Nos données de santé personnelles sont désormais sous la menace, aussi bien interne qu’externe. Les organismes de santé sont devenus une cible lucrative pour les pirates informatiques. Des études indiquent que les dossiers médicaux sont 100 fois plus précieux que les données des cartes de crédit. Les attaques de type Ransomware ont augmenté notablement dans le secteur de la santé car ce dernier requiert des informations à jour pour fonctionner. Et avec des soins aux patients potentiellement à risque en cas de retard dans l'accès aux données, les organismes de santé sont souvent susceptibles de payer une rançon.
D’un point de vue structurel, il faut bien admettre que le secteur de la santé est très fragmenté. La structure de gouvernance est un ensemble confus d'organisations publiques et privées qui interagissent avec des fournisseurs et des patients.
À cela s’ajoute un phénomène de numérisation rapide des dossiers des patients au cours des dernières années, qui a rendu très difficile la mise en place de politiques cohérentes de sécurité des données et de programmes de sensibilisation destinés au personnel soignant. Les derniers chiffres en date soulignent à quel point cette assertion est vraie.
Le ministère de la santé a ainsi recensé plus de 200 incidents liés à la sécurité des donnés au cours du dernier trimestre 2016, une proportion qui représente 40% des incidents de ce type recensés sur l’ensemble des secteurs d’activité.
Face aux cybermenaces qui ciblent les données de leurs patients, les organismes de santé pourraient bien disposer d’une solution à un endroit improbable : le cloud public. Naguère décrié par les experts en sécurité et en conformité, le constat est que les applications reposant sur le Cloud public telles qu’Office 365 ont réussi à éviter les fuites de données massives, les cyberattaques et les pannes.
La raison en est remarquablement simple. Les principaux fournisseurs de cloud dépensent davantage en compétences et en infrastructure de sécurité que ce que la plupart des RSSI en entreprise pourraient espérer dans leur budget annuel.
À titre d’illustration Satya Nadella, le PDG de Microsoft, s'est engagé fin 2015 à consacrer plus d'un milliard de dollars par an en matière de sécurité. Lorsqu’une entreprise dépend de la capacité de son fournisseur d’accès Cloud pour protéger les données des clients, une fuite de données massive peut s’avérer fatale pour son activité.
En conséquence, les principales applications basées sur le cloud ont très peu de vulnérabilités et celles qui sont trouvées sont corrigées à la vitesse de l'éclair. Ces fournisseurs investissent aussi lourdement dans la protection de ces applications par des attaques de type déni de service et d'autres tentatives d'interruption de service et d'exfiltration de données.
Avec un tel bilan positif, l’on peut s’interroger pourquoi la sécurité et la conformité continuent-elles à être citées comme étant les principales préoccupations des organisations qui font la transition vers le Cloud.
Outre la perte de contrôle des serveurs physiques dans un centre de données, les organisations commencent à se rendre compte que même si les infrastructures cloud publiques sont sécurisées, la responsabilité de sécurisation des données des applications cloud incombe en premier lieu à l'organisation.
Quoi qu’ils puissent mettre en œuvre, les fournisseurs de services cloud ne peuvent pas protéger leurs utilisateurs contre eux-mêmes. Le plus grand risque de fuite de données, ironiquement, résulte des caractéristiques inhérentes du cloud. A savoir l'accès aux données de n‘importe quel lieu à partir de n'importe quel appareil et la possibilité de partager des données facilement – précisément ce qui rend le Cloud synonyme de souplesse et de productivité.
Les applications de productivité basées sur le cloud sont une partie essentielle du puzzle de sécurité car une grande quantité de données de sante se répercute inévitablement sur ces systèmes. Que ce soit Google Drive, Dropbox ou Office 365, de nombreuses organisations de santé commencent à utiliser des applications de productivité dans le cloud dans certaines capacités.
Les équipes informatiques sont responsables de l'accès sécurisé et conforme à ces applications et de la création d'un environnement où les collaborateurs peuvent collaborer plus efficacement sans mettre en péril les données de leurs patients.
Afin de contrôler la façon dont le cloud est utilisé, de nombreuses organisations ont déjà déployé des outils tiers de type Identity as a Service (IdaaS) et des agents de sécurité d'accès au cloud (CASB). Ces technologies peuvent aider à garantir que l'organisation ne prend pas de risques inutiles en cherchant à améliorer la productivité des équipes soignantes.
Ces outils servent à contrôler l'accès à partir d'appareils mobiles appartenant au personnel, afin de s'assurer que le partage externe est géré de manière appropriée et de limiter la possibilité que les informations d'identification des utilisateurs puissent être compromises.
Des mesures de sécurité inadaptées et l’accès illégal à des données de santé, quelle que soient la taille de l’organisation et la cause, peuvent entraîner des pénalités importantes.
En France, la fin de l’année 2016 a été marquée par le remplacement, introduit par la loi Santé, de la procédure d'agrément des hébergeurs de données de santé par une procédure de certification. Laquelle permet d’agréer des hébergeurs cloud, dont la liste est publiquement consultable.
A titre de comparaison, au Royaume-Uni, toute organisation qui traite des informations personnelles doit satisfaire à la Loi sur la protection des données. L'organisme public ICO a par exemple le pouvoir de sanctionner les organisations non certifiées conformes et qui font l’objet d’une fuite de données.
Ainsi, une amende de 200 000 £ a récemment été infligée à HCA International, un cabinet privé de santé suite aux conclusions d’une enquête sur la façon dont l'hôpital transférait, transcrivait et enregistrait les dossiers de rendez-vous des patients. En 2016, la fondation Blackpool Teaching Hospitals a par inadvertance publié des données confidentielles de ses salariés sur Internet, violant ses responsabilités en matière de protection des données et écopant par là même d’une amende substantielle.
En optant pour des applications cloud présentant un bilan de sécurité solide et en les combinant avec des outils tiers pour sécuriser les données dans le cloud, le ministère de la santé et les organismes de ce secteur sensible pourront améliorer leur capacité à protéger les dossiers médicaux. Ce qui les aidera à éviter les amendes et à se concentrer sur leur compétence de base – les soins.