Veille technologique

pour les professionnels de l’industrie
S’abonner

S’inscrire à l’hebdo de la techno :

Rechercher sur Industrie & Technologies

Facebook Twitter Google + Linkedin Email
×

[AVIS D’EXPERT] Les données de santé face aux cybercriminels

| | | | |

Publié le à 14h35

[AVIS D’EXPERT] Les données de santé face aux cybercriminels

Les actes cybermalveillants, notamment les ransomwares, ont fortement augmenté au cours de l’année (+ 47 % selon McAfee). Parmi les secteurs les plus exposés, on peut citer la santé qui a enregistré à lui seul un quart des incidents de sécurité du deuxième trimestre 2017. Dans une tribune exclusive, Bruno Labidoire, expert en cybersécurité chez MacAfee France, nous expose comment le secteur de la santé risque aujourd’hui d’exposer les individus à une nouvelle forme de danger.

A quelques mois de l’échéance de mise en conformité au règlement général européen pour la protection des données (RGPD), la prévention de la perte de données (DLP) est fondamentale pour les industries sensibles, dont le secteur de la santé. La transformation numérique est bel et bien en marche dans le domaine de la santé : digitalisation du parcours client, dossier du patient informatisé (DPI), équipements de santé connectée, etc. De telles initiatives tendent à faire évoluer ce secteur vers un modèle plus prédictif et préventif.

Un terrain de chasse pour cybercriminels

Cependant, la digitalisation du secteur de la santé et le volume de données traitées offrent un terrain de chasse étendu aux cybercriminels. Désormais, le risque ne porte non plus uniquement sur l’être humain en tant qu’être, mais davantage sur ce qui le caractérise et permet de l’identifier : ses données personnelles.

Pour mesurer la valeur des données de santé, rappelons un exemple récent outre-Atlantique. Celui du groupe de pirates informatiques « thedarkoverlord » qui a, l’an passé, vendu un fichier d’environ 10 millions de données de santé sur le Dark Web pour près d’un million de dollars ! Un tel montant est révélateur de l’attrait que représentent les données de santé personnelles pour les cybercriminels et de la nécessité, pour leurs propriétaires de mieux les protéger.

Contraints à protéger les données

Avec 78% des Français favorables au partage de leurs données de santé entre les professionnels qui les suivent, quelles alternatives complémentaires – à leur mise en conformité aux exigences du RGPD –  faudrait-il envisager pour assurer la protection des systèmes d’informations de santé ?

Les pouvoirs publics sont conscients des risques de vol de données. Or, la multiplication des objets connectés et l’extension de la surface d’attaques, associés à l’ingéniosité des cybercriminels, les obligent à renforcer leurs initiatives. En France, l’article 22 de la Loi de Programmation Militaire (LPM) vise à protéger les OIV (Opérateurs d’Importance Vitale) des menaces et attaques cyber. Les industries classées OIV, dont le secteur de la santé fait partie, sont ainsi contraintes de mettre en place un train de mesures visant à protéger les données gérées, traitées, stockées et archivées.

Mêmes exigences pour tous

Conscients des enjeux de cybersécurité à une plus grande échelle, l’Union Européenne a choisi de réformer sa directive sur la protection des données personnelles au profit d’un nouveau règlement général pour la protection des données, le RGPD. Ce dernier impose un cadre réglementaire plus strict à toutes entreprises traitant des données européennes sensibles. En matière de périmètre applicatif, cela signifie que certaines firmes internationales seront également soumises aux conditions/exigences de ce Règlement Européen. Notification en cas de fuite de données dans les 72h auprès de l’organisme national référent, l’ANSSI en France, intégration d’un DPO (Data Protection Officer), droit à la portabilité des données, droit à l’effacement, etc. ne sont que quelques exemples du cadre sécuritaire harmonisé soutenu par l’UE. A noter que pour toute entreprise ne respectant pas les exigences de ce règlement, la sanction financière peut s’élever jusqu'à 4 % de son chiffre d'affaires annuel global ou 20 millions d'euros.

Sensibiliser aux risques existants

Pour une mise en conformité cohérente au RGPD, les acteurs de la santé doivent aussi appréhender des facteurs externes. Dans certains cas, la définition et la mise en œuvre effective d’une procédure pour assurer l’identification des données sensibles, ainsi que la mise en place d’une politique des ‘quatre yeux’ en interne sont nécessaires pour limiter l’erreur humaine et la perte/le vol de données. L’ingénierie sociale représente également une composante majeure en matière de cybersécurité à prendre en compte, tant du point de vue des usages que des comportements des utilisateurs. Ils doivent être sensibilisés aux risques existants, ainsi qu’aux méthodes employées par les cybercriminels.

Une traçabilité des données essentielle

L’application d’un règlement et la définition de consignes d’usage, en matière de BYOD, de transfert de fichiers vers des périphériques personnels, l’utilisation de support USB externe, etc., doivent être menés sans délai. Pour disposer d’une vue d’ensemble, les acteurs de la santé doivent également maîtriser la surveillance des connexions des collaborateurs/visiteurs dans l’entreprise et contrôler les transferts de dossiers volumineux, pouvant relever d’un comportement suspect.

Au sein de toute stratégie de sécurité, la traçabilité des données est essentielle. L’entrée en vigueur du RGPD en mai prochain ne fait qu’accentuer l’importance de ce volet. Pour répondre aux exigences règlementaires, les innovations telles que l’automatisation et le machine learning pourraient apporter à certaines industries un niveau optimisé de contrôle et de protection des données. La recherche technologique concourt elle aussi à définir des alternatives de sécurité à la fois aux industries mais également aux individus.

Bruno Labidoire,

Expert en cybersécurité – McAfee France

Abonnez-vous et accédez à l’intégralité de la veille technologique

Commentaires

Réagissez à cet article

* Informations obligatoires

erreur

erreur

erreur