptes rendus opératoires, coordonnées de proches à avertir, mais aussi dernières volontés (dons d’organe, refus de décès à l’hôpital, etc.). L’objectif étant d’obtenir une meilleure prise en charge des patients et d’améliorer la coordination entre les différents praticiens.

Pour autant, l’arrivée du DMP soulève de nombreuses questions sur la confidentialité des données. Des questions que les patients et professionnels d’autres régions du monde se posent également. En juillet dernier à Singapour, 1,5 million de patients ont été victimes d’une cyberattaque et se sont vu dérober leurs dossiers médicaux ! Les Australiens avaient eux jusqu’au 15 novembre pour décider d’adhérer ou non à l’initiative "My Health Record", devant permettre aux fournisseurs de soins de santé d'accéder en ligne aux informations relatives aux patients.

Même si les responsables de la sécurité dans le secteur de la santé en France mettent tout en œuvre pour empêcher les cybercriminels de dérober les informations des patients, trois mesures peuvent être appliquées pour se protéger de manière proactive.

1. Entraîner le personnel de soins de santé à repérer les cyberattaques

Les cybercriminels ont fait évoluer leurs méthodes. Plutôt que d'attaquer les infrastructures réseaux, ils ciblent directement les utilisateurs afin de s'introduire dans les systèmes et accéder aux informations des patients. Certains dispositifs sont certes capables d'éliminer la plupart des menaces dans le périmètre du réseau, mais les attaques ciblées peuvent parvenir à contourner les logiciels de sécurité les plus sophistiqués pour profiter d’employés non avertis. Il suffit d'un email bien rédigé et d'un simple clic pour perdre des informations critiques de patients. Le service IT et l'équipe dirigeante doivent travailler de concert pour élaborer un programme efficace de formation et de sensibilisation à la cybersécurité que tous les employés devront suivre.

L'intégration de simulations concrètes de cyberattaques dans ce programme de formation aidera également les membres du personnel à identifier les menaces susceptibles de les viser, que ce soit par le biais d’emails, d'applications sur le cloud, d'applications mobiles ou des réseaux sociaux. La priorité doit être donnée à une formation de sensibilisation continue chez les personnes les plus ciblées au sein de l'organisme.

2. Sécuriser le canal de messagerie, qui est le vecteur d'attaque favori des cybercriminels

Pour contrer les attaques, les organismes de soins de santé doivent s'approprier l'adage selon lequel "il vaut mieux prévenir que guérir" et déployer une approche multi-niveaux pour leur stratégie de défense. À l'heure actuelle, les attaques évoluent rapidement et sont centrées sur l'individu. En tant que telles, elles résistent aux méthodes de défense traditionnelles. Outre les pare-feu et d'autres dispositifs de protection périmétrique, une application de sécurité dédiée aux emails doit aussi être intégrée afin de bloquer les menaces avant qu’elles n’atteignent les employés.

La fraude par email est très répandue dans le secteur de la santé et les attaques de phishing enregistrent des records. Les employés dans le secteur de la santé sont particulièrement vulnérables aux attaques par email en raison de la quantité de renseignements personnels auxquels ils ont accès, de l'importante fréquence de communication par ce biais avec les patients, des contraintes de temps dans les services de soins de courte durée et des exemples de rançons payées par les cliniques et les hôpitaux relayés dans les médias.

L'une des armes les plus efficaces parmi tout l'arsenal d'un pirate informatique est la compromission de comptes professionnels (BEC), qui consiste à faire passer des emails malveillants pour des emails provenant d'une source fiable, souvent un PDG ou un directeur financier. La compromission de courriers électroniques professionnels s’appuie sur des méthodes d’ingénierie sociale pour duper les victimes et les amener à transférer de l'argent, à envoyer des informations relatives aux patients ou à divulguer des identifiants de connexion à une personne que les employés perçoivent comme une autorité.

L'un des axes importants d'une stratégie efficace de protection des courriers électroniques consiste à déployer des protocoles d'authentification tels que DMARC. Ces technologies bloquent un grand nombre d’attaques utilisant une marque de confiance pour duper les employés, les partenaires et les patients.

3. Déployer une solution CASB pour améliorer la visibilité des applications sur le cloud, des services et des add-ons utilisés par les employés

Il est impossible de se défendre contre ce que l’on ne connaît pas. De plus en plus d'organismes utilisent des solutions cloud pour mener leurs opérations globales. Les équipes en charge de la sécurité doivent avoir une parfaite vue d'ensemble des applications tierces exécutées dans leur environnement (Microsoft Office 365, Google G Suite, Box, etc.) et les sécuriser de manière adéquate.

Les bonnes pratiques invitent les organismes à déployer une solution CASB (Cloud Access Security Broker) combinant des indicateurs de risque spécifiques aux utilisateurs et une veille des menaces à travers tous les canaux pour analyser le comportement des utilisateurs et détecter les anomalies dans les applications tierces. Sans cela, les fournisseurs de soins de santé ne savent pas quand les données des utilisateurs et des patients sont menacées. Les solutions CASB permettent aux administrateurs IT de déployer des outils permettant de détecter les fichiers et contenus dangereux, les vols d'identifiants, les pertes de données ou l'accès aux données par des tiers.

Les cyberattaques menées dans le secteur de la santé peuvent avoir des conséquences graves, voire fatales. Aujourd'hui, les Français doivent pouvoir faire confiance aux fournisseurs de soins de santé en ce qui concerne leurs données. Il est essentiel que les équipes en charge de la sécurité prennent dès aujourd’hui les mesures appropriées pour éliminer rapidement les risques.

Et même si la lutte contre les cyberattaques n’est jamais complètement terminée, les mesures proactives énoncées précédemment aideront les organismes de soins de santé à se préparer aux attaques en ligne qui seront vraisemblablement menées contre les dossiers médicaux des Français.