Sans toujours y penser, les patients partagent volontiers des informations personnelles identifiables (IPI) destinées à être conservées dans les dossiers médicaux électroniques (DME) avec les prestataires de soins de santé en qui ils ont confiance. La gestion de ces données est une immense responsabilité. Quelle est la fiabilité des contrôles mis en place pour garantir une sécurité et une confidentialité permanentes ? Lorsque les données sont physiquement et numériquement partagées sur un si grand nombre de réseaux, tous les scénarios de protection doivent être envisagés.
Garantir la sécurité des informations relatives aux patients
Commençons par une définition. En termes simples, un certificat Wildcard est un certificat de clé publique qui peut être utilisé sur plusieurs sous-domaines. Par exemple, un certificat générique émis pour https://*.examplecompany.com peut être utilisé pour sécuriser tous les sous-domaines, tels que :
- blog.examplecompany.com
- mobile.examplecompany.com
Voici l'avantage évident de l'utilisation de certificats génériques : avec un seul certificat numérique, je peux sécuriser et authentifier tous mes sous-domaines publics, ce qui m'évite de devoir gérer plusieurs certificats. Au lieu d'acheter des certificats séparés pour mes sous-domaines, je peux utiliser un seul certificat Wildcard pour tous les domaines et sous-domaines sur plusieurs serveurs.
Cependant, les certificats wildcard ne couvrent qu'un seul niveau de sous-domaines puisque l'astérisque ne correspond pas aux points d'arrêt. Dans ce cas, le domaine resources.blog.keyfactor.com ne serait pas valide pour le certificat. Le domaine nu keyfactor.com n'est pas non plus couvert, et devra être inclus en tant que Subject Alternate Name séparé.
Les cybercriminels deviennent chaque jour plus inventifs et exigent des réseaux de soins de santé qu'ils agissent rapidement pour ne pas se laisser distancer par leurs adversaires. L'augmentation des coûts de main-d'œuvre étant une préoccupation majeure dans le secteur, les organisations doivent déterminer les moyens les plus rentables et les plus efficaces en termes de main-d'œuvre pour renforcer la sécurité et la confiance globale dans la prestation des soins.
L'importance de l'échelle
Chaque fois qu'un patient est vu par un praticien ou qu'un médicament est administré, une nouvelle entrée est créée dans le DSE. Si l'on considère les plus de 953 000 médecins au service d'une population nationale de 323 millions de personnes, le volume de données généré à chaque interaction est énorme. En l'absence de sécurité, les risques de violation, de vol de données et de perte de confidentialité se multiplient de manière exponentielle. Un seul point d'entrée compromis peut avoir un effet d'entraînement qui se répercute non seulement sur le consommateur, mais aussi sur l'entreprise. Tout temps d'arrêt de l'entreprise équivaut à une perte de productivité, de revenus et d'engagement de la part des clients.
Le Breach Level Index estime que le secteur de la santé a perdu 33,7 millions de fichiers à la suite de violations en 2017. Et comme un grand nombre de ces fichiers renvoient à des patients dont les informations personnelles ont été volées, les enjeux sont importants pour les équipes informatiques et de sécurité, qui doivent réagir de manière efficace.
Que font donc les équipes ? Elles augmentent le nombre de clés et de certificats de sécurité déployés dans leur organisation. Cette augmentation s'accompagne de la nécessité d'une gestion plus robuste de l'infrastructure à clé publique (PKI) afin de s'assurer que les certificats restent à jour et efficaces.
La valeur de l'automatisation
Dans un scénario idéal, les centres de soins de santé disposeraient d'importants services informatiques qui surveilleraient et géreraient tous les appareils et l'infrastructure technologique 24 heures sur 24 et 7 jours sur 7. Mais les budgets serrés, la recherche des bons talents et l'optimisation des opérations font qu'il est difficile de trouver un équilibre entre la sécurité, la confidentialité et le bien-être des patients, d'une part, et la rentabilité, d'autre part.
L'adoption de l'automatisation est une solution idéale pour aborder ces questions de front, en permettant aux organisations de.. :
- Redéployer le personnel vers d'autres initiatives importantes
- Maîtrisez la gestion complète du cycle de vie de chaque certificat dans votre environnement
- Réutiliser les certificats actuels plutôt que d'investir dans de nouveaux certificats
- Remplacer PKI rapidement et facilement dans les appareils IoT
- Et, ce qui est peut-être le plus important, assurez le cryptage des données sur tous les appareils afin que toutes les informations personnelles soient protégées contre toute violation.
En recourant à des processus automatisés, les administrateurs peuvent accomplir les tâches de gestion de PKI en moins de temps et avec moins de ressources, tout en restant disponibles pour répondre rapidement aux menaces. L'automatisation modifie la façon dont la gestion de PKI a toujours été effectuée et peut répondre aux besoins du secteur des soins de santé en matière de protection des DSE à grande échelle.
Se tourner vers l'informatique dématérialisée
- Selon un rapport récent de McAfee (Navigating a Cloudy Sky Practical Guidance and the State of Cloud Security), les organisations qui ont une stratégie "cloud-first" prévoient de migrer 80 % de leur budget informatique vers le "cloud" dans les 12 mois à venir. En outre, la majorité des organisations stockent une partie ou la totalité de leurs données sensibles dans le nuage public, le secteur des soins de santé arrivant en tête avec plus de 90 %.
- L'utilisation du nuage pour répondre au besoin de gestion rapide et collaborative des fichiers de données est logique dans une organisation moderne, mais la sûreté et la sécurité doivent être des composantes essentielles de l'intégration du nuage. Les dispositifs médicaux connectés, l'internet des objets (IoT) et les DSE contiennent tous des IIP et doivent disposer des mesures de sécurité adéquates pour protéger efficacement les données et être des technologies viables à l'avenir.
Préparer l'avenir dès aujourd'hui
Toutes les solutions PKI ne se valent pas. Avec la prévalence des opérations basées sur le cloud et des données PII générées et gérées en collaboration, les entreprises doivent utiliser des solutions évolutives, agiles et rentables. Assurez-vous de trouver un partenaire technologique capable de répondre à vos besoins spécifiques pour vous aider à développer et à rendre opérationnelle la sécurité numérique. En investissant aujourd'hui dans la bonne technologie, vous serez prêt pour l'avenir de la cybersécurité dans le secteur de la santé.
Regardez le webinaire à la demande de Mark Thompson sur l'importance de sécuriser les DSE avec la crypto-agilité :
- L'élargissement du paysage des menaces liées aux dispositifs médicaux non gérés et aux violations des DSE
- Comment sécuriser les DSE contenant des informations personnelles à grande échelle ?
- Les avantages d'investir dans des outils d'automatisation crypto-agile visant à améliorer l'expérience des patients