Le secteur de la santé continue de constituer des réserves de données parmi les plus importantes, les plus lucratives et les plus vulnérables, ce qui en fait des cibles attrayantes pour les cybercriminels. En outre, les acteurs malveillants sont plus nombreux, plus organisés et plus créatifs dans leurs attaques contre les vecteurs vulnérables. Alors que les règles de sécurité de l'HIPAA sont en place depuis longtemps, la conformité continue d'évoluer à un rythme d'escargot et les responsables de l'innovation des produits sont contraints d'accorder une plus grande attention à la sécurité, à l'informatique, au droit, aux risques et aux considérations réglementaires plus tôt dans le cycle de vie du développement. De nombreuses organisations doivent également réexaminer ces mêmes considérations pour les produits et services déjà utilisés afin de satisfaire aux exigences réglementaires ou de conformité, de remédier à un problème, de préserver la réputation et de promouvoir un avantage concurrentiel.
Mais il y a de l'espoir pour les soins de santé. Les certificats numériques sont une solution de plus en plus utilisée comme méthode d'authentification et de cryptage entre les données vulnérables, les appareils et software au sein des entreprises complexes et des systèmes médicaux. Ajoutés à d'autres outils d'authentification à facteurs multiples, les certificats peuvent constituer une solution rentable aux vulnérabilités potentielles des systèmes de soins de santé.
Où se cachent les pirates - l'état actuel de la cybersécurité dans le secteur de la santé :
L'état actuel de la cybersécurité dans le secteur de la santé est fortement influencé par le fait que ce secteur possède les données les plus précieuses qui soient, avec de multiples points d'accès. Dans le passé, les dossiers financiers étaient les plus précieux pour les acteurs malveillants.
Selon InfoWorld, aujourd'hui, les dossiers médicaux dépassent largement la valeur des données financières, principalement parce que les données financières limitent le nombre de transactions frauduleuses qu'un voleur peut effectuer avant qu'un client ne s'en aperçoive - à ce moment-là, les données financières n'ont plus aucune valeur. À l'inverse, la plupart des informations contenues dans les dossiers médicaux sont permanentes, comme les numéros de sécurité sociale et les dossiers médicaux ; cela permet une durée de conservation beaucoup plus longue et implique suffisamment de données pour réaliser une usurpation d'identité en bonne et due forme.
De plus, les systèmes de soins de santé contiennent de multiples points d'accès. Les données, les applications, les appareils et divers tiers échangent des données en permanence ; il y a aussi les innombrables sites web et serveurs en réseau, ainsi que la prolifération massive du site IoT et la numérisation des soins de santé. Les points d'entrée sont multiples pour un acteur malveillant qui essaie de trouver un moyen d'entrer - et il finira par le faire. Il n'est donc pas surprenant que les organismes de soins de santé s'efforcent d'utiliser autant de contrôles de sécurité que possible et d'optimiser la posture de sécurité dans son ensemble, mais il est de notoriété publique que cet effort est un jeu de piste sans fin.
Le secteur des soins de santé présente un paysage de menaces assez actif. Selon HealthData Management, les principales menaces de sécurité dans le secteur des soins de santé sont les suivantes :
- Les initiés
- Chaînes d'approvisionnement des fournisseurs
- Dispositifs médicaux
- Logiciels malveillants et menaces persistantes avancées
- Mobilité
...Et ce ne sont là que quelques exemples. C'est un environnement rapide et dangereux à gérer.
5 Les moteurs de l'industrie des soins de santé créent des défis en matière de sécurité
Les innovations actuelles dans le domaine des technologies de l'information profitent aux organismes de santé et aux utilisateurs finaux en termes d'efficacité et de fonctionnement, mais ces mêmes innovations posent des problèmes de sécurisation des données qu'elles génèrent.
Voici quelques-uns des moteurs de la course à la sécurité future des soins de santé dans l'ensemble de l'industrie :
- Le rythme de l'innovation - L'approche de l'informatique est de plus en plus avancée, ce qui rend les choses plus efficaces, mais génère également de nouveaux problèmes en matière de sécurité.
- L'utilisation accrue des appareils mobiles et la grande migration vers l'informatique dématérialisée - Les appareils mobiles sont devenus la norme pour le fonctionnement des établissements médicaux et la communication avec les patients. De plus en plus d'utilisateurs finaux disposent d'informations et de commodités au bout des doigts, mais leurs données de santé sont désormais plus accessibles aux individus qui veulent les voler.
Le secteur de la santé hésite encore dans certains domaines lorsqu'il s'agit de passer au nuage, mais la plupart des applications SaaS non critiques y sont toujours hébergées. L'informatique dématérialisée n'est pas nécessairement non sécurisée en soi, mais l'hésitation provient généralement de préoccupations liées à la sécurité.
- Interconnexion omniprésente - Les technologies sont plus que jamais interconnectées. Les personnes, les appareils, les applications, les services web, les serveurs, les tiers et l'intégration en général, pour n'en citer que quelques-uns.
- Exigences de conformité du secteur et du gouvernement - La conformité est un facteur déterminant pour l'amélioration des contrôles de sécurité, mais elle s'accompagne également de son propre lot de défis. Un certain nombre d'organismes de réglementation dominent le secteur des soins de santé, et chacun d'entre eux contient des réglementations concernant la sécurité des données, mais ces réglementations ne sont pas nécessairement spécifiques, elles constituent plutôt une base de référence pour un état futur sécurisé. Elles ne stipulent pas de pratiques de sécurité spécifiques.
- Identifier qui détient et construit la sécurité et choisir les bons outils-Décider quelles personnes sont responsables de la sécurité peut être un défi. De nombreux organismes de soins de santé se posent la question suivante : s'agit-il d'une entité couverte par l'entreprise, associée au développeur ? S'agit-il du service informatique ou du service de sécurité d'une organisation ?
Il est également difficile de déterminer où appliquer les différents outils de sécurité, car il existe un grand nombre de technologies interconnectées et de points d'accès entre les données, les applications, les appareils, les tiers et les serveurs web. Établir des priorités et décider où le risque est le plus élevé tout en tenant compte des limites budgétaires est un véritable exercice d'équilibriste.
Prescrire des certificats numériques pour atténuer les symptômes des vulnérabilités en matière de sécurité
La liste ci-dessus n'est pas exhaustive : de nombreux facteurs font de la sécurité des données un défi aussi complexe pour les soins de santé. Toutefois, parmi les nombreux outils disponibles, il existe un certain nombre de contrôles de sécurité fondamentaux que tous les organismes de soins de santé ont intérêt à mettre en œuvre, notamment les certificats numériques. Les certificats numériques peuvent constituer une solution solide et économiquement réalisable aux vulnérabilités des systèmes de soins de santé en permettant l'authentification et le cryptage des données, des appareils et de software- trois technologies qui dominent l'informatique des soins de santé.
Il existe une myriade de méthodes, d'outils et de technologies utilisés pour l'authentification, le cryptage ou la signature de software et de données à des fins de validation, et de plus en plus d'organismes de soins de santé s'orientent vers l'authentification multifactorielle et la sécurité à plusieurs niveaux. Compte tenu des éléments du mouvement de numérisation, les systèmes IoT , par exemple, nécessitent ces trois contrôles de sécurité au sein d'un même système, ce qui explique pourquoi les certificats numériques peuvent être utilisés comme une couche supplémentaire de sécurité intégrée pour les systèmes d'entreprise et IoT .
Les pratiques courantes dans le secteur des soins de santé sont à l'origine du besoin de certificats numériques. Par exemple, en ce qui concerne les prescriptions électroniques de substances réglementées, l'utilisateur final bénéficie d'une grande commodité, mais le médecin prescripteur doit être vérifié, ce qui nécessite une authentification multifactorielle pour prouver que le médecin est effectivement autorisé à rédiger des prescriptions de substances réglementées. Cela nécessite un nom d'utilisateur et un mot de passe pour authentifier la personne, et souvent un code PIN spécifique au médecin, suivi d'un code de jeton à usage unique pour chaque prescription. Il ne s'agit là que d'un cas d'utilisation parmi d'autres, mais les certificats offrent aux organismes de santé une couche supplémentaire d'authentification, de cryptage et de sécurité des appareils, qui peut s'avérer nécessaire pour une plus grande sécurité, voire une différenciation sur le marché.
Comprendre comment les certificats numériques s'intègrent dans votre organisation
Les menaces de cybersécurité dans le secteur des soins de santé ne feront que se multiplier. La mise en place de contrôles de sécurité appropriés est essentielle pour prévenir les violations de données et protéger les patients. Les certificats numériques sont un outil d'authentification essentiel qui permet de réduire considérablement les risques organisationnels.
Le CSS a récemment organisé un webinaire intitulé "Digital Certificates - Rx for Embedding Security into Vulnerable Healthcare Systems" (Certificats numériques - Rx pour intégrer la sécurité dans les systèmes de santé vulnérables), afin d'approfondir les détails du paysage des menaces dans le secteur de la santé, les défis en matière de sécurité dans ce secteur et l'utilisation des certificats pour réduire efficacement les risques. Les sujets spécifiques abordés sont les suivants :
- Diagnostic de l'état actuel de la cybersécurité des soins de santé
- Pronostic des vulnérabilités futures
- Symptômes de sécurité - douleurs et conséquences
- Prescrire des certificats pour soulager les symptômes liés à l'authentification, au cryptage et à la signature de code
- Des plans de traitement pour intégrer la sécurité dans les systèmes d'entreprise et les systèmes médicaux
- Médecine préventive pour minimiser les vecteurs d'attaque et influencer les résultats positifs en matière de sécurité
Téléchargez la présentation du webinaire pour en savoir plus sur la façon dont les certificats numériques peuvent améliorer la sécurité de votre organisation de soins de santé.
Si votre équipe de sécurité souhaite en savoir plus sur la santé de votre posture de sécurité et sur la façon dont les certificats numériques peuvent vous aider, veuillez vous connecter avec un expert en certificats numériques CSS dès aujourd'hui, ou n'hésitez pas à nous appeler au 877.715.5448 pour une aide immédiate.
