👩‍⚕️Comment protéger vos données de santé des cyberpirates?

C’est le nombre d’attaques informatiques visant les structures médicales aux USA en 2022 recensées par l’HIPAA. Un nombre en nette augmentation par rapport à 2020 qui illustre bien une nouveauté : la santé connectée et les carnets de santé numérique sont les nouvelles cibles phares des cyberpirates.

Alors, comment protéger vos données de santé protégées ?

Nous avons listé cinq solutions, mais pas que. Nous vous expliquons aussi pourquoi elles sont autant convoitées.

Pourquoi les hackers adorent voler des données de santé ? (3 raisons)

Est-ce que vous vous êtes déjà demandé pourquoi est-ce que les hackers voient les données de santé comme de l’or ?

Source : Journal de l’HIPAA

Il y a plusieurs réponses envisageables.

Par exemple, des instituts pharmaceutiques peu scrupuleux peuvent les utiliser pour multiplier des études… disons socialement inacceptables. Ensuite, des compagnies d’assurance peuvent s’en servir pour discriminer des personnes atteintes d’un handicap ou d’une pathologie.

Mais la vraie raison pour laquelle les cyberpirates se sont découvert une passion pour le monde médical et les informations de santé protégées, c’est l’argent.

Sceptique ?

Voici trois raisons derrière les piratages massifs des établissements de santé.

1 – les données de santé se vendent plus cher que les informations de carte de crédit

Oui, vous avez bien lu.

Selon un rapport de Secure Link, les données de paiement se vendent à 5.50 $ en moyenne, contre 250 $ pour les données de santé.

Même si les chiffres divergent d’une étude à l’autre comme le montre cette infographie de trend micro, le constat est le même : vendre des données médicales rapporte davantage que receler des informations bancaires.

Cerise sur le gâteau : les informations récupérées dans les carnets de santé numérique ont une durée de vie exceptionnellement longue. Après tout, est-ce que vous changez souvent d’assureur ou encore de couverture sociale ?

Probablement pas.

Ce qui nous amène au point suivant.

2 – Les carnets de santé numériques contiennent (littéralement) toute la vie du patient

Nom, prénom, date de naissance, numéro de sécurité sociale, antécédents médicaux, statut marital, traitements médicaux, pathologie, mode de vie… la liste des informations récoltées par la santé connectée est énorme.

Ainsi, en les dérobant, des hackers peuvent :

• usurper votre identité ou celles de vos patients ;
• réclamer des frais médicaux aux assurances ;
• acheter des médicaments au nom de vos patients pour les revendre sur le marché noir.

Les cyberpirates étant très rusés, aucun doute qu’ils peuvent mener d’autres activités avec vos données.

3 – Elles sont mal protégées

Les établissements médicaux ont beau concentrer énormément de docteurs au mètre carré, force est de reconnaître que leurs infrastructures informatiques sont mal défendues.

En effet, l’accès aux données doit être rapide, sans contrainte, et ce, depuis plusieurs services.

Mais ce n’est pas le plus choquant.

D’après une étude de Sensato, 60 % des équipements médicaux utilisés dans les hôpitaux américains sont en fin de vie. Autrement dit, ils ne sont plus maintenus par leurs fabricants et tournent encore sur des systèmes d’exploitation qui ne reçoivent plus de mises à jour.

Autre problème de la médecine 2.0, la prolifération de périphérique due à l’Internet des objets Médicaux (IoTM). Certains de ces équipements sont utilisés avec leurs mots de passe par défaut.

Top 3+1 des attaques informatiques qui visent vos données de santé

Ok,

Maintenant que vous savez que les cyberpirates ciblent particulièrement les établissements médicaux, vous vous demandez sûrement : quels types d’attaques utilisent-ils ?

Nous avons compilé les quatre attaques informatiques qui reviennent le plus souvent.

1 – Les ransomwares

Les ransomwares sont des logiciels extrêmement populaires auprès des pirates. Grâce à une porte dérobée, le pirate installe un programme malveillant sur votre serveur.

Ce dernier va crypter votre base de données. Pour obtenir la clé de chiffrement, l’attaquant va vous demander une rançon. Et afin de vous mettre la pression, certains d’entre eux activeront un chronomètre. Passer un certain nombre d’heures, vos données seront purement supprimées.

Attendez, ce n’est pas le pire.

Si vous vous entêtez à ne pas payer en prétextant que vous avez un backup récent de vos données, l’attaquant peut extraire les données et les revendre sur le marché noir.

2 – Le phishing

Avez-vous déjà reçu un e-mail provenant d’un prince nigérian qui vous dit qu’il souhaite vous verser toute sa fortune, mais qu’il a besoin d’un acompte ?

Ou d’une Canadienne qui a oublié ses bagages dans votre pays et qui est prête à vous les donner ?

Oui, cela semble un peu gros comme arnaque, mais c’est le principe de l’hameçonnage : utiliser l’ingénierie sociale pour que vous donniez vous-même vos informations de connexion.

Les attaquants s’en servent surtout comme un point d’entrée dans votre SSII. Vous ne remarquerez même pas qu’ils se sont infiltrés dans votre système d’information.

3 – les attaques DDoS

Contrairement aux deux menaces précédentes, une attaque de Déni de Service, ou DDoS, ne permet pas aux attaquants de voler vos données.

Non, ce qui les intéresse, c’est de rendre vos services informatiques inaccessibles aussi bien pour votre staff que vos clients.

Et pour y parvenir, ils vont inonder vos serveurs avec des milliers de requêtes factices via un botnet.

Pour que cela cesse, vous allez devoir soit demander à votre hébergeur de mettre vos serveurs hors services le temps d’isoler les adresses IP malveillantes; soit implémenter rapidement des mesures anti-DDoS.

Petite nouveauté : certains attaquants vont vous demander de leur verser une rançon pour faire taire leurs armées de bots.

4 – Les attaques de la chaîne d’approvisionnement

Aussi appelé “Supply Chain Attack” dans la langue de Shakespeare, ce type de menace ne vous vise pas directement.

Ce sont vos fournisseurs et les fabricants de vos appareils médicaux connectés qui sont pris pour cible. En infectant leurs systèmes informatiques, les pirates s’en servent comme passerelles jusqu’aux vôtres.

C’est ce qui est arrivé au fournisseur américain d’imagerie médicale Shields Health Care Groupe en 2022. Des pirates ont réussi à obtenir des accès non-autorisés à partir desquels ils ont pu accéder aux bases de données des quelque 50 établissements de santé utilisant les services de la firme.

Au total, ce sont 2 millions de dossiers PHI qui ont été volés.

Face à toutes ces attaques, comment faire pour protéger vos données de santé ? Eh bien, l’UE et le gouvernement fédéral américains ont des réponses.

Et elles s’appellent RGPD, HDS et HIPAA.

RGPD, HDS et HIPAA : les 3 normes à respecter quand on est un professionnel de la santé

Rentrons dans le vif du sujet.

1 – Le RGPD

Est-ce que vous connaissez le Règlement Général de la Protection des Données (RGPD) européen ? Si votre réponse est non, sachez qu’il s’agit d’un ensemble d’articles qui visent à protéger les droits des consommateurs européens sur le web.

Toute entreprise installée en Europe ou qui traite les données de personnes européennes est soumise au RGPD.

En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui fait office d’autorité de contrôle. Et vu que vous êtes un professionnel de la santé, vous devez vous conformer à plus d’exigences, car vous traitez des données de santé.

Qu’est-ce qu’une donnée de santé aux yeux du RGPD ?

Selon l’article 4 alinéa 15 du RGPD, les données de santé sont : « … [des] données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

De par leur caractère personnel, Bruxelles interdit que ces données soient traitées. Sauf dans deux cas précis.

Quels sont les traitements de données sensibles autorisés par le RGPD ?

Selon le RGPD, vous pouvez utiliser les données de santé d’une personne à condition d’avoir notifié le ou la concerné·e. Mais cela ne signifie pas que vous pouvez en faire ce que vous voulez.

En France, l’Institut National des Données de Santé (INDS), qui fait office de régulateur quant à l’usage des données de santé, autorise 2 types d’usage :

• l’usage individuel permettant de soigner le patient et qui autorise le partage de données entre celui-ci et le système de soin ;
• la recherche et le pilotage du système, à condition que les données passent d’abord par un processus d’anonymisation.

Maintenant, voyons comment être conforme au RGPD.

Comment être conforme au RGPD en tant que professionnel de la santé ?

Pour que votre entreprise de santé soit déclarée conforme au RGPD, vous devez respecter les trois conditions suivantes :

• vous informez les patients sur le traitement de leurs données de manière concise, transparente, compréhensible et accessible ;
• vous protégez les contenus sensibles contre les accès non-autorisés ou illicites, contre la suppression, la perte et la dégradation ;
• En cas de violations de données personnelles, vous devez avertir la CNIL dans les 72 h suivant la découverte de la faille informatique. De plus, vous devez aussi informer les personnes concernées que leurs données ont été volées.

Si vous souhaitez en apprendre plus sur le sujet, voici la page de la CNIL qui détaille toutes les exigences européennes en matière de protection des données de santé.

Quelles sont les sanctions encourues si votre établissement de santé n’est pas conforme au RGPD ?

Si jamais vous êtes pris la main dans le sac pour non-respect du RGPD, voici les sanctions prévues par le régulateur :

• des sanctions administratives ;
• pénales ;
• financières ;
• Ou encore des sanctions en déficit d’image.

Concernant les sanctions administratives, sachez qu’en plus de celles-ci, l’article 58 du RGPD permet aux autorités de contrôle de vous sanctionner davantage. On parle alors de mesures correctrices.

Et si elles sont jugées insuffisantes, l’article 84 du RGPD confère le pouvoir aux états de vous envoyer derrière les barreaux. Avec en prime des amendes salées.

Enfin, les sanctions financières sont calculées de la manière suivante :

• 10 millions d’euros ou 2 % de votre chiffre d’affaires si vous ne respectez pas les conditions du recueil du consentement des enfants ou le principe de privacy by design ;
• 20 millions d’euros ou 4 % de votre chiffre d’affaires si vous violez le principe de traitement des données ou ne respectez pas les conditions de licéité.

Si vous souhaitez en apprendre plus sur les sanctions du RGPD, Legal Place en a fait un excellent billet de blog.

Ces sanctions ont déjà été appliquées plusieurs fois, le cas de l’hôpital de Barreiro au Portugal étant sans doute le cas le plus connu.

La cause : l’établissement portugais avait une politique d’accès aux bases de données des patients beaucoup trop laxiste.

En effet, l’établissement médical comptait pas moins de 985 accès avec des privilèges de médecins… alors qu’il n’y avait que 296 médecins en service. Comble de l’horreur, le personnel administratif avait exactement les mêmes accès que les médecins.

Si vous souhaitez en apprendre plus sur cette histoire, faites un tour sur le site epione-simusante.fr.

La certification Hébergeurs de Données de Santé HDS

Le HDS est une certification destinée aux professionnels européens de l’hébergement et de l’infogérance des données à caractère personnel. Comprenez par là les hébergeurs de données de santé.

Obligatoire depuis 2018, le HDS est délivré en France par l’Agence du Numérique en Santé (ANS) et n’est valide que trois ans. Pour l’avoir, vous devez être conforme à deux normes ISO :

• la norme ISO 27 001 relative au Management de la Protection de la vie privée ;
• la norme ISO 20 000 relative au Management des Services informatiques.

Vous l’avez compris, cette norme vise les hébergeurs. Mais elle peut aussi vous concerner dans deux cas :

• vous hébergez les données de vos patients sur des serveurs interne ;
• vous stockez une partie de vos données à caractère personnel sur le cloud et l’autre sur vos propres serveurs.

Dans ces cas-là, vous n’avez pas le choix : vous allez devoir être conforme au HDS, en plus du RGPD.

Sachez qu’il existe deux types de certifications HDS réparties en six niveaux :

• le certificat hébergeur d’infrastructure physique, qui va du niveau 1 jusqu’au niveau 2 ;
• le certificat hébergeur infogéreur, qui va du niveau 3 jusqu’au niveau 6.

Voyons-les en détail tout de suite.

Le certificat Hébergeur d’Infrastructure Physique

Si vous envisagez d’héberger uniquement les données sur votre site sans être la personne qui les traite, alors ce certificat vous concerne.

Selon la description officielle, voici ce qu’il recommande :

• la mise à disposition, le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour traiter de la donnée de santé ;
• la mise à disposition, le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour traiter les données de santé.

Le certificat hébergeur ne traite donc pas de l’infogérance des données, raison pour laquelle il ne couvre que les niveaux 1 et 2 du HDS.

Maintenant, si vous allez traiter ces données, alors le prochain est fait pour vous.

Le certificat Hébergeur Infogéreur

Allant du niveau 3 jusqu’au niveau 6 (le dernier), ce certificat se concentre sur l’infogérance du système d’information traitant des données de santé.

Voici ce que dit sa description officielle :

• la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé ;
• la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
• l’administration et l’exploitation du système d’information contenant les données de santé ;
• la sauvegarde externalisée des données de santé.

Si vous décidez de faire héberger vos données par un hébergeur tiers, assurez-vous toujours qu’il possède cette certification. Car oui, tous les hébergeurs ne sont pas certifiés HDS 6 comme Amazon.

Un argument de poids si vous hésitez à héberger vos données sur Amazon AWS.

La norme américaine HIPAA

Faites-vous des affaires sur le territoire de l’oncle Sam ?

Si votre réponse est non, cette partie ne vous concerne pas. Dans le cas contraire, vous devriez prêter attention à la loi HIPAA.

Visant les structures médicales depuis 1986, elle permet à l’Office for Civil Rights (OCR) d’auditer les systèmes d’information des structures médicales. Et voici les 7 éléments obligatoires pour que vous soyez déclaré conforme :

1. la mise en œuvre des politiques, des procédures et des normes de conduite écrites ;
2. la désignation d’un responsable et d’un comité de conformité ;
3. la mise en place d’une formation et d’un enseignement efficaces ;
4. le développement de lignes de communication efficaces ;
5. la mise en place d’un contrôle et d’un audit interne ;
6. la mise en place d’une publicité adéquate destinée à faire respecter les normes ;
7. enfin, vous devez répondre aux infractions détectées et prendre des mesures correctives le plus rapidement possible.

Voilà !

Pour en apprendre plus sur la loi HIPAA, il existe un excellent guide appelé HIPAA for dummies.

Une fois que vous serez certain que votre établissement médical respecte ces normes, ce ne sera pas fini. Vous devrez en plus mettre en place des barrières de sécurité anti-hackers.

Et justement, on vous en a listé quelques-unes.

5 actions à mettre en place pour protéger vos données de santé

Sans plus tarder, les voici.

1 – Créer des mots de passe forts et diversifiés

Ça peut sembler basique, et pourtant. Vous serez surpris en voyant le nombre de périphériques qui conservent exactement les mêmes mots de passe qu’à leurs sorties d’usine.

D’ailleurs, est-ce que vous avez déjà pris la peine de changer le mot de passe de toutes vos caméras connectées ? De votre robot aspirateur connecté ? Votre Smart TV ?, etc.

Bref, vous voyez le schéma.

Et c’est précisément la même chose en ce qui concerne les dispositifs médicaux connectés. De nombreux scanners, tensiomètres et oxymètres connectés sont mis en service sans qu’un DSI ne pense à changer leurs mots de passe.

Résultat : une surface d’attaque large, difficile à surveiller et avec beaucoup de points d’entrée. Un paradis pour les hackers adeptes des attaques de force brute. Un enfer pour l’établissement médical et les patients concernés.

Heureusement, vous pouvez éviter cela en prenant le soin de créer des mots de passe forts. Ces derniers doivent inclure :

• des lettres majuscules et minuscules ;
• des chiffres ;
• des symboles tels que @, &, etc.

Enfin, vous formez votre personnel à ne pas écrire leurs identifiants sur des post-its ou sur un fichier texte sur le bureau.

2 – Crypter les données et les périphériques

Imaginez un instant…

Vos équipes reçoivent un patient qui a fait un grave accident de voiture. Après l’avoir stabilisé aux urgences, le médecin urgentiste crée son carnet numérique. Puis, au vu de l’état du patient, recommande une radiologie.

Son dossier numérique est donc transféré des urgences vers le service de radiologie. Et là, il s’avère que votre patient souffre de plusieurs fractures, son dossier est mis à disposition du service de traumatologie, sauf que celui-ci est plein. Par conséquent, vous référez le patient vers une autre structure hospitalière à laquelle vous transférez son carnet numérique.

Est-ce que vous voyez où nous voulons en venir avec ce scénario ?

Les dossiers numériques de vos patients transitent à plusieurs reprises entre différents réseaux informatiques.

Et ça pose un problème : des hackers peuvent profiter d’une faille dans un wifi mal protégé pour récupérer les données. Avec le développement de la télémédecine, de plus en plus de médecins accèdent à ces contenus à distance sur des réseaux peu protégés et parfois sans firewall.

Pire encore, un cyberpirate rusé peut en profiter pour infecter votre réseau et mettre en place une attaque de l’homme du milieu.

Heureusement, vous pouvez éviter qu’une fuite de données se produise en cryptant les données. Seule la personne avec la clé de chiffrement est capable de les déchiffrer. Pour les autres, les données de vos patients ne seront qu’un amas de bit impossible à comprendre.

Pour renforcer davantage votre barrière numérique, vous pouvez aussi mettre en place un APN privé. Il agit comme un tunnel qui sécurisera la communication entre vos différents terminaux.

3 – Former vos collaborateurs sur les gestes anti-piratage

Saviez-vous que 51 % des failles de sécurité sont dues à des erreurs humaines ?

Que ce soit l’un de vos collaborateurs qui ouvre un mail d’hameçonnage, un autre qui oublie de se déconnecter, etc.

Selon un rapport datant de 2021 du groupe Cyber Security Insider, 98 % des établissements de santé sont vulnérables à ce type de faille. Pour vous faire une idée, dites-vous que c’est le plus haut taux de menaces parmi toutes les industries.

Ici, vous n’avez qu’une seule chose à faire : éduquer et former vos collaborateurs sur les mesures de protection des données.

Cerise sur le gâteau : vous pouvez aussi mettre en place une politique d’accès aux données qui garantit que vos collaborateurs n’auront accès qu’aux données qui leur sont utiles pour exécuter leurs tâches.

4 – Choisir un hébergeur adapté

Vous souvenez-vous de la norme HDS dont nous parlions plus tôt ? C’est ici qu’elle entre en jeu.

En plus d’être conforme au RGPD, le datacenter qui hébergera vos données doit aussi être certifié HDS jusqu’au niveau 3 au moins.

Et avant que vous ne vous posiez la question, Amazon AWS est certifié HDS du niveau 1 jusqu’au niveau 6. Mais ce n’est pas le seul cloud provider qui cumule toutes les certifications HDS.

En voici d’autres :

• Google Cloud Platform ;
• Cegedim Cloud ;
• Cloud Temple ;
• Data One ;
• EXODATA ;
• Euris Health Cloud.

Pour savoir si le prestataire à qui vous voulez confier l’hébergement de vos données de santé est certifié HDS, rendez-vous sur le site de l’Agence du Numérique en Santé. Ensuite, appuyez sur les touches CTRL + F et tapez le nom de l’hébergeur qui vous intéresse.

S’il n’y apparaît pas, prenez vos jambes à votre cou.

5 – Choisir une agence qui va intégrer la cybersécurité de votre système informatique dès la conception

Plus une faille de sécurité est détectée tôt, moins elle est coûteuse à réparer. Alors pourquoi ne pas l’anticiper avant la création de votre plateforme ?

C’est ce que nous vous proposons chez Poyesis.

Avant même d’avoir écrit une seule ligne de code, nos équipes IT analysent tous les scénarios pouvant mener à un vol de données. Ensuite, nous mettons tout en place pour que cela n’arrive pas.

Conséquence : vos données sont protégées bien avant la publication de votre application.

Avez-vous un projet de santé dont vous voulez discuter ? Contactez notre chef de projet informatique. C’est gratuit et sans engagement, alors pourquoi hésiter ?