mercredi 21 mai 2014

ESANTÉ : LE FBI SUR LA BRÈCHE

A lire sur: http://www.itone.lu/article/esante-le-fbi-sur-la-breche

12-May-2014
Les cyber criminels vont vraisemblablement accroître leurs intrusions dans les systèmes informatiques et les appareillages médicaux du secteur des soins de santé. C'est une conséquence du passage obligatoire, aux Etats-Unis, du dossier papier au dossier médical électronique (Electronic Health Record, EHR). Un certain relâchement dans les normes de cyber sécurité et un marché noir pour les dossiers médicaux de plus en plus profitable sont également mis en cause par la Cyber Division du FBI, dans son bulletin "Private Industry Notification" de la semaine dernière.

Le secteur des soins de santé, une proie facile ?
La transition vers l'EHR (l'équivalent du Dossier de Soins Partagé,  DSP), au mois de janvier 2015, créera un afflux de nouveaux dossiers électroniques, couplés à des appareillages médicaux de plus en plus connectés à l'Internet, donnant ainsi naissance à un nouvel environnement lucratif que les cyber criminels ne manqueront pas d'exploiter. Selon des rapports de SANS Institute, Ponemon et EMC, le secteur des soins de santé n'est pas prêts techniquement à combattre les Tactiques, Techniques et Procédures (TTP) basiques de cyber intrusion, et encore moins à faire face aux Menaces Persistantes Avancées (APT) des cyber criminels. Le secteur des soins de santé n'est pas aussi résistant aux cyber intrusions que l'industrie de la finance et le commerce de détail, ce qui augmente d'autant les probabilités d'une augmentation conséquente de ce type d'attaques.

Perception erronée
Un rapport émis en février 2014 par le SANS Institute indique que les responsables des stratégies et des pratiques de sécurité du secteur des soins de santé sont mal protégés et mal équipés pour faire face aux nouvelles cyber menaces mettant en péril les dossiers médicaux des patients, les systèmes de facturation et de paiement, ou la propriété intellectuelle. L'analyse des données a révélé que de multiples dispositifs (logiciels d'imagerie, systèmes de vidéo numérique, fax, imprimantes) et de nombreux systèmes  de sécurité (VPN, firewalls et routeurs) étaient compromis: une fois les dispositifs médicaux compromis, le trafic malveillant se répand à travers les VPN et les firewalls. La plus grande vulnérabilité mise en évidence dans le rapport est la perception positive qu'ont les informaticiens du secteur de leurs stratégies actuelles de conformité et de cyber défense, alors les données analysées démontrent clairement qu'il en va tout autrement.

Protéger les données des patients
Selon un rapport du Ponemon Institute daté de mars 2014, 63% des organismes de soins de santé interrogés ont fait état d'une violation de données au cours des deux dernières années avec une perte financière moyenne de 2,4 millions de dollars par violation. La majorité des intrusions a entraîné le vol d'information. Par ailleurs, 45% des personnes interrogées ont reconnu que leurs organisations n'avaient pas mis en œuvre de mesures de sécurité pour protéger les données relatives aux patients.

Un marché noir lucratif
Dans un livre blanc publié en 2013, EMC relevait qu'au cours de la première moitié de l'année, plus de deux millions de dossiers de soins de santé avaient été compromis, soit 31% de l'ensemble des violations de données signalées. Les cyber criminels revendent l'information sur le marché noir au prix de 50 dollars pour un EHR partiel. En comparaison, un numéro de sécurité sociale ou de carte de crédit volé se négocie à 1 dollar. Le dossier peut ensuite être utilisé pour introduire des demandes de remboursement frauduleuses, obtenir des prescriptions de médicaments, ou encore pour le vol d'identité "avancé". Le vol de dossier médical électronique est également plus difficile à détecter, prenant presque deux fois plus de temps à découvrir que le vol d'identité "normal".

La situation au Luxembourg
Les grands enjeux du secteur de la santé seront débattus à l'occasion du premier Luxembourg Healthcare Summitqui se tiendra le 5 juin prochain. La ministre de la Santé, Lydia Mutsch, y fera une intervention. Lors de l'événement, l’utilisation et l’accessibilité des données du patient seront abordés - avec un accent particulier sur la protection et la sécurité de l'information - au travers, notamment, du Dossier de Soins Partagé (DSP), en présence de l’Agence eSanté, mais aussi de représentants du domaine médical, de la recherche et des hôpitaux luxembourgeois (voir également à ce sujet notre interview d'Hervé Barge, Directeur Général de l'Agence eSanté).

Michaël Renotte

Sources: EMC, Ponemon Institute, SANS Institute, Public Intelligence

Aucun commentaire:

Publier un commentaire