Rapport 2018 de Thales sur les menaces informatiques dans le domaine de la santé

Thales, leader en matière de systèmes d'information critiques, de cybersécurité et de sécurité des données, publie aujourd'hui son Rapport 2018 sur les menaces informatiques, édition santé, qui révèle que 30 % seulement des organisations sanitaires internationales n’ont encore jamais été victimes d’une violation de données. Chiffre alarmant, 39 % de ces organisations ont été touchées au cours de la seule année passée, tandis que la majorité des organisations interrogées ont indiqué avoir déjà été victimes de vols de données dans le passé - une augmentation de 17 % par rapport à 2016. Établies en collaboration avec le cabinet d'analyse 451 Research, les conclusions soulignent également l’impact négatif des cybercriminels, plus de la moitié des organisations (55 %) se sentant « très » ou « extrêmement » vulnérables aux violations de données.

La transformation numérique : elle permet d'améliorer les services de santé, mais elle génère des risques

Dans le souci d'offrir des services plus efficaces - et en vue de réduire les coûts - le secteur de la santé s’attache depuis peu à adopter les technologies de la transformation numérique, notamment le cloud, le big data, l’internet des choses et les containers. Ces technologies permettent aux organisations de créer et de gérer les données plus facilement, mais également de stocker plus efficacement les informations critiques.

Au niveau mondial, presque tous les répondants (93 %) ont indiqué utiliser ces technologies pour les données sensibles. Chaque nouvelle technologie présente des défis spécifiques en matière de sécurité des données, qui doivent être pris en compte, car ils augmentent la surface d'attaque disponible. Voici quelques-unes des conclusions les plus marquantes du rapport 2018 :

• Toutes les organisations mondiales interrogées (100 %) exploitent des clouds, 54 % d’entre elles ayant recours à au moins trois fournisseurs d'infrastructures (IaaS), au lieu de les héberger sur site
• Au niveau mondial, un tiers (33 %) des répondants utilisent plus de 50 applications SaaS, 54 % utilisent au moins trois environnements PaaS
• Presque tous les répondants (99%) utilisent le big data ; 94 % utilisent ou travaillent sur un projet de paiement mobile, et 94 % ont mis en œuvre, ou sont sur le point de mettre en œuvre un projet blockchain.
• 96 % exploitent les technologies de l’internet des objets, notamment des moniteurs de fréquence cardiaque connectés, des défibrillateurs implantables et des pompes à insuline.

Ces organisations sont ainsi devenues des cibles de choix pour les pirates informatiques, mettant en danger des données médicales précieuses. Alors qu'une carte bancaire volée a une valeur limitée dans le temps, les informations sanitaires protégées et les dossiers médicaux électroniques (DME) sont chargés de données inaltérables qui peuvent rapporter, et rapportent d'ailleurs des centaines de dollars par dossier volé sur les marchés en ligne illicites.
 

La conformité joue un rôle important dans l’attitude des organisations sanitaires internationales vis-à-vis de la sécurité

Des rapports d’organisations sanitaires internationales ont montré par le passé que les États-Unis accordent davantage d’importance à la conformité, que leurs homologues internationaux. Cela s’explique notamment par le fait que leur système de santé repose principalement sur le secteur privé, qui fait face à un ensemble complexe de réglementations et de normes. L’efficacité d'une stratégie basée sur la conformité est discutable : 77 % des répondants américains du secteur de la santé ont rapporté au moins une violation dans le passé, ce qui en fait le secteur le plus atteint de tous les marchés verticaux américains interrogés dans le rapport 2018. En dépit des difficultés des américains, au niveau mondial, 64 % des répondants pensent que les exigences de conformité sont « très » ou « extrêmement » efficaces pour prévenir les violations de données, la conformité étant classée en tête des motivations pour les dépenses en matière de sécurité (51 %), un chiffre plus élevé que dans tout autre secteur, et plus élevé qu’aux États-Unis (44%).

Le chiffrement considéré comme essentiel - mais les dépenses reflètent-elles cette déclaration ?

Alors qu'au niveau mondial, 83 % des répondants du secteur de la santé prévoient d'augmenter leurs dépenses en matière de sécurité (un chiffre supérieur à la moyenne mondiale), seuls 40 % d’entre eux augmentent leurs dépenses en matière d'outils de sécurité pour les données dormantes. Une position déroutante, au regard des autres conclusions du rapport. L’entrée en vigueur imminente du règlement général sur la protection des données (RGPD), par exemple, signifie que la souveraineté des données est au cœur des préoccupations de la plupart des entreprises internationales. Au niveau mondial, le chiffrement est la première solution choisie pour respecter les réglementations relatives à la confidentialité (36 %). Contrairement à leurs homologues américains, qui ont classé les outils de défense des données dormantes en avant-dernière place en termes d’efficacité, 76 % des répondants du secteur de la santé, au niveau mondial, ont classé ces outils (telles que le chiffrement ou la tokénisation) comme meilleurs outils de protection des données (ex-aequo avec les outils de défense des données en mouvement).

Peter Galvin, Directeur de la Stratégie, Thales e-Security, explique :

« En matière de protection des données, l’industrie mondiale de la santé est de plus en plus sous pression, ce qui explique que certaines des conclusions de ce dernier rapport soient si paradoxales. Au niveau mondial, 63 % des répondants investissent par exemple dans la sécurité des terminaux, alors même qu’elle n'a que peu d'intérêt pour la protection des données dès lors que les périmètres ont été franchis par les agresseurs. Les dépenses en matière de sécurité des données doivent correspondre à la réalité du secteur de la santé - celle d'une industrie qui est en train d’embrasser les technologies de transformation numérique - et se traduire par des investissements dans des solutions de chiffrement, pour protéger les données sensibles connues et inconnues, qui vont aujourd'hui au-delà de l’environnement sanitaire traditionnel. »

Pour de plus amples détails sur les meilleures pratiques en matière de sécurité, merci de télécharger le Rapport 2018 de Thales sur les menaces informatiques dans le secteur de la santé. (anglais)